Reverse Proxy - eigene Domain kaufen Hetzner, netcup oder godaddy

[Don-DCH]

Guten Nachmittag zusammen,

ich würde mir gerne eine eigene Domain kaufen für mein Heimnetzwerk um verschiedene Dienste mit einem SSL Zertifikat auszustatten.
Da ich gerne mit dem ngnix Proxy Manager inklusive DNS Challange arbeiten würde ist die wahl Begrenzt.

In Unraid Tutorials wird gerne der Anbieter Godaddy verwendet, nun habe ich noch gesehen, das es auch netcup und hetzner gibt, welche man für eine DNS Challange auswählen kann.

Es stellt sich mir die Frage was am besten wäre und ob es ristrektionen bezüglich anzahl der Subdomains, DNS Challange für SSL Zertifikate etc. gibt. Denn godaddy ist mit abstand am teuersten für eine .com Domäne um die es mir geht.

Habt Ihr Erfahrungen mit einem der Anbieter?
Gibt es irgendwo einen Vergleich ähnlich wie es Geizhals für Produkte macht?

Viele Grüße und schöne Ostertage euch

 

[CoMo]

Ich habe meine Domains bei Netcup. DNS mache ich über https://desec.io/.

https://www.netcup-sonderangebote.de/ Da gibt es jeden letzten Dienstag des Monats Sonderangebote. .de Domains gibt es dann regelmäßig für 0,13€/Monat.

Wenn du nur im Heimnetz valides SSL willst, kannst du aber auch einfach deine eigene CA betreiben. Da gibt es Tools wie https://github.com/smallstep/certificates und https://lab-ca.net/.

 

[GrumpyCat]

Warum unbedingt DNS-Challenge? Die braucht man doch eigentlich nur für Wildcard-Zertifikate.

 

[Helge01]

Hier eine Liste die DNS Challange unterstützen.
DNS providers who easily integrate with Let’s Encrypt DNS validation

Ich nutze Cloudflare, auch für DNS Provider die keine eigene API dazu anbieten (Challenge Alias für Letsencrypt).

Einfacher gehts kaum noch, einfach das python3-certbot-dns-cloudflare Paket installieren und unter /etc/letsencrypt/secrets/cloudflare.ini den Cloudflare API Token eintragen.

# Cloudflare API token used by Certbot
dns_cloudflare_api_token = 0123456789abcdef0123456789abcdef01234567

Ergänzung (29. März 2024)

Die braucht man doch eigentlich nur für Wildcard-Zertifikate.

Das Ausstellen von Wildcard Zertifikaten ist schon was feines .
Auch kann man automatisiert Zertifikate erstellen, ohne das ein Zugriff aus dem Internet besteht.

 

[Don-DCH]

Vielen Dank euch für eure Rückmeldungen!

Ich habe meine Domains bei Netcup. DNS mache ich über https://desec.io/.

Ist desec.io ähnlich wie cloudflare?

der ngnix proxy manager unterstützt soweit ich das richtig verstehe DNS Challenges ohne Cloudflare da muss ich aber nochmal schauen ob ich beim Anbieter dann die DNS Server ändern muss.

Das ist auch die Frage ob man bei den 3 Anbietern die gleichen Einstellungen machen kann, dazu habe ich nichts gefunden leider :/

Auch habe ich Berichte gefunden, das es bei Strato zu Problemen kommt in Verbindung mit ngnix proxy manager, deshalb hab ich den anbieter ausgeschlossen.

Für mich ist wichtig das es gut und zuverlässig funktioniert, da kommt es mir nicht auf einen Euro im Monat an. Aber umsonst muss ich auch nicht doppelt so viel bei Godaddy zahlen wie bei netcup oder Hetzner. Daher wie Frage was da groß anders ist hmm.

https://www.netcup-sonderangebote.de/ Da gibt es jeden letzten Dienstag des Monats Sonderangebote. .de Domains gibt es dann regelmäßig für 0,13€/Monat.

