LetsEncrypt - mehrere Subdomains

[Starwing]

Hallo Froxlor Team,

gibt es eine möglichkeit den froxlor beizubringen das wenn man mehr als 5 oder 10 subdomains mit Let'sEncrypt machen will , er dann automatisch die Hauptdomain z.b. domainA.de als SAN macht ?

sprich das er nicht einzeln alle subdomains als Zertifikat erstellt sondern die subdomains in die SAN mit einbindet ... also das z.b. daraus dann wird domainA.de www.domainA.de sub1.domainA.de sub2.domainA.de usw. und als einziges Zertifikat macht. 

oder hab ich da ne einstellung übersehen ?

Gruss

Starwing

[Starwing]

On 18.6.2017 at 9:03 AM, d00p said:

Nein ist so nicht gedacht. In die SAN Liste packt froxlor alle ALIAS Domains der Domain. 

hmmm dann haben wir ein problem wenn mehrere Subdomains von einer Domain erstellt werden die dann das Rate Limit übersteigen.

siehe Let's encrypt:

https://letsencrypt.org/docs/rate-limits/

hier ein auszug aus der letsencrypt debug von froxlor:

Could not get Let's Encrypt certificate for xxx.domain.de: Invalid response code: 429, {"type":"urn:acme:error:rateLimited","detail":"Error creating new cert :: too many certificates already issued for: domain.de","status":429}
 

 

[d00p]

Patches und pull-request sind gerne gesehen, sowas steht jetzt nicht so weit oben auf der To-Do, da es wohl nur sehr wenige User betreffen dürfte

[Starwing]

ich weis das es kein todo für euch ist aber ein kleines howto wie eventuell es umsetzen könnte wäre recht praktisch danke.

 

[d00p]

Naja, wenn du php kannst, schau dir den lets encrypt cronjob an, die lescript klasse ...du wirst wohl haupsächlich die query zum auslesen der LE aktivierten domains ggfls anpassen, oder halt "umsortieren" müssen, so dass du quasi einen baum hast mit root-node "domain" und als children die dazugehörigen subdomains, dann gehst du via schleife nur noch durch die haupt-domains und setzt subdomains und aliase in die SAN liste - wäre zumindest jetzt spontan mein vorgehen

[Starwing]

also ich glaub ich warte bis dato https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html

ich hoffe ihr habt euch schon mal was vorbereitet.

weil ich kann zwar php aber noch old scool weise ohne object orientiertes proggen.

oder habt ihr schon ne lösung  

[d00p]

Viel wird sich da für uns nicht ändern, wir überprüfen aktuell ja selbst ob als alias "Wildcard" gewählt wurde und werfen dann nen Fehler, dass das nicht geht. D.h. im Grunde wird diese Prüfung weggelassen und die Option für Wildcard, dass er dann *.domain.tld in die SAN Liste einträgt hinzugefügt. Bringt halt nur nix, bevor LE das nicht kann

[d00p]

Nein ist so nicht gedacht. In die SAN Liste packt froxlor alle ALIAS Domains der Domain.