Webhosters met DNS API voor Let's Encrypt DNS-01 challenge? - Internet en hosting

donderdag 26 september 2024 14:31

Acties:

0 Henk 'm!

Topicstarter

Ik host mijn domein bij Versio (voorheen PCExtreme) en wil daar al enige tijd weg.

Wat echter super fijn is, is dat ik middels een DNS-01 challenge gemakkelijk een Let's Encrypt wildcard certificaat kan aanvragen. Zij gebruiken een of andere Aurora cloud setup (ik heb geen idee van de details), waardoor m'n Let's Encrypt client (ik gebruik go-acme/lego) een TXT DNS record kan aanmaken voor de DNS-01 challenge.

Dit is voor mij vrij handig, omdat ik veel verschillende subdomeinen heb, en ik heb/wil poort 80 niet openzetten. Bij een normale HTTP-01 challenge kan je geen wildcard aanvragen (dus proces en certificaat per subdomein) en moet je via port 80 gaan. (TLS-ALPN-01 kan ook geen wildcard doen als ik het goed begrijp).

Ik zou het nog wel handmatig kunnen doen elke 3 maanden, maar dan blijf ik denk ik nog liever meer geld betalen om dit te kunnen automatiseren...

Dus de vraag is, zijn er nog andere hosters die een API hebben om automatisch een TXT DNS record aan te kunnen maken voor een DNS-01 Let's Encrypt challenge?

donderdag 26 september 2024 14:40

Acties:

+1 Henk 'm!

Groentjuh

In OPNSense lijkt mijn ACMEClient het volgende te kunnen:

code:

1984Hosting
ACME DNS
Acmeproxy
Active24
Alwaysdata.com
aliyun.com
All-Inkl.com
ArvanCloud
ArtFiles
Aurora (PCextreme/Versio)
AutoDNS (InterNetX)
AWS Route 53
Azure DNS
Bunny
ClouDNS
CloudFlare.com
CloudXNS.com
Core-Networks
ConoHa
Constellix
cPanel
cyon.ch
DDNSS
deSEC.io
DigitalOcean
DirectAdmin
DNSExit
dnsHome
DNSimple
DNS.Services
Domeneshop
DNSMadeEasy.com
DNSPod.cn
Domain-Offensive LetsEncrypt
Domain-Offensive Resellerinterface/Domainrobot
DreamHost
DuckDNS
Dyn Managed
Dynu
dynv6
EasyDNS
EUserv
Exoscale
FreeDNS
Gandi LiveDNS
GoDaddy.com
Google Cloud DNS
Google Domains
GratisDNS.dk
Hetzner
hexonet.com
hosting.de
Hurricane Electric
Infoblox
Infomaniak
internetbs.net
INWX XMLRPC
IONOS domain
IPv64.net
ISPConfig 3.1+
JD Cloud
Joker
KingHost
Knot (knsupdate)
LeaseWeb
lexicon (DEPRECATED)
Linode (v3 / Deprecated)
Linode (v4)
Loopia
LuaDNS.com
MailinaBox
Mythic Beasts
Name.com
Namecheap
Namesilo.com
Nederhost
netcup
nic.ru
Njalla
NS1.com
nsupdate (RFC 2136)
online.net
OPNsense BIND Plugin
Oracle Cloud Infrastructure (OCI)
OVH, kimsufi, soyoustart and runabove
PowerDNS.com
Plesk
PointHQ
Porkbun
Rackspace
rage4
RegRu
SchlundTech
selectel.com / selectel.ru
Selfhost
Servercow
Simply.com
Transip
united-domains Reselling
UnoEuro
Variomedia.de
Vscale
Vultr
World4You
Yandex PDD
Zilore
Zone.eu
zonomi.com

zaterdag 28 september 2024 09:36

Acties:

0 Henk 'm!

Rainbow

Topicstarter

Bedankt, maar helaas zegt het nog niet zo heel erg veel. Een paar zijn wel te herkennen natuurlijk, zoals PCExtreme/Versio, LeaseWeb, Nederhost, Transip. Maar er staan ook softwarepakken tussen zoals cPanel, en dan weet je niet welke hosters dat gebruiken én de relevante API daarvan ondersteunen. Ik ga in ieder geval eens kijken bij de hosters die er bij naam in staan.

zaterdag 28 september 2024 12:44

Acties:

0 Henk 'm!

king006

Staan al die sub domeinnamen (en hoofd) op dezelfde server? Of heb je dat lokaal staan en wil je daar SSL op hebben?

zaterdag 28 september 2024 12:50

Acties:

0 Henk 'm!

Rainbow

Topicstarter

Ja die staan allemaal op dezelfde server (een VPS, die ik compleet ergens anders host).

zaterdag 28 september 2024 12:57

Acties:

+2 Henk 'm!

alex3305

Als alternatief zou je bijvoorbeeld Cloudflare het DNS beheer kunnen laten doen. Dan ben je niet meer zo afhankelijk van de implementatie van een hoster.

zaterdag 28 september 2024 13:00

Acties:

+1 Henk 'm!

