https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Wildcard-Zertifikate_mit_DNS-Challenge_in_TraefikWildcard-Zertifikate mit DNS-Challenge in Traefik - Versionsgeschichte2026-06-29T15:17:38ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Wildcard-Zertifikate_mit_DNS-Challenge_in_Traefik&diff=61271&oldid=prevThomas.will: Die Seite wurde neu angelegt: „====Wildcard-Zertifikate mit DNS-Challenge in Traefik==== Traefik kann Wildcard-Zertifikate für Domains wie '''*.samogo.de''' ausstellen, wenn die DNS-Challe…“2025-04-08T11:53:18Z<p>Die Seite wurde neu angelegt: „====Wildcard-Zertifikate mit DNS-Challenge in Traefik==== Traefik kann Wildcard-Zertifikate für Domains wie '''*.samogo.de''' ausstellen, wenn die DNS-Challe…“</p>
<p><b>Neue Seite</b></p><div>====Wildcard-Zertifikate mit DNS-Challenge in Traefik====<br />
<br />
Traefik kann Wildcard-Zertifikate für Domains wie '''*.samogo.de''' ausstellen, wenn die DNS-Challenge verwendet wird. Dies ist erforderlich, da Let's Encrypt Wildcard-Zertifikate nur über DNS-Challenges erlaubt.<br />
<br />
====Voraussetzungen====<br />
<br />
* Traefik muss Zugriff auf ein Skript haben, das DNS-Records automatisch setzen kann (z. B. über die API des DNS-Anbieters).<br />
* Das Zertifikat wird über den Resolver '''letsencrypt''' beantragt.<br />
* Ein DNS-Eintrag vom Typ '''TXT''' unter '''_acme-challenge.domain.tld''' muss automatisiert gesetzt und verifiziert werden können.<br />
<br />
====Beispielkonfiguration in traefik.yaml====<br />
<br />
<pre><br />
certificatesResolvers:<br />
letsencrypt:<br />
acme:<br />
storage: /letsencrypt/acme.json<br />
email: technik@xinux.de<br />
dnsChallenge:<br />
provider: exec<br />
delayBeforeCheck: 15<br />
resolvers:<br />
- 1.1.1.1:53<br />
- 1.0.0.1:53<br />
</pre><br />
<br />
====DNS-Challenge via exec====<br />
<br />
Im Traefik-Container muss ein Skript bereitgestellt werden, das per Umgebungsvariable '''EXEC_PATH''' aufgerufen werden kann. Beispiel:<br />
<br />
<pre><br />
environment:<br />
- EXEC_PATH=./update-dns.sh<br />
<br />
volumes:<br />
- ./update-dns.sh:/update-dns.sh<br />
</pre><br />
<br />
Das Skript muss je nach Provider den passenden TXT-Record setzen und nach Abschluss auch wieder entfernen.<br />
<br />
====Verwendung in Docker-Labels====<br />
<br />
Bei jedem Traefik-Router, der ein Zertifikat nutzen soll, muss der Certresolver explizit angegeben werden:<br />
<br />
<pre><br />
- "traefik.http.routers.name.tls.certresolver=letsencrypt"<br />
</pre><br />
<br />
Auch wenn ein Wildcard-Zertifikat bereits vorhanden ist, ordnet Traefik es nur dann zu, wenn der Resolver angegeben ist.<br />
<br />
====Beispiel: Uptime-Kuma====<br />
<br />
<pre><br />
- "traefik.http.routers.uptime-kuma-secured.rule=Host(`uptime-kuma.samogo.de`)"<br />
- "traefik.http.routers.uptime-kuma-secured.entrypoints=websecure"<br />
- "traefik.http.routers.uptime-kuma-secured.tls=true"<br />
- "traefik.http.routers.uptime-kuma-secured.tls.certresolver=letsencrypt"<br />
</pre><br />
<br />
====Zertifikatslaufzeit====<br />
<br />
Das Wildcard-Zertifikat ist wie üblich 90 Tage gültig und wird von Traefik automatisch erneuert, solange das DNS-Skript korrekt funktioniert.</div>Thomas.will