- Modifié
[Discussion] Certificat wilcard et serveur DNS autoritaire NSD/DNSSEC-Docker
6 mois plus tard
Bonjour à tous !
Déjà, merci à tous pour tous ces précieux conseils que l'on trouve sur ce forum pour l'adiministration de serveurs !!!
Je suis entrain de mettre en place un couple DNS/DNSSEC sous NSD/Docker en suivant les conseils de ces précieux tutoriels.
Et je suis confronté à un problème lors de la génération de certificat let's encrypt par challenge DNS.
Mon script ne fonctionne que si je fais un nsd-control reload sur la zone où j'ai rajouté la ligne TXT demandé pour le challenge. Hors dans vos exemples, je ne vois pas ce rechargement nécessaire.
ça me redemande donc de resigner ma zone à chaque fois. Avez-vous une parade à ça ? Ou est-ce une étape obligatoire ?
La complication vient du fait que je voulais avoir deux containers différents (un pour nsd, un pour let's encrypt) et donc la signature des zones à travers les containers et un peu chiantes à mettre en place. Mais si c'est obligatoire, je mettrai tout dans le même...
Merci à vous et bonne journée.
- Modifié
Bonjour,
Effectivement il faut dans un 1er temps insérer un enregistrement _acme-challenge TXT dans le fichier de zone, ensuite incrémenter le serial, signer la zone avec docker exec nsd signzone domaine.com.
Ensuite création des certificats, enlever l'enregistrement _acme-challenge TXT, incrémenter à nouveau le serial et resigner à nouveau la zone.
zyborg Hors dans vos exemples, je ne vois pas ce rechargement nécessaire.
Si tu fais référence à mon tuto, effectivement j'avais oublié de déposer le fichier dnsnewserial.sh sur mon git, du coup je comprends que cela ait pu t'induire en erreur. En tout cas cela m'aura permis de vérifier, Merci à toi.
Merci à toi.
Voilà l'explication donc de pourquoi tu ne rechargeais pas les zones dans ton tutoriels 
Il faut donc bien avoir accès au container nsd, et donc pas possible de faire cela depuis un autre container spécifique certbot. Tant pis.
merci encore.
Antoine