Drardollan

Bij mijn.host krijg ik gewoon wildcards als certificaat. Maar eigenlijk kijk ik er niet eens naar, DirectAdmin regelt het allemaal zelf tegenwoordig. Heerlijk.

Automatisch crypto handelen via een NL platform? Check BitBotsi !

zaterdag 28 september 2024 13:10

Acties:

+1 Henk 'm!

canonball

Rainbow schreef op zaterdag 28 september 2024 @ 09:36:
Bedankt, maar helaas zegt het nog niet zo heel erg veel. Een paar zijn wel te herkennen natuurlijk, zoals PCExtreme/Versio, LeaseWeb, Nederhost, Transip. Maar er staan ook softwarepakken tussen zoals cPanel, en dan weet je niet welke hosters dat gebruiken én de relevante API daarvan ondersteunen. Ik ga in ieder geval eens kijken bij de hosters die er bij naam in staan.

Transip ondersteund in iedergeval de dns challange, ik gebruik alleen domein naam registratie geen verdere hosting.

Heb het thuis met SWAG, dat is een ngix reserve proxy, met ingebouwde letsencrypt ondersteuning.

zaterdag 28 september 2024 13:16

Acties:

0 Henk 'm!

Rainbow

Topicstarter

alex3305 schreef op zaterdag 28 september 2024 @ 12:57:
Als alternatief zou je bijvoorbeeld Cloudflare het DNS beheer kunnen laten doen. Dan ben je niet meer zo afhankelijk van de implementatie van een hoster.

Bedankt. Ik ben liever niet afhankelijk van een groot Amerikaans bedrijf voor m'n .nl domeintje (ik snap dat het prima kan werken met .nl hoor, maar doe het liever gewoon met een Hollandsch bedrijf als dat kan).

Drardollan schreef op zaterdag 28 september 2024 @ 13:00:
Bij mijn.host krijg ik gewoon wildcards als certificaat. Maar eigenlijk kijk ik er niet eens naar, DirectAdmin regelt het allemaal zelf tegenwoordig. Heerlijk.

Ik neem aan dat dat is met een webhosting pakket erbij? Ik had een tijd geleden contact met mijn.host om te vragen of ze een vergelijkbare API hadden, maar dat hebben ze niet. Ze zeiden dat er wel een optie was om het via hun te doen met DirectAdmin, maar dan moet je daar wel een hostingpakket bij afnemen. Dan zouden de totale kosten alsnog hoger worden dan bij PCExtreme, dus schiet ik er niet veel mee op.

canonball schreef op zaterdag 28 september 2024 @ 13:10:
[...]

Transip ondersteund in iedergeval de dns challange, ik gebruik alleen domein naam registratie geen verdere hosting.

Heb het thuis met SWAG, dat is een ngix reserve proxy, met ingebouwde letsencrypt ondersteuning.

Nice! Voor de duidelijkheid, gaat het dan echt om de DNS-01 challenge, of de ALPN (in de gelinkte docs staat zoiets als dat ALPN vaak voor reverse proxies gebruikt wordt, daarom vraag ik het)?

zaterdag 28 september 2024 13:34

Acties:

+1 Henk 'm!

canonball

Rainbow schreef op zaterdag 28 september 2024 @ 13:16:
Nice! Voor de duidelijkheid, gaat het dan echt om de DNS-01 challenge, of de ALPN (in de gelinkte docs staat zoiets als dat ALPN vaak voor reverse proxies gebruikt wordt, daarom vraag ik het)?

Zover ik weet echt dns-01, zie ook https://github.com/linuxserver/docker-swag/issues/51

Ik gebruik het alleen thuis, maar benader mijn containers wel via https. Vanaf het internet staat niets open, dus verivicatie kan niet via http(s).
De verificatie gebeurd op dns en volgens mij is dat dan automatisch dns01?

zaterdag 28 september 2024 13:39

Acties:

0 Henk 'm!

StaticZ

Rainbow schreef op zaterdag 28 september 2024 @ 13:16:
[...]

Bedankt. Ik ben liever niet afhankelijk van een groot Amerikaans bedrijf voor m'n .nl domeintje (ik snap dat het prima kan werken met .nl hoor, maar doe het liever gewoon met een Hollandsch bedrijf als dat kan).

[...]

