Ik heb sinds enige tijd Freedom en ik draai nog altijd mijn UnRAID server via een reverse proxy met Let’s Encrypt (vanuit de vorige provider) door gebruik te maken van DuckDNS.org. Dat werkt op zich wel, maar ik wil dat graag omzetten naar het eigen domein dat ik bij Freedom heb gekregen. Ik heb daartoe de nodige records aangemaakt bij de instellingen van mijn domein, maar bij het genereren van de certificaten krijg ik steeds een foutmelding. Waarschijnlijk omdat CertBot niet kan verifiëren dat ik de eigenaar ben.
En nu zit ik dus vast, want het is me niet geheel duidelijk hoe ik dat moet doen. Ik vermoed dat ik een TXT-record moet aanmaken in mijn DNS-instellingen voor het domein, maar het is me niet duidelijk wat daar dan in moet komen te staan. Helaas is daar hier niet veel over te vinden, maar dat komt waarschijnlijk omdat jullie dat allang weten 
De crux zit hem dus in het duidelijk maken aan Let’s Encrypt dat ik de eigenaar ben…
Alvast bedankt.
ik zet bij het vernieuwen certificaten fff port 80 forward aan naar mijn webserver (IIS in dit geval), dat is al genoeg dan voor zelf-verificatie.
Yep, je moet zorgen dat op het IP-adres waar het domein naartoe wijst, je /.well-known/acme-challenge wordt geserveerd. (certbot maakt die aan tijdens een request)
Dat is het in elk geval niet, helaas. Ik draai NGinx en wanneer ik de certificaten vernieuw voor mijndomein.duckdns.org dan werkt dat prima. Doe ik dat (na wijzigen van de gegevens bij Freedom natuurlijk) met mijndomein.nl dan werkt het niet.
Hij doet dat blijkbaar wel bij het aanmaken van certificaten voor mijndomein.duckdns.org, maar niet voor mijndomein.nl dat ik van Freedom heb. Ik denk dat er toch nog een extra stap nodig is. Om ervoor te zorgen dat het domein wordt herkend als van mij.
Als ik dit zo lees wil @ronaldj de DNS challenge voor Let’s Encrypt gebruiken. Mogelijk is het handig om eens te kijken of het ook met een andere challenge zou lukken.
Zie Challenge Types - Let's Encrypt voor de verschillende types die Let’s Encrypt ondersteund.
Nee, ik gebruik de http-challenge. En ik zal ongetwijfeld iets stoms over het hoofd zien. Maar het grote verschil is dat de certificaten die ik aanmaak op mijndomein.duckdns.org gebaseerd zijn op een website die bekend is en geaccepteerd, terwijl de nieuwe website mijndomein.nl dat niet is. Ik denk echt dat er iets nodig is om Let’s Encrypt die website te laten accepteren als zijnde van mij. Daarom dacht ik aan een TXT-record, maar dat is het dus blijkbaar niet. Ik lees dat dat alleen wordt gebruikt voor een DNS-challenge, inderdaad.
Je maakt gebruik van een reverse proxy zeg je. Kan het zijn dat deze de http-challenge in de weg zit, somehow? Kent de reverse proxy je nieuwe domeinnaam, is dat goed geconfigureerd?
Ja, dat is een goede suggestie. Maar voor zover ik kan zien heb ik alle configuratiebestanden goed staan. Zowel voor de subdomeinen als voor het hoofddomein.
Inmiddels ben ik zover dat ik wel certificaten krijg als ik ze alleen voor subdomeinen aanvraag, zoals mijnsubdomein.mijndomein.nl, maar niet voor het hoofddomein mijndomein.nl.