acme - [Fallstricke und Fehlermeldungen]

Reimer Karlsen-Masur (karlsen-masur@dfn-cert.de@undisclosed.example.com) — 2026-04-30T09:41:24+00:00

2026/02/13 09:28		current
Line 187:		Line 187:
	Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.		Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.

		+	=== Ansible ===
		+
		+	Bei den ''community.crypto''-Module von Ansible muss der Parameter ''modify_account: false'' angegeben werden, damit die Zertifikaterstellung funktioniert.
		+
		+	=== certbot mit --dry-run oder --test-cert Option ===
		+
		+	Sofern die ''certbot''-Software mit einer der Optionen ''--dry-run'' oder ''--test-cert'' genutzt wird, gibt es Fehlermeldungen und Fehlfunktionen, weil ''certbot'' bei diesen Testfunktionalitäten hart verdrahtete ACME-Endpunkte von Let'sEncrypt verwendet, die naturgemäß mit ACME-Accounts, die im HARICA-System angelegt wurden, nicht funktionieren.
		+
		+	Um z.B. eine Zertifikaterneuerung vorab zu "testen", kann ''certbot renew --force-renewal'' verwendet werden.

	=== Prüfpunkte ===		=== Prüfpunkte ===
Line 204:		Line 213:
	- Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?		- Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?

-	=== Ansible ===

-	Bei den ''community.crypto''-Module von Ansible muss der Parameter ''modify_account: false'' angegeben werden, damit die Zertifikaterstellung funktioniert.

Dokumentation DFN-AAI, DFN-PKI und eduroam - de:dfnpki:tcs

acme - [Fallstricke und Fehlermeldungen]