zeitverschreib ⁂

zeitverschreib@freundica.de

Nach all den Jahren im Fediverse wird es langsam mal Zeit, ein ausführlich(er)es Profil zu verfassen. 🤓

#vegan - seit 2018. Soweit wie möglich, aber mit Ausnahmen bei Medikamenten und Zahnpasta, wenn es keine tiefleidfreie Alternative gibt.

#pronomen - er/sein. Nur der Vollständigkeit halber.

#antifa

Folge

Netzwerkbeiträge

https://blog.zeitverschreib.de ✔

friendica (DFRN) - Link zum Originalbeitrag

zeitverschreib ⁂

2 Tage her von Phanpy

zeitverschreib ⁂
2 Tage her von Phanpy

Frage in die Runde: hat wer von Euch Erfahrung mit namemaster.de? Speziell deren API für die DNS.

Hintergrund: für Dienste wie zum Beispiel Vaultwarden, die nur innerhalb meines eigenen Netzes erreichbar sein sollen, habe ich bisher alle drei Monate die Ports 80 und 443 auf den sonst abgeschirmten Server umgeleitet, um kurz die Zertifikate zu erneuern. Wird aber auch gerne mal vergessen, bis der Bitwarden-Client dann streikt.

Vielen meiner Domains liegen bei All-Inkl, deren API scheint aber den NPM für DNS-Challenge-Updates nicht reinzulassen, wenn 2FA aktiviert ist. Verständlich, aber nicht hilfreich.

Daher suche ich für eine einzelne neue Domain einen Anbieter, der das kann.

namemaster.de ist mir hier im Fediverse in einem Posting aufgefallen, die Preise sind sehr attraktiv. Aber: kann deren API mit NPM?

Danke im Voraus.

#SelfHosting

teilten dies erneut

Als Antwort auf zeitverschreib ⁂

lebochequirit

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Inwx macht das bei mir.
Caddy oder traefik holen die Zertifikate per DNS-Challenge.

Traefik setzt dabei auf LEGo
go-acme.github.io/lego/dns/inw…
Dort sind auch andere unterstützte Anbieter gelistet.
Mit caddy brauchst Du auch nicht alle drei Monate da rumzudoktorn, das geht einfach im Hintergrund.

INWX :: Let’s Encrypt client and ACME library written in Go.

Configuration for INWX.

^{Let’s Encrypt client and ACME library written in Go.}

Als Antwort auf zeitverschreib ⁂

Carsten

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Ich habe eine Domain, die von außen erreichbar ist, für mein Homelab. Als DynDNS-Provider nutze ich desec.io und als Registrar inwx.de. Am Router werden die Ports 80 und 443 auf die Firewall weitergeleitet, dann auf den NginxProxyManager. Der NPM kümmert sich um das interne Mapping und die Zertifikate. Alles, was zum Homelab gehört, hat eine Subdomain der Internet-Domain. Desec.io mappt nur die Hauptdomain, keine Subdomains. Let's Encrypt funktioniert für die Subdomains.

Als Antwort auf Carsten

zeitverschreib ⁂

Als Antwort auf Carsten 1 Tag her von Phanpy

@Carsten Sowas habe ich schon für die Domains laufen, die von außen erreichbar sind. Ich möchte nun aber nach und nach alles abschotten, was nicht explizit benötigt wird. Von außen kommen meine Endgeräte alle per Wireguard ins heimische Netz.

ToDo: Jellyfin, welches auch von der Wohnung der Liebsten erreichbar sein muss. Bisher ist der Jellyfin-Server per NPM von außen zu sehen, demnächst will ich Wireguard auch auf dem FireTV-Stick einbinden.

Mir ist es wichtig, dass bestimmte Dienste überhaupt nicht mehr nach außen sichtbar sind, daher die Frage nach DNS-Challenge.

@Carsten

Als Antwort auf zeitverschreib ⁂

Carsten

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Die mein Wildcard für *.intranet.exmaple.com ist auch nirgends sichtbar. funktioniert aber trotzdem, weil example.com sichtbar ist.

Als Antwort auf zeitverschreib ⁂

Carsten

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Du koenntest aber auch Tailscale oder Netbird nehmen. Die haben auch so magic dns eingebaut. Oder Twingate.

Als Antwort auf zeitverschreib ⁂

Stefan Ritter

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Der Kollege antwortet in der Regel auf E-Mails. Zwar kurz und technisch, aber er antwortet.

zeitverschreib ⁂ mag das.

Als Antwort auf zeitverschreib ⁂

Fabian Schlenz

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Bevor du dir da evtl. zu viel Arbeit mit machst: Let's Encrypt baut gerade den DNS-PERSIST-01-Mechanismus - da musst du dann nur einmalig einen DNS-Eintrag setzen und darfst damit immer wieder Zertifikate erstellen. Geplant ist der Rollout für Q2 2026.
letsencrypt.org/2026/02/18/dns…

DNS-PERSIST-01: A New Model for DNS-based Challenge Validation

When you request a certificate from Let’s Encrypt, our servers validate that you control the hostnames in that certificate using ACME challenges.

^{letsencrypt.org}

mögen das

Als Antwort auf Fabian Schlenz

zeitverschreib ⁂

Als Antwort auf Fabian Schlenz 1 Tag her von Phanpy

@Fabian Schlenz Das liest sich auf den ersten Blick ziemlich gut, Danke für den Hinweis.

@Fabian Schlenz

Als Antwort auf zeitverschreib ⁂

Si (he/him)

Als Antwort auf zeitverschreib ⁂ 1 Tag her

Ich habe das so gelöst:

codeberg.org/quiteBold/self-ho…

Ich habe allerdings auch einen Teil meiner services exposed. Geht allerdings auch komplett dicht.

self-hosting/exposing_internal-services.md at main

^Codeberg.org

Als Antwort auf zeitverschreib ⁂

der Marko 🚲🏃‍♂️

Als Antwort auf zeitverschreib ⁂ 1 Tag her

ist eine eigene CA für das interne Netz aufzusetzen eine Option für dich? Das geht mit step-ca ganz gut und einmal eingerichtet ist der Rest Automatismus.

Als Antwort auf der Marko 🚲🏃‍♂️

zeitverschreib ⁂

Als Antwort auf der Marko 🚲🏃‍♂️ 1 Tag her

@der Marko 🚲🏃‍♂️ Hauptsächlich brauche ich ein Zertifikat für Vaultwarden. Wenn das auch ein eigenes CA akzeptiert, wäre das eine Möglichkeit.

@der Marko 🚲🏃‍♂️

⇧

zeitverschreib ⁂ 2 Tage her von Phanpy •

zeitverschreib ⁂
2 Tage her von Phanpy