Lets Encrypt Dehydrated Challenge Webserver Frage
Christian Bricart
christian at bricart.de
Mo Nov 29 10:20:01 CET 2021
Hallo Frank,
grundsätzlich folgt die HTTP-01 Challenge auch 30x Antworten.
d.h wenn du auf dem Webserver für den Pafd /.well-known/acme-challenge/*
statisch einen Redirect bspw "301
http://dein-mailserver.example.com$request_uri" liefern lässt, dann
kannst du die komplette Challenge auf dem Mailserver abfackeln.
Nur drehst du dein Problem wahrscheinlich damit um ;) Dann musst du dir
überlegen, wie du das Zertifikat auf den Webserver bekommst ;)
Wahrscheinlich willst du eher auf DNS-01 Challenge umsteigen..
Christian
Am 29.11.21 um 09:25 schrieb fk+postfix at celebrate.de:
> Guten Tag Allen,
>
> Wenn ein LE Zertifikat ausgestellt / erneuert wird - ich nutze dafür
> dehydrated als ACME client, prüft LE über die Challenge, ob man
> tatsächlich die "Gewalt" über den Webserver auch hat, um ein Zertifikat
> für die Domain zu generieren.
>
> Nun soll der Webserver weiter beim Provider laufen, der Emailverkehr
> aber über einen Postfix mit anderer IP Adresse abgewickelt werden.
> LE sucht natürlich die well-known/acme-challenge auf dem Webserver,
> dehydrated wird aber auf dem Postfix Server ausgeführt. Damit läuft die
> Validierung ins Leere.
> Auf dem Postfix Server habe ich auch einen Webserver. Kann man die
> Challenge irgendwie umleiten oder das über eine Subdomain regeln?
> Oder kann man den challenge-token per SFTP auf den Webserver übertragen
> lassen?
>
> Viele Grüße,
> Frank
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users