[Admin] git

Moin Moin,

hab das git mal gefix. Die gitlab nginx registy war kaputt.

Das io.ffnw.de cert hab ich deleted und via standalone webserver neu
konfiguriert, da dns authentication nicht geht.

Lg
Tarek

Hmm dann dürfte io.ffnw.de recht sinnlos sein. Oder spuckt der Standalone Webserver inzwischen Wildcardzertifikate aus?

Moin,

Das io.ffnw.de cert hab ich deleted und via standalone webserver neu
konfiguriert, da dns authentication nicht geht.

Wieso geht die nicht?

Ah, die whilecards... hm dann müsste sich das da mal jemand anschauen
jedenfalls hing der certbot im dns response fest.

Lg
Tarek

certbot kann afaik kein PowerDNS, wenn dann müsste es ja acme.sh sein?!

Bleibt im dns response verfahren hängen, weil der dns server nicht
antwortet oder so?

lg

Hmm dann dürfte io.ffnw.de <http://io.ffnw.de> recht sinnlos sein. Oder
spuckt der Standalone Webserver inzwischen Wildcardzertifikate aus?

Sind nun per DNS-Auth erstellt und liegen wie folgt:

[Mo 5. Okt 21:56:26 CEST 2020] Installing cert
[Mo 5. Okt 21:56:26 CEST 2020] Installing key
[Mo 5. Okt 21:56:26 CEST 2020] Installing full chain

Bleibt im dns response verfahren hängen, weil der dns server nicht
antwortet oder so?

Die IP vom git-Server war für den API-Zugriff bisher auch nicht
freigegeben. Das wurde nun nachgeholt und in /root/.acme.sh/account.conf
liegen die Daten die acme.sh braucht, um die Domains zu renewen.

Wer hat denn da mit "add meta dns update" rumgespielt?

Gruß

Ganz vielleicht war ich das. Ist dann aber schon ewig her. Ziemlich genau bei der Einrichtung von io.ffnw.de.

Ok, ihr könnt jedenfalls das wildcard dort einbinden, wo es gebraucht
wird - ich wollte diesbezüglich nun nichts kaputtmachen.

Vielleicht ein bisschen Thread-stealing:

Kennst du die best-practice Let’s Encrypt Zertifikate auf mehrere Server zu verteilen, damit man nicht irgendwann in die Rate-Limits kommt und sich auch nicht jeder intensiv um die Einrichtung kümmern muss?

Also, wir könnten das doch mit rsync machen? Dann bauen wir einen
zentralen LE Server der alle certs an die passenden Server verteilt.
bzw. recht da nicht einfach ein Wildcard für *.ffnw.de,
*.nordwest-freifunk.net, *.freifunk-oldenburg.de bzw. je nachdem welche
legacy Domains wir haben?

Lg
Tarek