[erledigt] DNS: Von Web-Hoster auf eigenen Server weiterleiten

[paedubucher]

Ich stelle mir gerade eine Zusammenfassung zu den Themen TLS und openssl zusammen, basierend auf dem Buch TLS Mastery, das ich mitgesponsored habe. (Ich war so froh, dass endlich jemand eine gute Übersicht dazu schreibt.)

Im 7. Kapitel geht es um ACME, und wie man mit dehydrated TLS-Zertifikate erhält. Die HTTP-01-Challenge habe ich im Griff, und zum Setup (quick and dirty) habe ich einen kleinen Zusatz verfasst.

Für die DNS-01-Challenge verlangt das Setup naturgemäss einen eigenen DNS-Server, den ich der Einfachheit halber auf meinem Webserver laufen lassen will. Bevor ich mich mit bind9 befasse, muss ich aber erst einmal dafúr sorgen, dass mein Webserver auch als DNS-Server verwendet wird. Mein Web-Hoster Infomaniak.com, auf welchem ich meine Test-Domain registriert habe, verfügt über ein Web-Interface, worauf man DNS-Einstellungen zu dieser Domain konfigurieren kann.

Nun frage ich mich, was ich dort alles einstellen muss, damit mein Server (sagen wir mal 89.145.162.223) die Domain snipperia.ch (doofer Name, ich weiss, war aber frei) als DNS-Server verwalten kann.

Ich habe mir mal folgendes Zusammengebastelt:

1. einen DNS-Eintrag vom Typ NS mit Quelle ns1.snipperia.ch und Ziel snipperia.ch
2. einen Glue-Record mit dem Server ns1.snipperia.ch und der IP 89.145.162.223

Derzeit werden zwei DNS-Server vom Web-Hoster verwendet (ns11.infomaniak.ch und ns12.infomaniak.ch). Wenn ich das durch ns1.snipperia.ch ersetzen will, streikt das Web-Interface, da ich zwei verschiedene Server konfigurieren soll. (Muss ich wirklich zwei DNS-Server aufsetzen?)

Bin ich auf dem richtigen Weg?

[bluestar]

Bin ich auf dem richtigen Weg?

Du bist auf einem sehr aufwendigen Weg, schaue dir mal https://github.com/joohoi/acme-dns und https://github.com/acme-dns/acme-dns-client an, damit kannst du dir ganz einfach einen DNS-Server aufbauen für LetsEncrypt.

[paedubucher]

Bin ich auf dem richtigen Weg?

Du bist auf einem sehr aufwendigen Weg, schaue dir mal https://github.com/joohoi/acme-dns und https://github.com/acme-dns/acme-dns-client an, damit kannst du dir ganz einfach einen DNS-Server aufbauen für LetsEncrypt.

Danke für den Hinweis. Das sieht wirklich nach einer einfachen Lösung aus. Mein Grundproblem bleibt jedoch bestehen: Woher weiss mein CA, wo mein DNS-Server läuft? Ist ja schlussendlich egal ob das jetzt BIND oder ACME-DNS ist.

Meine Buchzusammenfassung lege ich wohl mal auf Eis, um mich in DNS einzuarbeiten. Das ist neben E-Mail eines der ungelösten Probleme des Administratorenalltags

[bluestar]

Danke für den Hinweis. Das sieht wirklich nach einer einfachen Lösung aus. Mein Grundproblem bleibt jedoch bestehen: Woher weiss mein CA, wo mein DNS-Server läuft?

Also mein DNS-Server läuft bei meinem Hoster und ich habe in meinem DNS-Server eine "Sub"-Zone "acme.example.com" an meinen ACME-DNS Server delegiert und durch die passenden CNAME Einträge weiß die CA wo sie die TXT Records findet.

In deiner DNS-Zone legst du dafür folgende Delegations-Records an

Code: Alles auswählen

acme.example.com NS acme.example.com
acme.example.com A 1.2.3.4

Auf der IP 1.2.3.4 läuft dein ACME-DNS Server und er verwaltet die Zone "acme.example.com".

Für die einzelnen Dienste sieht das dann folgendermaßen in der Zone aus:

Code: Alles auswählen

_acme_challenge.git.example.com CNAME  9f55e763-659c-44b8-b42e-3fc9b796e38d.acme.example.com.

[paedubucher]

Danke für den Hinweis. Das sieht wirklich nach einer einfachen Lösung aus. Mein Grundproblem bleibt jedoch bestehen: Woher weiss mein CA, wo mein DNS-Server läuft?

Also mein DNS-Server läuft bei meinem Hoster und ich habe in meinem DNS-Server eine "Sub"-Zone "acme.example.com" an meinen ACME-DNS Server delegiert und durch die passenden CNAME Einträge weiß die CA wo sie die TXT Records findet.

In deiner DNS-Zone legst du dafür folgende Delegations-Records an

Code: Alles auswählen

acme.example.com NS acme.example.com
acme.example.com A 1.2.3.4

Auf der IP 1.2.3.4 läuft dein ACME-DNS Server und er verwaltet die Zone "acme.example.com".

