Frage zu Domain mit Mailhosting

[famjak]

@Ronny1978
Zur Baustelle Nr.3.
Wie lange hast Du warten müssen bis Du auf weiter klicken konntest um das Zertifikat mit Widcard Unterstüzung zu erstellen?

LG Thomas

 

[Ronny1978]

Hallo @famjak,

ich müsste jetzt lügen, um das auf die Minute genau sagen zu können. Ich habe https://dnschecker.org/ benutzt, dann oben den Wert _acme-challange.deinedomain.TLD eingeben und hinten natürlich TXT auswählen. Hier ist es dann wie an der Fußgängerampel : Wenn alles grün ist, dann kann es losgehen. Nein, alle Haken mussten bei mir nicht grün sein, aber der Großteil. Laut Browserverlauf würde ich die Zeit auf ca. 15 Minuten schätzen, die gefühlt natürlich ca. 2h sind, wenn man sich einen Plan zum Abarbeiten gemacht hat.

Ich würde 10-25 Minuten einplanen - sicher ist sicher. Du siehst ja, wenn die Haken bei den Servern grün werden und auch der richtige Code angezeigt wird. Wie viele DNS Server bei der Erstellung des Wildcard Zertifikates abgefragt werden, weiß ich aber nicht. Da gibt es hier im Forum mit Sicherheit schlauere Leute, die das Wissen. Ich (leider) nicht.

Viel Erfolg. Wenn du weitere Fragen hast, gern raus damit. Noch ist meine Erinnerung frisch, aber mit 46 geht es dann "schnell den Bach runter".

Schönes Wochenende.

 

[Benares]

Bei Netcup dauert es extrem lange, bis Änderungen am DNS, egal ob über API oder das Web-Interface, im DNS nach außen sichtbar werden. Jede Änderung landet wohl erst in einer Datenbank und wird dann zyklisch im DNS eingespielt. Die TTL kommt dann noch obendrauf, bis wirklich alle die Änderung sehen. Im Web-Interface sieht man ja, dass es nach Änderungen eine Zeit lang dauert, bis die Spalte "gültig" auf "yes" geht (s. Screenshot in #99).

acme.sh nutzt ja für beim DNS-Challenge auch die DNS-API um einen TXT-Record anzulegen und später dessen Existenz über DNS zu prüfen. Da musste ich mit dem Parameter "dnssleep" (Wartezeit zwischen Anlage und Prüfung) auf 600s hoch, damit es zuverlässig funktionierte.

 

[*kw*]

auf 600s hoch

...biete 1200

(mag sein, dass es mittlerweile wieder besser ist, aber eine Zeit lang gab es mit 'nur' 600 Probleme.

 

[Ronny1978]

Na da bin ich doch mit meiner Schätzung oben (ca. 15 Minuten) nicht so schlecht gewesen. Wie gesagt: An mache Sachen muss ich mich bei Netcup noch gewöhnen, aber die Performance scheint - mir zumindest - sogar besser wie bei Strato. Die Leistung ja sowieso. An das E-Mail Webinterface muss ich mich auch erst gewöhnen. Nicht, dass das schlechter ist, aber anders wie bei Strato. Und wenn man 18 Jahre mit der fast gleichen Oberfläche arbeitet fällt einem das im Moment noch etwas schwer.

Bei CCP suche ich manchmal duselig. Mal ist was beim Reiter Domain, mal bei Produkte. Aber auch hier trifft Netcup kaum Schuld, auch wenn ich wahrscheinlich hier und da etwas anders machen würde. Aber wenn man sich halt auf einer Wiese eingespielt hat, ist die Orientierung an einem neuem Ort erstmal futsch. Aber wird schon noch. Nach 3 Tage "Intensivtraining" klappt es schon super. Bis jetzt lieben Dank an alle die hier die Werbetrommel für Netcup rühren und die Tipps in die Post stellen (Osterdeals, IMAP Sync, Preise usw.) -> @*kw* , @ctrlaltdelete , @Benares und alle die ich doch /noch vergessen habe.

 

[Kachelkaiser]

Ging mir damals auch so. Ich kam auch von Strato.

