Strato – Letsencrypt DNS TXT Eintrag eingeben

Strato – Letsencrypt DNS TXT Eintrag eingeben

Wer seine Domains / Pakete bei Strato hostet und auch gerne Letsencrypt für seine Domains verwendet, den wird seinen root Server mit dem Aufruf von Letsencrypt fragen, ob dieser im DNS TXT bei Strato eingetragen ist und eine kryptische Nummer anzeigen, die dort eingetragen werden soll!

An dieser Stelle wird dann gestoppt und der Eintrag im Strato Paket zuerst vorgenommen, bevor auf NEU LADEN gedrückt wird.

  • www.strato.de => Login
  • KundenLogin ins Portal Strato
  • Meine Pakete -> Paketübersicht
  • Paket filter – Domain eingeben z.B.  xyz.de
  • rechts auf die drei Punkte der richtigen Domain und Domains verwalten
  • Dort sollte schon im linken Teil ein A:Eintrag nud ggf. ein MX:Eintrag sein
  • rechts auf verwalten klicken
  • DNS Einstellungen ausklappen
  • TXT Records inklusive SPF und DKIM Einstellungen -> verwalten
  • Dort wird unter Präfix _acme-challenge eingetragen und unter Wert der Eintrag
    den der root Server zuvor bei der Wahl von letsencrypt angezeigt hat.

    Ungefähr so sollte das aussehen:
    (Den kryptischen Eintrag habe ich teilweise unkenntlich gemacht)

 

Erst wenn dieser Eintrag im DNS bei Strato gemacht wurde,
mit dem Letsencrypt Verfahren beim root Server fortfahren!
(NEU LADEN klicken im Zertifikatsteil)

 

ERWEITERUNG für den Kommentar von dem bayrischem Lümmel:
Hier kann man gut erkennen, dass der Unterstrich bei der Eingabe von _acme-challenge erlaubt ist:

Plichteintrag für CNAME sind die Sonderzeichen =>    – + * . _   <=  erlaubt!
Sonst würde _acme-challenge auch nicht funktionieren!

 

 

 

 

Hat es Dir geholfen?
Dann würde ich mich über einen Kommentar sehr freuen.

 

15 Gedanken zu „Strato – Letsencrypt DNS TXT Eintrag eingeben

  1. Auf den SEY-Kommentar zu Weglot und Strato habe ich eine Antwort:

    1) Es ist nicht möglich, einen www DNS Record in deiner “example.com”-Domain hinzuzufügen. Du musst zuerst eine www Subdomain hinzufügen und dort den TXT Record “_acme-challenge” und nicht “_acme-challenge.www” einfügen.
    2) Dann musst du den Anweisungen im Weglot-System folgen. In meinem Fall musste ich den Webflow CNAME Record in der Hauptdomain (ohne www) entfernen und dann den weglot.io CNAME Record hinzufügen.

    Gleiche Infos, aber auf Englisch:

    Weglot and Strato – I have an answer:
    1) It’s not possible to add www record in your “example.com” domain. You have to first add a www subdomain and there insert TXT record of “_acme-challenge” and not “_acme-challenge.www”.
    2) Then you have to follow instructions in Weglot system, in my case I had to remove Webflow CNAME record in the main domain (without the www) and then add the weglot.io CNAME record.

  2. Ich habe das Problem, dass ich “_acme-challenge.www” eingeben muss. “_acme-challenge” funktioniert, aber ich brauche “.www” laut Weglot zusätzlich. Wie gehe ich damit um?

  3. Moin, vielen Dank für den Informativen Beitrag! Für Subdomains hat das wunderbar geklappt. Weißt du oder jemand der hier mitliest wie man das bei Strato für eine sub-subdomain geregelt bekommt? Es wird bei Präfix leider nur das _acme-challenge akzeptiert. Die Hotline wollte meine Frage nicht so recht verstehen. Technisch müsste das ja aber irgendwie gehen!? Beste Grüße und Danke

  4. Noch eine kurze Frage zum automatischen Updaten des Zertifikats
    wie oft sollte der certbot laufen 1 mal pro Tag / Woche oder nur manuell alle ~ 60 Tage ?
    Das Script funktioniert nach konfiguration sofort ohne Probleme

  5. Hallo habe den Script gestern getestet und gemerkt aktuell klappt es nicht mit Strato. Wenn man eine Domain mit Bindestrich im Namen hat z.B home-example.de Logt er sich bei Strato ein und sucht nach der Supbdomain example.de und vergisst “home-” davor und dann kommt die Maildung Login fail. Wenn ich ein Domain z.B. example.de habe klappt der Login und er findet die Domain, zeigt auch die Strato ID an, aber kann keinen Eintrag erstellen.

  6. Hallo Leute ich habe den Script gerade runtergeladen und getestet. In derstrato-auth.json habe ich meine Daten eingetragen wie ich mich bei Strato auf der Homepage anmelde (Kundennummer + Kennwort). 2FA ist nicht aktiv. Trotzdem kommt beim testen immer die Meldung Auth Fail. Mache ich was falsch oder geht das mit Strato nicht mehr oder muss noch was feigeschaltet werden?

