LE Zertifikate autom. Erneuerung - Frage [GELÖST]

[Ralph]

Ich habe einige User die eigene externe NS verwenden und es kam häufig vor (bei den alten Systemen) wo ein User die IP Adressen seiner externen DNS Zone ändert, davon bekommt der Admin nichts mit bis zu dem Zeipunkt wo vorhandene Zertifikate LE etc. erneuert werden sollen ...

Wie verhält sich das bei Keyhelp wenn eines oder mehrere Zertifikate nicht erneuerbar sind aufgrund geänderter A-Records ...
werden diese Erneuerungen ausgeschlossen oder treten Fehler auf bzw. wo kann der Admin den Status prüfen um ggf. diese verwaisten Certs zu löschen?

[Jolinar]

Ich verstehe dein Anliegen gerade nicht so wirklich...

wo ein User die IP Adressen seiner externen DNS Zone ändert

Warum sollte ein User, der auf deinem Server eingerichtet ist, die IP Adresse ändern?
Dann würde ja garnichts mehr gehen, die Webseiten wären nicht mehr aufrufbar, weil das Domainziel sich geändert hat und Mail ginge dann ja auch nix mehr...

[Ralph]

Ich verstehe dein Anliegen gerade nicht so wirklich...

wo ein User die IP Adressen seiner externen DNS Zone ändert

Warum sollte ein User, der auf deinem Server eingerichtet ist, die IP Adresse ändern?
Dann würde ja garnichts mehr gehen, die Webseiten wären nicht mehr aufrufbar, weil das Domainziel sich geändert hat und Mail ginge dann ja auch nix mehr...

Die A-Records für Web werden tatsächlich öfter mal geändert (bei Usern mit externen NS) wobei die Mailserver weiter verwendet werden ...
In dem Fall kann der LE Cron Job die betreffenden Certs ja nicht erneuern ... was geschieht in dem Fall, werden andere Certs dann weiterhin erneuert oder bricht die komplette Aktion für andere Certs dann auch ab?

[Jolinar]

was geschieht in dem Fall, werden andere Certs dann weiterhin erneuert oder bricht die komplette Aktion für andere Certs dann auch ab?

Ich hatte diesen Fall selber noch nicht.
Aber aus dem Bauch heraus würde ich sagen, daß bei mehreren Zertifikatsanforderungen jeder Request in sich ein abgeschlossener Vorgang ist. Also wenn ein Zertifikat nicht erneuert werden kann, wird trotzdem das nächste versucht zu holen.

[Ralph]

Ich hatte diesen Fall selber noch nicht.
Aber aus dem Bauch heraus würde ich sagen, daß bei mehreren Zertifikatsanforderungen jeder Request in sich ein abgeschlossener Vorgang ist. Also wenn ein Zertifikat nicht erneuert werden kann, wird trotzdem das nächste versucht zu holen.

Danke Joli!
Ich habe bei Keyhelp bisher auch noch keine Erfahrung diesbezgl. der Status sollte aber dann unter Domains angezeigt werden?

Be imscp habe ich einmal pro Woche in die Datenbank geschaut und wo der Status nicht OK war, diese LE Waisen dann in den Panels gelöscht.
Bei zu vielen verwaisten LE renwals kam es da gelegentlich zu Fehlern beim Cronjob und wurde abgebrochen
Könnte eigentlich auch ein weiteres Cron Script erledigen was alle paar Tage mal den LE Status überprüft ...

[Jolinar]

Könnte eigentlich auch ein weiteres Cron Script erledigen was alle paar Tage mal den LE Status überprüft ...

Du könntest dich aber auch per Mail benachrichtigen lassen, wenn irgendwas nicht hinhaut:

BTW:
Ich überlege gerade, ob es Sinn machen würde, wenn man keine entweder/oder Entscheidung hätte, sondern angeben kann, daß Admin und/oder Zertifikatsbesitzer benachrichtigt werden.

[Tobi]

Ganz einfach:
Das Zertifikat kann nicht erneuert werden und der Admin erhält eine Warnung per E-Mail.

Man sollte dann diese verwaisten Domains zeitnah löschen oder das Zertifikat entfernen.

[Ralph]

Du könntest dich aber auch per Mail benachrichtigen lassen, wenn irgendwas nicht hinhaut:

Cool, hab mir das gleich mal festgehalten

Ich überlege gerade, ob es Sinn machen würde, wenn man keine entweder/oder Entscheidung hätte, sondern angeben kann, daß Admin und/oder Zertifikatsbesitzer benachrichtigt werden.

Hm, stimmt der User wird diese Info in den meisten Fällen eh verbummeln und der Admin könnte in dem Fall dann gleich eingreifen ...

[Ralph]

Ganz einfach:
Das Zertifikat kann nicht erneuert werden und der Admin erhält eine Warnung per E-Mail.
Man sollte dann diese verwaisten Domains zeitnah löschen oder das Zertifikat entfernen.

Gut, das ist auf jeden Fall schon mal ein gewisser Luxus gegenüber imscp