Das Einzige, was ich wirklich doof finde ist, dass nicht mehr benötigte und gelöschte Domains keinen Domainslot freigeben, sondern nach wie vor auf die Inkl. Domains angerechnet werden.

 

[Ronny1978]

nach wie vor auf die Inkl. Domains angerechnet werden

Da hast du recht. Aber wenn man beim Osterdeal eine für 0,13€/Monat kauft, sind das im Jahr 1,56€. Das ist für mich verschmerzbar. Bei Strato habe ich 1,00€/Monat gezahlt, die jetzt im Paket mit drin ist. Also heißt: Vorher Strato Webhosting inkl. Domain für meine Frau + Domain für mein Netzwerk 6,00€/Monat, jetzt Netcup 2,58€/Monat mit mehr Leistung. Und... ich habe noch eine Domain frei.

Passt schon.

 

[Kachelkaiser]

Die Angabe der Inkl Domains suggeriert halt dass man z.B. 12 domains inkl hat. Kündigt man eine davon sinds halt noch 11. klar kann man dann für 13ct noch eine buchen, aber naja....

Bisher reichen meine aus, habe aber schon dadurch, dass ich das nicht wusste, 2 Slots verschwendet.

 

[patrickn]

Domains laufen ja i.d.R. ein Jahr, auch danach sind Inklusivdomains nicht erneut buchbar?
Falls nein, müsste das doch auch irgendwo stehen?

 

[Kachelkaiser]

Nein der Slot ist weg. Wird sich immer mal im netcup Forum diskutiert. Weiß jetzt nicht genau das das irgendwo niedergeschrieben ist.

 

[famjak]

Hallo zusammen,
ich komme mit dem Letsencrypt Zertifikat in Verbindung mit Wildcard nicht weiter.
Ich habe jetzt gute 30 min gewartet und habe bei DNS Checker immer noch alles rote Kreuze.
Muss ich hinter dem _acme-challenge meine Domain einfügen?
So wie auf dem Foto?
Das zweite Problem habe ich bei den Subdomains. Diese habe ich im DNS angelegt mit dem CNAME auf ipv64.de
Wenn ich jetzt z.B. die Subdomain aufrufe kommt der Hinweis "Domain noch nicht zugewiesen/in Zuweisung"
Bin ich auch hier zu ungeduldig oder habe ich einen Fehler gemacht?
Siehe Foto:

 

[Ronny1978]

Hallo @famjak ,

die Domain brauchst du nicht. ABER!!! Du hast in deinem Posttext richtig
_acme-challenge -> Unterstrich
stehen, aber im Screenshot sehe ich
-acme-challenge -> Minus

!!! Bitte korrigieren.

Das 2. Problem: Hast du bei Netcup Subdomains angelegt? Dann löschen. Die brauchst du nicht, ich jedenfalls nicht. 2. Fehler: Es müsste xxx.ipv64.net. heißen, so bei mir jedenfalls. Bei dir steht xxx.ipv64.de.

Bitte prüfen deine Eingaben beim DNS.

Ronny

 

[famjak]

Hallo @Ronny1978 ,
Ich hatte nach meinem Screenshot gesehen das es kein Unterstrich war. Nach der Änderung ging es immer noch nicht. Lag aber wohl daran das ich nach challenge noch einen Punkt hatte. Jetzt ist das Zertifikat installiert.
Leider laufen meine Subdomains noch nicht. Wenn ich die mit DNS Checker und em A abfage zeigt er mir meine öffentliche IP. Sollte also funktionieren. Ich habe daraufhin bei nginx jellyfin mit dem richtigen Port eingerichtet. Leider kommt dann folgende Seite:

 

[famjak]

Teil 2:
Muss ich in nginx für den Proxy weiterhin noch ein Zertifikat von Letsencrypt erstellen lassen, oder ist das mit dem Zertifikat bei Netcup nicht mehr nötig?
Meine DynDNS Adresse hat die Endung de
Muss ich trotzdem bei Netcup DNS das net und nicht de dranhängen?