Vielen Dank dir für den klasse Tipp!
Leider leider ist meine Wunschdomain mit .de Endung schon belegt, hätte auch lieber .de gehabt und noch besser wenn es so günstig ist. Aber da war ich leider zu spät

Hmm Cloudflare brauche ich doch nur wenn ich bei einem provider die Domains habe, welcher nicht vom ngnix proxy manager unterstützt wird, oder verwechsel ich da etwas?

Wenn du nur im Heimnetz valides SSL willst, kannst du aber auch einfach deine eigene CA betreiben. Da gibt es Tools wie https://github.com/smallstep/certificates und https://lab-ca.net/.

Das kannte ich noch garnicht, danke dir
Mag aber lieber ein Lets Enrypt Zertifikat haben

Warum unbedingt DNS-Challenge? Die braucht man doch eigentlich nur für Wildcard-Zertifikate.

Würde gerne ein Wildcard Zertifikat nehmen für verschiedene Subdomains und ich würde ungerne Ports öffnen wenn garnicht notwendig

Hier eine Liste die DNS Challange unterstützen.
DNS providers who easily integrate with Let’s Encrypt DNS validation

Klasse, danke dir!

Ich nutze Cloudflare, auch für DNS Provider die keine eigene API dazu anbieten (Challenge Alias für Letsencrypt).

Das heißt wenn mein Anbieter bei Ngnix Proxy Manager aufgeführt ist wo ich API Keys etc. eingeben muss, so brauche ich die Domain garnciht bei Cloudflare registrieren ist das richtig?

Einfacher gehts kaum noch, einfach das python3-certbot-dns-cloudflarePaket installieren und unter /etc/letsencrypt/secrets/cloudflare.ini den Cloudflare API Token eintragen.

Kenne mich mit Linux nicht gut aus und bin gerade dabei mich bei Unraid einzuarbeiten, da hat das mit dem ngnix proxy manager super geklappt mit Anleitung für mein Testsystem wo ich duckdns genommen habe. Jetzt möchte ich gern etwas eigenes als Domain nehmen

Das Ausstellen von Wildcard Zertifikaten ist schon was feines .
Auch kann man automatisiert Zertifikate erstellen, ohne das ein Zugriff aus dem Internet besteht.

Genau das sidn auch meine zwei Gründe

 

[klapproth]

Warum unbedingt DNS-Challenge? Die braucht man doch eigentlich nur für Wildcard-Zertifikate.

Weil wildcard. Weil sonst jeder sehen kann für welche Subdomains ein Zertifikat ausgestellt wurde. So sieht man nur die Wildcard.

Allgemein: Eine eigene interne CA ist extrem nervig weil man überall die CA als bekannt hinterlegen muss. Eine Wildcard von einer allgemein vertrauten Autorität vereinfacht einem das Leben schon sehr.

 

[Helge01]

Das heißt wenn mein Anbieter bei Ngnix Proxy Manager aufgeführt ist wo ich API Keys etc. eingeben muss, so brauche ich die Domain garnciht bei Cloudflare registrieren ist das richtig?

Wenn ein API Anbieter aufgeführt ist, musst du ja nur den API Token/Anmeldedaten für diesen Anbieter eingeben.

Wenn ein API Anbieter nicht aufgeführt ist könntest du auch keine API für DNS Challenge nutzen. Man kann aber bei dem nicht aufgeführten DNS Anbieter in seinem DNS einen Alias/CNAME anlegen, der auf eine Domain zeigt die DNS Challenge unterstützt.

_acme-challenge.dns-ohne-api.com cname _acme-challenge.dns-mit-api.com

Certbot ruft zur Erstellung des Zertifikates dns-ohne-api.com auf und wird zur Domain dns-mit api.com weitergeleitet. Für dns-mit api.com gibt es eine API für DNS Challenge und mit diesen Token/Anmeldedaten wird dann die "fremde" Domain (dns-ohne-api.com) verifiziert.

Ich nutze so mein Cloudflare DNS Challenge Account für Domains, die bei anderen DNS Anbieter liegen ohne API.