    1. Hallo kann es sein, das der Script mit Strato aktuell nicht klappt? Login bei Domain phne Bindestrich klappt, aber TXT Record wird nicht erstellt.
      Bei Domain mit Bindestrich geht auch der Login nicht.

  7. Leider funktioniert das bei Strato nicht weil der Unterstrich “_” nicht als gültiges Zeichen anerkannt wird. Ich habe diesbezüglich einen aktuellen Supportfall bei Strato am Laufen. Alternativ zu dem TXT Eintrag wäre auch ein NS Eintrag mit Verweis auf einen eigenen DNS möglich, den man selbst in der Hand hat und der nur die Subdomain _acme-challenge bedient. (Soweit bin ich gerade), aber auch hier ist Strato wieder einmal die Bremse! Leider ist es bei Strato *nicht* möglich, Subdomains zu delegieren. Bleibt nur noch zwei Alternativen: 1. DNS-Verwaltung komplett auf eigenen Server umziehen, was ich nicht möchte, oder 2. den Anbieter wechseln. was passieren wird wenn Strato mir in dieser Frage nicht entgegen kommt! DNS ist leider nicht die einzige Einschränkung bei Strato. Da gibt es noch viele mehr.

    1. Hallo Lümml… 🙂
      Ich habe rund 100 Domains bei Strato registriert für mich und für meine Kunden.
      Bei ALLEN! ist Lets_Encrypt im Einsatz und bei ALLEN wurde im DNS Teil “_acme-challenge” akzeptiert.
      Es ist ja “ganz normaler Text” Ich vermute bei Dir liegt irgendein anderes Problem vor?

    2. Update zu dem Support-Fall:
      1. Das mit dem nicht erlaubten Unterstrich “_” ist erledigt. War wohl nur ein temporäres Problem.
      2. Eine DNS-Delegierung für Subdomains wird es bei Strato nicht geben. Dafür ist Strato zu “träge”.

      Insgesamt hatte ich vom Support den Eindruck, dass sie sehr bemüht waren, mch als Kunden zu behalten. Aber auf meine Problematik wurde nur sekundär eingegangen und erst nachdem ich x Mal wiederholt nur ausweichende Antworten bekam und diesbezüglich ungehalten wurde. Dann ist das Thema ganz schnell über mehrere Stufen hoch eskaliert und ich bekam endlich die direkten Antworten auf meine Fragen. Mir wurde angeboten, DNS über Plesk zu verwalten, aber in einem Testlauf (ich betanke meinen vServer mit Ansible) waren die Probleme doch höher als erwartet. Ansible und Plesk standen in direkter Konkurrenz zueinander, wobei im Zweifel Plesk gewann. Die zentrale Automatisierung funktionierte also nicht!

      Lange Rede kurzer Sinn, die Probleme waren so hoch, dass ich jetzt einen Providerwechsel einleiten werde. Gibt es irgendwelche Vorschläge aus der Community? (Mein Favorit bis jetzt ist Hetzner.)

  8. Hmm – muss ich das dann manuell immer wieder machen, wenn das Zertifikat erneuert wird?
    Geht das bei Strato nicht automatisch (dass LetsEncrypt den Eintrag im DNS selber vornehmen kann)?

    1. Normalerweise ist das so, ja, bei imr habe ich das Problem, dass ich ich sehr viele “Angreifer” in die Firewall geperrt habe und dadurch
      auch eventuelle IPs die das Zertifikat abfragen. Die Ips werden nicht öffentlich bekannt gegeben, so dass ich die nicht entsperren kann.
      So belibt bei mir nur der “manuelle” Weg der Zertifizierung. Denn ausländische IPs lesen keine deutschsprachigen Seiten, doch für Angriffe
      sorgen sie immer wieder. Daher sind sie dauerhaft geperrt.

      1. Ich hätte mal vor dem Schreiben meines Updates auf F5 drücken sollen. So habe ich deinen Kommentar erst gesehen, nachdem ich meinen Text abgesendet hatte.

        Ich habe eine Frage zu Lets-Encrypt. Hast du schon irgendwelche Nachteile erlebt, z.B.: Mailserver-Trust oder Enterprise-Trust bei 3rd-Party-Beteiligten? Der größte Unterschied von LE zu Bezahl-Dienstleistern ist ja der Identitätsnachweis, welcher bei LE komplett fehlt. Hintergrund der Frage ist, dass ich plane das gesamte RZ meines Arbeitgebers auf LE umzustellen, inkl. Mailserver, IPSEC und SSL/AUTH. Das Problem dabei. Beinahe alle unsere Kunden benutzen 3rd-Party UFWs bzw. ALGs mit integrierter Sicherheitsverwaltung. LE könnte als “wenig” bis “nicht” vertrauenswürdig eingestuft sein – aufgrund des fehlenden Identitätsnachweises.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert