Lets Encrypt Dehydrated Challenge Webserver Frage

Christian Bricart christian at bricart.de
Mo Nov 29 10:20:01 CET 2021


Hallo Frank,

grundsätzlich folgt die HTTP-01 Challenge auch 30x Antworten.
d.h wenn du auf dem Webserver für den Pafd /.well-known/acme-challenge/* 
statisch einen Redirect bspw "301 
http://dein-mailserver.example.com$request_uri" liefern lässt, dann 
kannst du die komplette Challenge auf dem Mailserver abfackeln.
Nur drehst du dein Problem wahrscheinlich damit um ;) Dann musst du dir 
überlegen, wie du das Zertifikat auf den Webserver bekommst ;)

Wahrscheinlich willst du eher auf DNS-01 Challenge umsteigen..

Christian


Am 29.11.21 um 09:25 schrieb fk+postfix at celebrate.de:
> Guten Tag Allen,
> 
> Wenn ein LE Zertifikat ausgestellt / erneuert wird - ich nutze dafür 
> dehydrated als ACME client, prüft LE über die Challenge, ob man 
> tatsächlich die "Gewalt" über den Webserver auch hat, um ein Zertifikat 
> für die Domain zu generieren.
> 
> Nun soll der Webserver weiter beim Provider laufen, der Emailverkehr 
> aber über einen Postfix mit anderer IP Adresse abgewickelt werden.
> LE sucht natürlich die well-known/acme-challenge auf dem Webserver, 
> dehydrated wird aber auf dem Postfix Server ausgeführt. Damit läuft die 
> Validierung ins Leere.
> Auf dem Postfix Server habe ich auch einen Webserver. Kann man die 
> Challenge irgendwie umleiten oder das über eine Subdomain regeln?
> Oder kann man den challenge-token per SFTP auf den Webserver übertragen 
> lassen?
> 
> Viele Grüße,
> Frank
> 
> 



Mehr Informationen über die Mailingliste Postfixbuch-users