Cert-verlenging via Let's Encrypt: HTTP-01 of DNS-01 challenge, geen idee wat beter is
HTTP-01 is simpel maar vereist publieke poort 80 op je oorspronkelijke server. DNS-01 werkt overal (achter firewalls, voor wildcard-certs, voor split-horizon), maar vraagt om DNS-API-toegang. Voor wildcard-certs is DNS-01 verplicht.
Probeer dit eerst zelf
- 1Voor één host met publieke poort 80: HTTP-01 is het simpelst, certbot of acme.sh handelt het in 30 seconden af.
- 2Voor een wildcard (*.vectel.nl) of cert achter een firewall zonder publieke poort 80: DNS-01 is verplicht.
- 3Voor DNS-01 heb je een DNS-host met API nodig: Cloudflare, Route 53, deSEC, DigitalOcean, of een DNS provider met ACME-DNS-01-plugin.
- 4Maak een API-token met enkel TXT-record-write op je zone, niet een full-access account-token. Bewaar 'm in een secrets-manager, niet hardcoded.
- 5Voor multi-host setups: laat één machine certs trekken via DNS-01 en deel ze, of gebruik een centrale ACME-relay (smallstep CA, step-ca).
Wanneer ons inschakelen
Heb je een gedistribueerde infrastructuur met meerdere certs en geen automation, dan kunnen we DNS-01 met een tooltje als acme.sh of cert-manager inrichten.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.