2.3 KiB
| tags | |
|---|---|
|
SSL-Zertifikat straso.com
Aktuelle Verwaltung (Stand 2026-05-25)
Wildcard-Cert für *.straso.com wird automatisiert via ACME-Plugin auf OPNsense mit Let's Encrypt ausgestellt. Kein manueller IONOS-Cert-Download mehr nötig.
- CA: Let's Encrypt R12
- Validation: DNS-01 über IONOS API (Account
kauer) - altNames:
kbha,git,paper,nas,photo,cloud,mail(alle als*.straso.com) - Renewal: automatisch alle 60 Tage, Cron 03:55 täglich
- Restart-Action:
Restart HAProxyist dem Cert zugewiesen → HAProxy reloaded automatisch nach jedem Renewal - WebUI: Services → ACME Client → Certificates →
straso.com
Aktuelle Verwendung
| Dienst | Reverse-Proxy | Zertifikat-Quelle |
|---|---|---|
kbha.straso.com |
HAProxy auf OPNsense | ACME auf OPNsense |
git.straso.com |
HAProxy auf OPNsense | ACME auf OPNsense |
paper.straso.com |
HAProxy (Backend disabled) | ACME auf OPNsense |
| weitere altNames | aktuell nicht aktiv | im Cert vorbereitet |
NPM-Addon auf Pi (Home Assistant) ist seit 2026-05-25 gestoppt — wird nicht mehr für SSL benötigt.
API-Credentials
IONOS DNS-API Token: hinterlegt in OPNsense unter Services → ACME Client → Validations → ionos (DNS-01 dns_ionos). Niemals exportieren oder in Notizen schreiben.
Diagnose
# Cert extern prüfen
echo | openssl s_client -connect kbha.straso.com:443 -servername kbha.straso.com 2>/dev/null \
| openssl x509 -noout -dates -issuer -subject
# Cert im HAProxy-Store auf OPNsense
ssh root@192.168.1.1 'openssl x509 -in /tmp/haproxy/ssl/68fb9ea001876.pem -noout -dates'
Bei Problemen siehe FAQ-Sektion in 03 Bereiche/Heimnetz/Zugriff aus dem Web/Home Assistant über HAProxy ("Cert abgelaufen trotz erfolgreichem ACME-Renewal").
Legacy (historisch)
Früheres manuelles Setup (IONOS-Cert-Download → NPM auf KBNAS / EC2 / KBHA) ist obsolet. Die alte Anleitung mit OneDrive-Backup unter C:\Users\d-chrka.INTERNAL\OneDrive\Backup\straso_certificate ist nicht mehr Teil des Prozesses, das Verzeichnis hält nur noch das alte IONOS-Cert als Fallback.