Wie LE Wildcard Zertifikat richtig erneuern?

[Pixelpirat]

Hallo,

heute habe ich ein Wildcard Zertifikat erneuert, was sehr holprig lief. Der DNS hat ein _acme-challenge.domain.com Eintrag mit einem passenden Value.
Vielleicht kann mir hier jemand meine Arbeitsschritte korrigieren, damit es beim nächsten Mal besser läuft.
Die Schritte waren:

1. certbot certonly --manual --preferred-challenges dns-01 --cert-name domain.com
2. Den Output von dem Befehl
Please deploy a DNS TXT record under the name:
_acme-challenge.domain.com.
with the following value:
wMkLDdiedgnadkihedrTvRhsziPnHviEVBb4YynHhg7Eqe0 (modifiiziert)
habe ich dann in den alten txt Eintrag eingesetzt, also übrschrieben. Das war nicht gut. LE hat danach wieder gemeckert.
3. Alten Eintrag wieder hergestellt und gewarte bis DNS TTL abgelaufen ist (60 Sek)
4. Erneut: certbot certonly --manual --preferred-challenges dns-01 --cert-name domain.com laufen lassen
5. LE hat wieder gemeckert, anscheinend fehlte jetzt der vorherige Code
6. Vorherigen Code zusätzlich angelegt und DNS-Aktualisierung abgewartet.
7. Erneut: certbot certonly --manual --preferred-challenges dns-01 --cert-name domain.com laufen lassen
8. Neuen Code wieder zusätzlich als txt Eintrag eingetragen.

Jetzt lief alles durch und das Zertifikat ist wieder aktuell. Allerdings habe ich auch 3 TXT-Einträge mit _acme-challenge.domain.com.

Mein Frage ist jetzt:
Müssen die alten "_acme-challenge.domain.com." Einträge im DNS drin bleiben oder kann ich alle bis auf den aktuellen bzw. den zuletzt generierten Eintrag löschen?

Meine neue Vorgehensweise bei nächsten Mal wäre dann folgende:
1. certbot certonly --manual --preferred-challenges dns-01 --cert-name domain.com laufen lassen
2. Code vom certbot in den DNS als zusätzlichen TXT-Eintrag anlegen
3. Warten bis DNS aktualisiert ist
4. Script weiter laufen lassen
5. Wenn das Script dann durchgelaufen ist den alten TXT-Eintrag aus dem DNS löschen.

Ich habe schon gefühlt mehrere Tonnen Howtos gelesen um den Prozess evtl. zu automatisieren. Leider habe ich nichts dazu gefunden, was wahrscheinlich an meinen schlechtem Englisch liegt.
Gibt es evtl. etwas in deutscher Sprachen darüber?

Vielen Dank im voraus für Eure Bemühungen mir zu helfen!

 

[nowayback]

bei mir besorgt die vorgelagerte opnsense die zertifikate und kopiert diese dann an die zielsysteme. wenn man einen passenden dns anbieter hat, kann die opnsense die nötigen einträge im dns selbst anlegen via api und auch wieder entfernen.

 

[Till]

acme.sh hat übrigens ISPConfig remote API support eingebaut zum automatischen anlegen der DNS Records bei der Verifizierung. Falls Du also ISPConfig als DNS Server einsetzt, dann könntest Du das ausprobieren. acme.sh hat auch API bindings für alle mögflichen anderen provider und services wie cloudflare.

 

[Pixelpirat]

Cool! Wo finde ich nähere Infos darüber wie das ganze funktioniert?
Was ist mit Provider gemeint?
Ich bin hierbei recht unbedarft. Hab ISPC auf 2 Servern (einen als Mail-/DNS-Master und den anderen für Web- und DB-Anwendungen) am Laufen und dass wars dann auch schon.

 

[Till]

Wo finde ich nähere Infos darüber wie das ganze funktioniert?

Ich vermute mal in der acme.sh Dokumentation, müsstest Du mal auf deren Seiten schauen. Ich habe das selbst noch nicht ausprobiert, daher kann ich dir da nichts näheres dazu sagen.

Was ist mit Provider gemeint?

Damit meinte ich den Anbieter der Deinen DNS verwaltet. Wenn Du einen eigenen DNS Master server hast mit ISPConfig, dann bist Du im Grunde selbst der Provider. Es gibt halt viele die DNS rein extern machen, also DNS Server von Cloudflare nutzen oder ähnliches.

 

[Pixelpirat]

Danke für die Infos. Ich habe acme.sh auf github gefunden und werde es mir übers WE durchlesen. Im Debian-Repository hatte ich nichts gefunden außer dem Paket acme-tiny und das scheint etwas anderes zu sein.