Für die einzelnen Dienste sieht das dann folgendermaßen in der Zone aus:

Code: Alles auswählen

_acme_challenge.git.example.com CNAME  9f55e763-659c-44b8-b42e-3fc9b796e38d.acme.example.com.

Das heisst also, du hast example.com bei deinem Hoster registriert, und leitest nur (z.B. via Web-Interface) die Subdomäne acme.example.com zur DNS-Verwaltung auf deinen eigenen Server um?

Der CNAME-Eintrag ist dann nach wie vor bei deinem Hoster, und 9f55e763-659c-44b8-b42e-3fc9b796e38d.acme.example.com verweist dann auf den entsprechenden TXT-Eintrag, den du auf deinem ACME-DNS-Server verwaltest?

Verstehe ich das soweit richtig?

[bluestar]

Das heisst also, du hast example.com bei deinem Hoster registriert, und leitest nur (z.B. via Web-Interface) die Subdomäne acme.example.com zur DNS-Verwaltung auf deinen eigenen Server um?

Vollkommen richtig erkannt, damit bleibt die Zone "example.com" komplett funktionsfähig, auch wenn die Subzone "acme.example.com" mal streiken sollen.

Der CNAME-Eintrag ist dann nach wie vor bei deinem Hoster, und 9f55e763-659c-44b8-b42e-3fc9b796e38d.acme.example.com verweist dann auf den entsprechenden TXT-Eintrag, den du auf deinem ACME-DNS-Server verwaltest?

Verstehe ich das soweit richtig?

Ganz genau

[paedubucher]

Sehr gut, dann erscheint mit die Aufgabe doch recht gut bewältigbar, selbst mit Bind und meinem mangelnden Wissen darüber.

Ich poste dann später hier noch meine Ergebnisse, sobald alles läuft, und ich das entsprechend dokumentiert habe.

[paedubucher]

In deiner DNS-Zone legst du dafür folgende Delegations-Records an

Code: Alles auswählen

acme.example.com NS acme.example.com
acme.example.com A 1.2.3.4

Leider beschwert sich das Interface, dass ich nur einen Eintrag für acme.example.com erstellen kann

Handelt es sich wirklich um einen A-Record oder nicht vielmehr um einen Glue-Record?

[bluestar]

Leider beschwert sich das Interface, dass ich nur einen Eintrag für acme.example.com erstellen kann

Das ist aber ziemlich unpraktisch.

Handelt es sich wirklich um einen A-Record oder nicht vielmehr um einen Glue-Record?

Wenn du Glue-Records anlegen kannst, versuch es. Du kannst auch den ACME-DNS-Server und die Zone unterschiedlich benennen, damit umgehst du das Problem.

[paedubucher]

Leider beschwert sich das Interface, dass ich nur einen Eintrag für acme.example.com erstellen kann

Das ist aber ziemlich unpraktisch.

Handelt es sich wirklich um einen A-Record oder nicht vielmehr um einen Glue-Record?

Wenn du Glue-Records anlegen kannst, versuch es. Du kannst auch den ACME-DNS-Server und die Zone unterschiedlich benennen, damit umgehst du das Problem.

Zwischen DNS-Server und Zone unterscheiden klingt für mich sinnvoll. Dann also:

Code: Alles auswählen

acme.snipperia.ch A 89.145.162.223
ns1.snipperia.ch NS acme.snipperia.ch

Dann in /etc/bind/named.conf.local:

Code: Alles auswählen

zone "acme.snipperia.ch" {
        type master;
        file "/etc/bind/zones/db.acme.snipperia.ch";
        allow-query { any; };
};

Und in /etc/bind/zones/db.acme.snipperia.ch:

Code: Alles auswählen

$TTL    300
$ORIGIN acmesnipperia.ch
@       IN      SOA     acme.snipperia.ch       webmaster.snipperia.ch
                     2021072600         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL

        IN      NS      ns1.snipperia.ch.

(gemäss Tutorial)

[bluestar]

Zwischen DNS-Server und Zone unterscheiden klingt für mich sinnvoll. Dann also:

Code: Alles auswählen

acme.snipperia.ch A 89.145.162.223
ns1.snipperia.ch NS acme.snipperia.ch

Genau A und NS Record vertauschen:

Code: Alles auswählen

acme.snipperia.ch NS ns1.snipperia.ch.
ns1.snipperia.ch A 89.145.162.223

Und im SOA Record ist auch noch eine kleine Änderung.

Code: Alles auswählen

$TTL    300
$ORIGIN acmesnipperia.ch
@       IN      SOA     ns1.snipperia.ch       webmaster.snipperia.ch
                     2021072600         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL

        IN      NS      ns1.snipperia.ch.

[paedubucher]

Vielen Dank, das funktioniert!

Code: Alles auswählen

$ dig +short -t txt test.acme.snipperia.ch @acme.snipperia.ch
"this is a test"

Eigentlich sollte der Server auch mit @ns1.snipperia.ch verfügbar sein, doch das wird sich dann unter den DNS-Servern schon herumsprechen. (Warte nur, bis 8.8.8.8 davon erfährt! )

EDIT: @acme.snipperia.ch ist schon das, was effektiv gebraucht wird.

