MyFritz : CNAME : eigene Domain

[Legolas]

Servus,

ich habe gerade einen Knoten in der Birne. Ich habe eine Fritzbox mit der Adresse öjshvaflkdbhdsalb.myfritz.de. Im DNS meiner Domain habe ich einen CNAME auf diese Adresse gesetzt, nc.domain.tld. Namensauflösung klappt. Ich habe nun in der Fritzbox eine Freigabe angelegt die auf meine lokale Nextcloud verweist. Auch das funktioniert. Sobald ich aber ein eigenes Zertifikat per Certbot erstellen will sagt mir der das der DNS nicht funktioniert. Ich nutze dazu NexcloudPI. Kann mir wer sagen wo ich den Denkfehler habe?

Danke
SW

 

[DFFVB]

Gibt einige Fehlerursachen, bspw muss man iirc Port 80 und 443 freigeben …. Abgesehen davon: Freigaben sind immer so ne Sache, VPN wo möglich

 

[RalphS]

Das Problem ist ein technisches, aber nicht bei den Zertifikaten, sondern bei der DV.

1- Zertifikate hängen einfach am Namen. Das ist völlig egal was das für einer ist. Hauptsache der Hostname in der Adresszeile paßt zum (einem der) SAN im Zertifikat.

ABER: In DNS ist CNAME ein Pointer, der zur Laufzeit aufgelöst wird.
1a Client: Wer ist www.domain.de?
1b Server: Das ist ein CNAME mit elbe-123.linkes-ufer.hamburg.isp.com.
2a Client: Aha. Okay, und was hat elbe-123 und so weiter für eine IP-Adresse?
2b Server: Das ist ein A und hat 123.234.97.75 .

Das hat zur Folge, daß bei der DV eben NICHT der CNAME, sondern der A Record genommen wird. Der paßt nicht zur Anfrage. Ergo, Fehler.

Schau mal nach, ob mit mehreren SANs was anzufangen ist, sodaß also deine myfritz-Adresse zumindest zusätzlich mit im CSR auftaucht.

 

[Web-Schecki]

Das hat zur Folge, daß bei der DV eben NICHT der CNAME, sondern der A Record genommen wird. Der paßt nicht zur Anfrage. Ergo, Fehler.

Schau mal nach, ob mit mehreren SANs was anzufangen ist, sodaß also deine myfritz-Adresse zumindest zusätzlich mit im CSR auftaucht.

Wie kommst du dadrauf? Du kannst selbstverständlich Zertifikate ausschließlich auf Namen ausstellen, die per CNAME aufgelöst werden. Auch bei Let's Encrypt ist das grundsätzlich kein Problem. Wichtig ist nur, dass unter dem Namen der Server die ACME-Challenge auf Port 80 und Port 443 beantworten kann, sofern wie üblich HTTP-01 verwendet wird.
Let's Encrypt weist selbst darauf hin (https://letsencrypt.org/docs/challenge-types/)

Bei einer anderen Validierungsart könnte das problematisch sein, bei DNS-01 wird dem CNAME-Record bei Standardkonformität schlicht gefolgt; entsprechend müsste der TXT-Record bei myfritz liegen, was vermutlich nicht möglich ist. Das ist aber nicht die übliche Validierungsart bei Let's Encrypt, soviel ich weiß.

 

[Legolas]

Danke, die Ports sind freigeben. Mit dem selbs erstelltem Zertifikat von nextcloudpi klappt der Zugriff. Nur das erstellen des letsencrypt Zertifikats geht nicht

 

[Der Lord]

Wie lautet denn die genaue Fehlermeldung von Certbot?
Und hast du auch dort mal den verbose Mode aktiviert (-vvv), damit mehr Details ausgegeben werden?

Ohne genauere Fehlermeldung wird's hier schwierig.