Desec.io als nameserver?
Niet Nederlands wel Europees. (Duitsland)

zaterdag 28 september 2024 16:03

Acties:

+1 Henk 'm!

Drardollan

Overigens kan je het ook prima oplossen door even kort poort 80 open te gooien. Kan je prima automatiseren bij een aanvraag die certbot uitvoert.

[ Voor 15% gewijzigd door Drardollan op 28-09-2024 16:04 ]

Automatisch crypto handelen via een NL platform? Check BitBotsi !

zaterdag 28 september 2024 17:55

Acties:

+1 Henk 'm!

dbzokphp

@Rainbow je geeft aan go-acme/lego te gebruiken. Ik zie dat mijn.host hier ook tussen staat. Bij deze partij zit ik zelf en kan ik zeker aanraden.

zaterdag 28 september 2024 20:02

Acties:

+1 Henk 'm!

Rainbow

Topicstarter

Drardollan schreef op zaterdag 28 september 2024 @ 16:03:
Overigens kan je het ook prima oplossen door even kort poort 80 open te gooien. Kan je prima automatiseren bij een aanvraag die certbot uitvoert.

Ja is misschien wel het meest pragmatisch. Meest vervelende daarvan vind ik dat je met de HTTP-01 challenge geen wildcard certificaten kunt aanvragen. Dus dat is een stukje extra config waar ik aan moet denken bij het maken van een subdomein (ik maak nog wel eens een nieuw appje die ik dan live zet onder een nieuwe subdomein).

dbzokphp schreef op zaterdag 28 september 2024 @ 17:55:
@Rainbow je geeft aan go-acme/lego te gebruiken. Ik zie dat mijn.host hier ook tussen staat. Bij deze partij zit ik zelf en kan ik zeker aanraden.

Oh dat is interessant! Ik had even opgezocht en het was in mei dat ze zeiden dat ze geen support hadden voor een DNS API, maar het lijkt erop dat ze dat nu toch hebben. Interessant dat die support ook pas vorige maand is toegevoegd. Ik zal nog eens contact met ze opnemen om te dubbelchecken. Ik had toch al veel goeds gehoord over die hoster en was m'n eerste keuze toen ik de vorige keer aan het denken was aan overstappen.

maandag 30 september 2024 10:36

Acties:

+1 Henk 'm!

Rainbow

Topicstarter

Ondertussen heb ik antwoord en inderdaad is dit nu volledig supported. Ik vroeg me ook af of het misschien alleen bij een webhostingpakket beschikbaar zou zijn, of ook als je alleen een domein hebt. Dat laatste blijkt het geval.

Bedankt voor je vraag, de API is inderdaad beschikbaar zonder een webhostingpakket. Je kan deze dus gebruiken voor enkel een domein.

De documentatie vind je hier: https://mijn.host/api/doc/

Via ons controlepaneel kan je een API sleutel aanmaken via deze pagina: https://mijn.host/cp/account/api/

Deze week m'n domein maar eens overzetten naar mijn.host dan!

dinsdag 1 oktober 2024 09:06

Acties:

0 Henk 'm!

Rainbow

Topicstarter

Nou verhuist hoor, ging relatief soepel. Wil wel 2 dingetjes delen.

Eentje is dat de verhuizing best een beetje lastig is verlopen, omdat de DNS records niet automatisch overgenomen werden. Een paar maanden geleden had ik 2 domeinen overgezet van PCExtreme naar Vimexx (lang verhaal) en die namen de DNS records over en hoefde dus helemaal niets aan te passen, werkte gewoon. Bij mijn.host werd een stel default records van mijn.host ingesteld, maar dat had ik aanvankelijk niet echt door (ik dacht dat het standaard was dat het overgenomen zou worden). Dus doen waren een paar apps en m'n email ruim een uur niet bereikbaar helaas.

De API werkt goed met go-acme/lego, hoefde in m'n setup alleen maar --dns auroradns te veranderen naar --dns mijnhost en een MIJNHOST_API_KEY in de config te zetten. Enige wat daar een beetje jammer is, is dat het verplicht is een expiry voor de API key in te stellen en de maximum is 6 maanden. Dus nu moet ik in mijn agenda zetten dat ik elke 6 maanden een nieuwe API aanmaak, in de config zet en test. Nou ja beter dan elke 3 maanden handmatig een zooi Let's Encrypt certificaten hernieuwen, maar toch niet evenveel geautomatiseerd als dat het bij PCExtreme was.

maandag 20 januari 2025 15:05

Acties:

+2 Henk 'm!

mijn.host

Bedrijfsaccount mijn.host

Bedankt voor je feedback. Leuk om te melden, we hebben de houdbaarheid van een API key nu verhoogd naar 2 jaar, gezien dit wat meer flexibiliteit geeft.