Mein Tutorial habe ich aktualisiert, dann kann ich morgen mit Dehydrated weiterbasteln. Einzig wegen dem Glue-Record bin ich mir nicht ganz sicher. Ich lasse den mal drin, versuche es morgen einmal mit und einmal ohne.

Aber gut, dass ich das Setup mit Bind einigermassen hinbiegen konnte, denn sowas hilft mir dann auch in der Firma (wir wollen unsere Wildcard-Zertifikate künftig nicht mehr von kommerziellen Anbietern, sondern von Let's Encrypt beziehen.)

EDIT: Den TXT-Record habe ich natürlich auch definiert, der kommt nicht aus dem luftleeren Raum:

Code: Alles auswählen

$TTL    300
$ORIGIN acme.foobar.com.
@       IN      SOA     ns1.foobar.com. webmaster.foobar.com. (
                     2021072600         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL

        IN      NS      ns1.foobar.com.

test    IN      TXT     "this is a test"

[egerlach]

Hallo,
genau das will ich auch: "Von Web-Hoster auf eigenen Server weiterleiten". Eigener Server: Debian10-VServer mit IPv4 1.2.3.4 . und Debian10-KVM-Server mit IPv4 5.6.7.8. Beides gemietet. Leider verstehe ich von dem thread hier nichts!

Geht das überhaupt was ich will?
Ich habe bei meinem hoster (all-inkl.com) für eine subdomain "test" angelegt: test.meineDomain.de , für die subdomain mit einem klick ein letsencrypt-Zertifikat geholt.
Die URL: https://test.meineDomain.de leite ich beim Hoster per "Domainweiterleitung (redirect)" auf https://1.2.3.4 um , Richtig?
Geht das überhaupt per Weiterleitung? Oder muss ich für den Debian-Vserver/-KVM-Server eine eigene Domain registrieren?
Wenn es so geht wie ich es mir erhoffe, dann muss ich auf jeden Fall noch das Zertifikat in den Apache des Vserver / KVM-Server installieren, richtig?
Wer kann mit eine paar Stichworte liefern, damit ich mich gezielt einlesen kann?

Danke schon mal
Eckard

[bluestar]

Hallo,
genau das will ich auch: "Von Web-Hoster auf eigenen Server weiterleiten". Eigener Server: Debian10-VServer mit IPv4 1.2.3.4 . und Debian10-KVM-Server mit IPv4 5.6.7.8. Beides gemietet.

Warum machst du dazu keinen eigenen Thread auf, statt diesen zu kapern?

Geht das überhaupt was ich will?

Ja und zwar sehr einfach.

Ich habe bei meinem hoster (all-inkl.com) für eine subdomain "test" angelegt: test.meineDomain.de , für die subdomain mit einem klick ein letsencrypt-Zertifikat geholt.

Warum so umständlich? Trag doch einfach für test.meineDomain.de die IP-Adresse (A-Record) ein.

[egerlach]

"gekapert"? - Normalerweise werden meine threads anderen ähnlichen angehängt. (naja, hier im debianforum bisher noch nie ...)

Ich habe bei meinem hoster (all-inkl.com) für eine subdomain "test" angelegt: test.meineDomain.de , für die subdomain mit einem klick ein letsencrypt-Zertifikat geholt.

Warum so umständlich? Trag doch einfach für test.meineDomain.de die IP-Adresse (A-Record) ein.

Du meinst dann wahrscheinlich eine DNS-Weiterleitung, richtig? - Das mache ich auch bisher schon häufig, die geht direkt auf die feste IPv4. Dann muss ich dann auf dem Ziel-Server ein Zertifikat installieren, richtig?

[...] vieles gelöscht, Lösung gefunden:

so hats funktioniert:
1. Zertifikat bei meinem Hoster raus, reine DNS-Weiterleitung auf die IP des externen KVM-Server
2. nach dieser Anleitung mir ein letsencrypt Zertifikat geholt: https://www.pragmaticlinux.com/2020/10/ ... debian-10/

Code: Alles auswählen

  a) in /etc/apache2/sites-enabled/000-default.conf :   ServerAlias test.meineDomain.de
  b) systemctl restart apache2  
  c) apt install python3-certbot-apache
  d) certbot --apache
      ==> Congratulations! You have successfully enabled https://test.meineDomain.de
     in die  /etc/apache2/ports.conf  wurde ein Eintrag   "Listen 80" gemacht

Jetzt geht https auf Port 80! Die "alten" Ports https://test.meineDomain.de:12345 gehen nicht ("kann keine sichere Verb. aufbauen"), die laufen nur ohne secure mit http

Frage: wenn ich diesen Test-Server, bei dem ich nur zu Test-Zwecken https brauche, weg haben will von Port 80 für https, muss ich dann für jeden Port ein Zertifikat holen?
Ist das Zertifikat auf Port 80 festgelegt?

Danke schonmal