 

[GrumpyCat]

Würde gerne ein Wildcard Zertifikat nehmen für verschiedene Subdomains und ich würde ungerne Ports öffnen wenn garnicht notwendig

Das braucht man eigentlich nur bei hunderten oder tausenden Subdomains.
Einen weiteren offenen Port braucht man auch nicht.
Man konfiguriert nginx für jede Domain so, dass /.well-known/ aus einen festen Verzeichnis bedient wird, und sagt dem Certbot beim ersten Aufruf, dass er eben dieses Verzeichnis für die HTTP-Challenge nehmen soll, fertig.
Mit Editor und Kommandozeile sind das, hm, 10 Zeilen Konfiguration und keine 10 Minuten Arbeit. Das können aber quch sicher diverse Tools.

Ergänzung (29. März 2024)

Weil wildcard. Weil sonst jeder sehen kann für welche Subdomains ein Zertifikat ausgestellt wurde.

Nö. Man legt natürlich für jede Subdomain ein eigenes Zertifikat an, macht ja keinen Mehraufwand und ist sowieso sinnvoll, z.B. falls man mal einzelne Subdomains zu einem anderen Server umziehen will.
Mit einem Wildcard-Zertifikat ist man da spätestens mit Certificate Pinning gekniffen, ganz abgesehen davon, dass man mit Wildcards insgesamt unflexibler ist (sind halt nur Subdomains).

Ganz abgesehen davon sieht man ja schon beim Aufhänger des Threads hier das Hauptproblem: man ist von irgendwelchen APIs einzelner Anbieter abhängig und konfiguriert sich den Wolf, lernt aber überhaupt gar nichts über das eigene Setup.

 

[klapproth]

Certificate Pinning

Das ist doch seit Jahren deprecated: https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

 

[Helge01]

Einen weiteren offenen Port braucht man auch nicht.

Man braucht aber ein offenes Port, ohne geht es nur mit API.

Man legt natürlich für jede Subdomain ein eigenes Zertifikat an

Es geht darum das alle ausgestellten Zertifikate durch Einführung von Certificate Transparency öffentlich einsehbar sein müssen. Das nutzen eben auch Kriminelle aus um an die Domainnamen zu kommen. Bei einem Wildcard müssen sie die eigentlichen Subdomains erraten.

Sobald ein Zertifikat ausgestellt wurde hast du Sekunden später ein stark erhöhtes Netzwerkaufkommen von bösartigen Bots auf diese Domain. So werden z.B. Wordpress Installationen von Kriminellen übernommen, bevor diese vollständig eingerichtet und abgesichert wurden.
Wordpress: Attackiert schon während der Installation

Certificate Pinning

Wie schon geschrieben ist Certifikate Pinning tot. Es gibt keinen Browser mehr der das unterstützt.

 

[Bob.Dig]

Einfacher gehts kaum noch, einfach das python3-certbot-dns-cloudflare Paket installieren und unter /etc/letsencrypt/secrets/cloudflare.ini den Cloudflare API Token eintragen.

# Cloudflare API token used by Certbot
dns_cloudflare_api_token = 0123456789abcdef0123456789abcdef01234567

Abend Helge, gleich mal eine Frage dazu. 😁
Ist der Pfad dazu so schon vorgegeben? Ich hatte das Problem, dass eff.org meinte, ich sollte doch snap nutzen. Das lief aber nicht in meinem LXC. Was Du hier vorschlägst, ist das die pip-Installation oder noch was anderes? Kann ich damit auch das Cert für Prosody automatisch integrieren?

 

[Don-DCH]

Jetzt muss ich nochmal etwas fragen in Bezug auf den ngnix Proxy Manager, kann ich diesen auf mehreren Servern im Netz installieren und bei allen meine Domain mit Wildcard zertifikat einbinden oder geht das nur auf einem?

