kleinprofi
Goto Top

Lets Encrypt Zertifikat für lokale Subdomain

Hallo,

ich möchte ein Let's Encrypt Zertifikat für eine lokale Subdomain erstellen, also xyz.firma.de, die aus dem Internet nicht erreichbar ist. Ist sowas möglich?
Die Fehlermeldung heißt "Challenge failed for domain. DNS problem: NXDOMAIN looking up A for xyz.firma.de. Check that a DNS record exists for this domain". Ist aber auch klar, die Doamin ist ja aus dem Inet nicht sichtbar.

Hat jemand vielleicht Vorschläge wie ich mein Problem lösen könnte?
Danke!

Content-Key: 582336

Url: https://administrator.de/contentid/582336

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: Dr.Bit
Lösung Dr.Bit 26.06.2020 um 12:14:23 Uhr
Goto Top
Eigenen Zertifikatserver aufsetzen. ist zwar etwas aufwendig und auch nur sinnvoll, wenn die Zertifikate ausschließlich innerhalb der Domäne verwendet werden sollen.

🖖
Mitglied: SlainteMhath
Lösung SlainteMhath 26.06.2020 um 12:31:26 Uhr
Goto Top
Moin,

- Mini VM bei einem Hoster buchen
- apache und cert-bot installieren,
- A Record für xyz.firma.de auf die VM setzten,
- LE Cert via cert-bot ausstellen lassen.
- Cert inkl. priv-key auf den internen Server kopieren
- VM und A Record wieder löschen

lg,
Slainte
Mitglied: BirdyB
Lösung BirdyB 26.06.2020 um 12:32:01 Uhr
Goto Top
Moin,

vielleicht per DNS-01 Challenge: https://letsencrypt.org/de/docs/challenge-types/
Damit könntest du ein WIldcard-Zertifikat beantragen.

VG
Mitglied: KleinProfi
KleinProfi 26.06.2020 um 12:37:04 Uhr
Goto Top
Alles klar, vielen Dank!
Mitglied: ketanest112
ketanest112 26.06.2020 um 20:06:23 Uhr
Goto Top
Wenn ihr eh nen Webserver für die firma.de habt könntet ihr ggf. auch auf dem n Zertifikat ziehen. Letsencrypt bietet ja mittlerweile Wildcard-Zertifikate an, die man dann natürlich auch intern nutzen kann.

Gruß
Max
Mitglied: ziqz00ma
ziqz00ma 27.06.2020 aktualisiert um 01:58:26 Uhr
Goto Top
Ja, geht ohne Probleme. Let's Encrypt bietet auch eine DNS-basierte Challenge ein. Die benutze ich bspw. für meinen Mailserver, weil ich kein Interesse daran habe, extra für meine mail.example.com-Subdomain mit irgendwelchen Webservern zu hantieren.

Der Ablauf ist in etwa:
  • du erstellst einen Let's Encrypt Schlüssel, falls du noch keinen hast
  • du erstellst einen CSR für dein internes Zertifikat
  • du wanderst "händisch" durch das ACME-Protokoll
  • wenn's zur Challenge kommt, legst du einen DNS-Record an (in meinem Fall: _acme-challenge.mail.example.com)
  • du machst weiter bis zur Zertifikatsausstellung

Ich mache das hierüber: https://gethttpsforfree.com/

Wenn du ganz auf nummer sicher gehen möchtest, holst du dir das Script von Github (diafygi/gethttpsforfree), liest es durch und betreibst es auf deinem eigenen Server.

Nachtrag: Für interne Server möchtest du evtl. nicht auf Let's-Encrypt-Zertifikate, sondern auf eine eigene PKI zurückgreifen.