Lieben Dank für Deine /Eure Unterstützung.
Thomas

 

[Ronny1978]

Also ich habe folgende Konstellation:

- OpnSense mit HA Proxy und dem Acme Plugin
- Acme AUF DER OPNSENSE kümmert sich um die Zertifikate
- in CCP bei Netcup habe ich keine Subdomains angelegt
- in den DNS Einstellungen habe ich CNAMEs wie jellyfin angelegt -> Typ CNAME -> und hinten xxx.ipv64.net -> du hattest hier aber xxx.ipv64.de

Ich denke bei ipv64 muss dennoch .net rein und nicht .de . Vorn muss auch nur jellyfin rein und nicht jellyfin.domain.TLD. Nginx kümmert sich meiner Meinung nach um die Zertifikate. Wie das hier mit dem Wildcard Zeritifkat bei Netcup ist, kann ich dir nicht genau sagen. Es kann auch sein, dass das auch so geht, zum Beispiel mit einer Subdomain, aber so weit bin ich noch nicht drin. Da wissen andere hier besser bescheid, wie ich.

 

[Benares]

Die TXT-Records für den DNS-Challenge heißen normalerwiese "_acme-challenge", also mit "_" vorne und "-" in der Mitte. Die legt acme.sh von alleine an, prüft sie später ab (quasi "nslookup -q=TXT _acme-challenge.example.com") und löscht sie wieder. Nur bei Domains ohne DNS-API-Unterstützung muss man die ggf. selbst anlegen. Ich verstehe gerade nicht, worum es hier gerade geht

 

[famjak]

@Benares
Das mit dem Unterstrich habe ich kapiert und auch so eingetragen. Zertifikat ist mit Wildcard Unterstützng jetzt auch installiert. Wenn ich das jetzt richtig gelesen habe, wird dieses Zertifikat bei Netcup Automatisch verlängert.
Ich habe einen NGINX Proxy Manager über Docker laufen. Den habe ich über meine DynDNS Adresse von ipv64 (XXXX.ipv64.de) so konfiguriert das ich mit den bei IPV64 angelegten Subdomains auf meine Anwendungen (Immich, Jellyfin usw.) zugreifen kann. Über NGINX habe ich auch für jede Subdomain ein Zertifikat von Letsencrypt erstellen lassen.
Jetzt möchte ich das aber mit meiner eigenen Domain umsetzen. Da habe ich aber folgende Probleme oder Fragen:

1. Muss ich in NGINX für jede Subdomain weiterhin ein Zertifikat ausstellen, oder reicht das Zertifikat von Letsencrypt das mit Wildcard Unterstützung im Netcup CCP installiert wurde?

2. Die Subdomains sind laut oben Foto (113#) nicht zugewiesen.
Ich sehe aber im Netcup CCP das Domain meinem Webhosting zugewiesen ist. Ich habe dort auch keine Möglichkeit einer Änderung.

Ich hoffe ich konnte meine Probleme jetzt verständlicher formulieren.

LG Thomas

 

[Benares]

Reden wir da jetzt von einer Webhosting-Domain oder oder einer nackten Domain bei Netcup, ich habe beides.
An der Webhosting-Domain (.de) fummele ich nicht, die bleibt wie sie ist und das Zertifikat erneuert sich automatisch. Ist allerdings kein Wildcard, sondern gilt nur für example.com und www.example.com
Bei der nackten Domain (namensgleiche .com) erneuere ich das Zertifikat per acme.sh, und da natürlich als Wildcard.

 

[famjak]

Ich meine meine Webhosting domain. Ich habe unter DNS die "Subdomains" eingetragen.
ZB:
Host: jellyfin Typ: CNAME Destination: XXXX.ipv64.de
So sollte es laut meinen Informatione funktionieren. Wenn ich dann noch die Proxy in Nginx einrichte sollte die Verbindung stehen. Funktioniert nur leider nicht. Vielleicht bin ich auch zu ungeduldig.
Oder hast Du noch eine Idee?

 

[Benares]

Und was liefert "nslookup XXXX.ipv64.de. 8.8.8.8"? Die externe IPv4 deines Routers und/oder eine IPv6? Wenn auch IPv6, dann welche?, die externe des Routers oder die der DS?