Ist es empfehlenswert nur einen Proxy Manager zu installieren? Diesr würde ja alles unverschlüselt durchs Netz senden, daher meine Idee auf jedem Docker Host einen ngnix so bleibt alles innerhalb der Bridge.

Ich hatte auch ein spezielles Docker Thema dazu aufgemacht, überschneidet sich gerade vielleicht dann doch ein bisschen, ich poste mal die Fragen hier rein, vielleicht kann jemand etwas dzau sagen


1. Wenn der ngnix Proxy Manager auf dem gleichen Host läuft wie die anderen Docker geht ja garnichts übers Netzwerk oder? Und die Option Bridge sollte sehr sicher sein?



2. Kann ich wenn ich einen zweiten Unraid Server im Netz habe ebenfalls von meinem Hauptserver problemlos ein Reverse Proxy eintrag machen oder ist es besser und sicherer auf jedem Unraid Server den ngnix proxy manager zu insatllieren?



3. Ist es von der Sicherheit besser Bridge oder Host bei dem Docker Container auszuwählen oder ist das vollkommen egal und hat nur den Sinn falls man eine andere IP haben möchte?




4. Aktuell komme ich auch noch per Port und IP über http auf die Seite, kann ich das noch irgendwie abschalten Firewall regel oder Plugin?

5. Auf meinem finalen System möchte ich gerne eine 10 Gigabit Netzwerkkarte einbauen, muss ich dann noch etwas spezielles beachten?

Mitgenommen habe ich bisher, das es egal ist welchen anbieter ich nehme, ob netcup, hetzner oder godaddy bei allen sollte dns challange für ein entsprechendes Zertifikat problemlos möglich sein gell?

 

[Bob.Dig]

Hmm Cloudflare brauche ich doch nur wenn ich bei einem provider die Domains habe, welcher nicht vom ngnix proxy manager unterstützt wird, oder verwechsel ich da etwas?

Wenn Du jetzt schon weißt, dass Du nur und ausschließlich den NPM nutzen willst, dann ja.

Habe meine Netcup Domains bei Cloudflare und bin sehr zufrieden.

 

[Don-DCH]

Wenn Du jetzt schon weißt, dass Du nur und ausschließlich den NPM nutzen willst, dann ja.

Genau, würde gerne ausschleißlich NPM nutzen, bin sehr zufrieden bisher. Alles sehr einsteigerfreundlich finde ich.

Habe meine Netcup Domains bei Cloudflare und bin sehr zufrieden.

Damit bist du flexibler gell, oder hat es einen weiteren vorteil noch cloudflare zu nutzen für mein Anwendungszenario oder bleibt sich das gleich wenbn ich nur NPM nutzen will einfach direkt über die API gehen.

 

[Helge01]

Moin Bob.Dig, der Pfad ist frei wählbar. Ich habe ihn zwecks Übersichtlichkeit unter dem Let's Encrypt Certbot angelegt. Ich mache ja noch alles herkömmlich, das ist eine normale APT Installation auf einem Linux Server über die Paketverwaltung.

apt install python3-certbot-dns-cloudflare

mkdir -p /etc/letsencrypt/secrets

vi /etc/letsencrypt/secrets/cloudflare.ini

# Cloudflare API token used by Certbot (> Version 2.3.1 CloudFlare Python Module)
dns_cloudflare_api_token = ...

oder

# Cloudflare API credentials used by Certbot (< Version 2.3.1 CloudFlare Python Module)
dns_cloudflare_email = cloudflare@example.com
dns_cloudflare_api_key = ...

chmod 600 /etc/letsencrypt/secrets/cloudflare.ini

certbot certonly --agree-tos --rsa-key-size 4096 --email letsencrypt@example.com --dns-cloudflare --dns-cloudflare-credentials /etc/letsencrypt/secrets/cloudflare.ini -d *.example.com -d example.com

Man muss nur den entsprechenden Pfad bei der Ausstellung des Zertifikates mit angeben.

Kann ich damit auch das Cert für Prosody automatisch integrieren?

Wenn es so gut funktioniert wie bei mir auf jeden Fall!