[Admin] git

Jan-Tarek_Butt · 3. Oktober 2020 um 16:08

Moin Moin,

hab das git mal gefix. Die gitlab nginx registy war kaputt.

Das io.ffnw.de cert hab ich deleted und via standalone webserver neu
konfiguriert, da dns authentication nicht geht.

Lg
Tarek

Simon_Kurka1 · 3. Oktober 2020 um 16:18

Hmm dann dürfte io.ffnw.de recht sinnlos sein. Oder spuckt der Standalone Webserver inzwischen Wildcardzertifikate aus?

bjo · 3. Oktober 2020 um 16:19

Moin,

Das io.ffnw.de cert hab ich deleted und via standalone webserver neu
konfiguriert, da dns authentication nicht geht.

Wieso geht die nicht?

Jan-Tarek_Butt · 3. Oktober 2020 um 16:25

Ah, die whilecards... hm dann müsste sich das da mal jemand anschauen
jedenfalls hing der certbot im dns response fest.

Lg
Tarek

bjo · 3. Oktober 2020 um 17:37

certbot kann afaik kein PowerDNS, wenn dann müsste es ja acme.sh sein?!

Jan-Tarek_Butt · 3. Oktober 2020 um 20:16

Bleibt im dns response verfahren hängen, weil der dns server nicht
antwortet oder so?

lg

bjo · 5. Oktober 2020 um 19:57

Hmm dann dürfte io.ffnw.de <http://io.ffnw.de> recht sinnlos sein. Oder
spuckt der Standalone Webserver inzwischen Wildcardzertifikate aus?

Sind nun per DNS-Auth erstellt und liegen wie folgt:

[Mo 5. Okt 21:56:26 CEST 2020] Installing cert
[Mo 5. Okt 21:56:26 CEST 2020] Installing key
[Mo 5. Okt 21:56:26 CEST 2020] Installing full chain

bjo · 5. Oktober 2020 um 19:59

Bleibt im dns response verfahren hängen, weil der dns server nicht
antwortet oder so?

Die IP vom git-Server war für den API-Zugriff bisher auch nicht
freigegeben. Das wurde nun nachgeholt und in /root/.acme.sh/account.conf
liegen die Daten die acme.sh braucht, um die Domains zu renewen.

Wer hat denn da mit "add meta dns update" rumgespielt?

Gruß

Simon_Kurka1 · 6. Oktober 2020 um 06:35

Ganz vielleicht war ich das. Ist dann aber schon ewig her. Ziemlich genau bei der Einrichtung von io.ffnw.de.

bjo · 6. Oktober 2020 um 07:39

Ok, ihr könnt jedenfalls das wildcard dort einbinden, wo es gebraucht
wird - ich wollte diesbezüglich nun nichts kaputtmachen.

Simon_Kurka1 · 6. Oktober 2020 um 08:41

Vielleicht ein bisschen Thread-stealing:

Kennst du die best-practice Let’s Encrypt Zertifikate auf mehrere Server zu verteilen, damit man nicht irgendwann in die Rate-Limits kommt und sich auch nicht jeder intensiv um die Einrichtung kümmern muss?

Jan-Tarek_Butt · 6. Oktober 2020 um 09:44

Also, wir könnten das doch mit rsync machen? Dann bauen wir einen
zentralen LE Server der alle certs an die passenden Server verteilt.
bzw. recht da nicht einfach ein Wildcard für *.ffnw.de,
*.nordwest-freifunk.net, *.freifunk-oldenburg.de bzw. je nachdem welche
legacy Domains wir haben?

Lg
Tarek