KeyHelp Community

Hallo zusammen,

Let's encrypt kann jetzt auch Wildcard Zertifikate. Es wäre sicher interessant, wenn man das auch in Keyhelp nutzen kann.
https://community.letsencrypt.org/t/acm ... live/55579

Knackpunkt, den ich an dieser Stelle gerne erwähnen möchte:
Wenn man sehr (!) viele Subdomains hat, dann verteilt man die vielleicht über mehrere Server.

Einzelne Zertifikate zu buchen ist aufgrund des Domain Limits nicht möglich, da man pro Woche "nur" 20 Subdomains einer Domain aktualisieren kann.

Vielleicht gibt es ja eine Möglichkeit, das zu berücksichtigen.
Wenn auch nur durch ein Skript, dass das Zertifikat auf die anderen Server kopiert.

Für mich hat das keine hohe Priorität, aber ich wollte schon mal vorsorglich Bescheid sagen.

Könnte man dies vllt. sogar mit einem schnellen 18.1 Update in den kommenden Tagen nachholen?

Ich habe zwar nicht das Problem mit dem Subdomain Limit pro Woche, aber eine übersichtlichere Auflistung bei den Domains bezüglich den Zertifikaten, wäre damit auf jeden Fall gegeben und das stressige einzelne verteilen der Zertifikate wäre damit auch ein Problem von gestern.

Ich würde mich auf jeden Fall über eine schnelle Implementierung diesbezüglich freuen.

Übrigens ein großes Lob für das 18.0 Update an das Team von KeyHelp. Läuft alles tadellos.


Beste Grüße!

Hallo und danke für den Hinweis!

MaisKolben wrote:aber eine übersichtlichere Auflistung bei den Domains bezüglich den Zertifikaten, wäre damit auf jeden Fall gegeben

Könntest du das noch etwas ausführen - Wie stellst du dir die übersichtlichere Variante vor?

---

Das Problem mit einem "schnellen Update" ist, das Ursprünglich das Let's Encrypt System im KeyHelp mit dem Hintergedanken 'ein Zertifikat für eine Domain' entwickelt wurde. Hier sind also noch ein paar umfangreichere Arbeiten notwendig um 'Ein Zertifikat, mehrere Domains' zu bewerkstelligen.
Zusätzlich müsste noch eine noch Umstellung auf ACMEv2 + DNS-01 Challange erfolgen.

Ich schau es mir Anfang kommende Woche einmal genauer an.

Dadurch das es Wildcard Zertifikate sind, würde das blaue Icon von LE nur noch bei den Hauptdomains unter dem Punkt Sicherheit auftauchen (Wenn man nur noch Wildcard Zertifikate vergibt). So erkennt man jedenfalls die Hauptdomain und bis wohin dieser Hauptdomain die Subdomains gehen, da es im Moment ja in keinster Weise farblich hervorgehoben ist oder ähnliches. Wobei ich mir eine farbliche Hervorhebung auch irgendwie wünschen würde um diese besser trennen zu können.

Beste Grüße.

Alexander wrote: ↑Fri 16. Mar 2018, 09:53 Das Problem mit einem "schnellen Update" ist, das Ursprünglich das Let's Encrypt System im KeyHelp mit dem Hintergedanken 'ein Zertifikat für eine Domain' entwickelt wurde.

Das ist ein Klassiker in der Entwicklung, oder? Das Problem habe ich ständig.

Falls es sich nicht gut umsetzen lässt, kann ich auch gut mit der bisherigen Lösung leben und ein Wildcard Zertifikat kaufen. Ist ja schnell hinterlegt.

Moin!

Wenn Umstellung auf DNS-01 Verfahren, dann bitte optional, denn sonst funktioniert das nicht mehr, wenn man einen externen DNS-Server betreibt. Die Methode mit Ablegen einer Datei im Webroot sollte also auf jeden Fall weiterhin auswählbar sein.

Viele Grüße,
Lars

Hallo,

grundsätzlich ist für Let's Encrypt Wildcard auf jeden Fall ein entsprechender DNS Eintrag nötig, eine KeyHelp gesteuerte Verifikation ist daher nur möglich wenn der Server selbst auch für die Domains der zuständige Nameserver ist (oder die Einträge dann manuell gesetzt werden).

Zudem empfiehlt auch Let's Encypt für die üblichen Anwendungsfälle ein eigenes Cert pro zu sichernder Domain. Auch mit diesem Gedanken im Hinterkopf wäre ich hier persönlich nicht für ein "schnelles Update". Wildcard sollte dann entsprechend gut integriert werden und wie I_fish schrieb auch nur optional. IMHO ist das aktuelle Verfahren schon für 95% der Anwendungsfälle ausreichend. Bzgl der Optimierung der Anfragen bei vielen Subdomains wäre hier eher zu überlegen dann die Subdomains mit als SAN aufzuführen, sodass für Domain + existierende Subdomains nur ein Cert nötig ist.

Ich hole den 3 Jahre alten Thread mal wieder hoch

Gibt es hier inzwischen etwas neues zu vermelden? Ist es vielleicht auf der Roadmap von Keyhelp, denn zu mindest in Keyhelp V21 (Build 2195) bekomme ich noch die Fehlermeldung:
"Ein Wildcard-Domainname in Kombination mit einem Let's-Encrypt-Zertifikat wird derzeit nicht unterstützt."

Für Wildcard Let's Encrypt ist eine DNS-Challenge notwendig, um die Inhaberschaft der Domain für die Let's Encrypt-CA zu bestätigen.
Wenn KeyHelp selbst für die DNS zuständig ist -> prinzipiell kein Problem.
Kommt die DNS von extern wirds schwieriger, da hier zunächst mit der Domainverwaltung kommuniziert werden muss.

=> Ist leider nicht mal eben zu machen. Steht aber noch auf dem Plan.

>Wenn KeyHelp selbst für die DNS zuständig ist -> prinzipiell kein Problem.

Bei uns ist KeyHelp für die DNS zuständig und wir haben einen managed Server bei Keyweb. Ist das also aktuell auch schon kein Problem das einzustellen?

Beide Fälle fordern größere Code-Umstrukturierungen. Also leider nein, das ist aktuell nicht mal eben so möglich einzustellen.

Okay, danke für die Info. Aber gut zu wissen, dass Wildcard-Zertifikate schon auf der Roadmap von Keyhelp sind.
Ich nehme an wir erfahren in dem Newsletter von Keyweb von der Umsetzung oder wirst du auch daran denken es dann nach Umsetzung hier im Thread zu posten?

Wenn es soweit ist, wird es in jedem Fall hier: https://changelog.keyhelp.de oder hier: https://news.keyhelp.de zu finden sein.
Auch wird es aller Voraussicht nach im Keyweb-Newsletter (der Text unterschiedet sich immer etwas vom Text auf https://news.keyhelp.de) erwähnt werden.

Sicherlich wird man auch hier im Forum zu gegebener Zeit darüber sprechen