Hallo zusammen,
ich versuche aktuell ein sicheres Zertifikat mit dem ACME Plugin und Let's Encrypt einzurichten. Die Domain ist soweit bei ddnss.de eingerichtet und auch der der DynDNS-Service auf der Sense läuft soweit sauber und aktualisiert mit meine IP auf die Domain.
Allerdings bekomme ich es aktuell noch nicht hin mir ein Zertifikat erstellen zu lassen. Ich möchte den Challange Type DNS-01 verwenden, hierzu gibt es auch auf github eine kleine Anleitung wie das bei diesem Anbieter funktionieren soll.
https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ddnss (https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ddnss)
Die Haken bei TXT Record und Wildcard habe ich gesetzt. Den Update Key habe ich entsprechend in dem Feld API-Token vom ACME-Plugin eingetragen. Jedoch scheitert die Validierung.
Im Log vom ACME-Plugin steht dazu folgendes:
2026-01-10T20:21:59opnsense AcmeClient: validation for certificate failed: ****.ddnss.org
2026-01-10T20:21:59opnsense AcmeClient: domain validation failed (dns01)
2026-01-10T20:21:59opnsense AcmeClient: AcmeClient: The shell command returned exit code '2': '/usr/local/sbin/acme.sh --renew --syslog 7 --debug --server 'letsencrypt' --dns 'dns_ddnss' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/674e0cba009318.42719035' --certpath '/var/etc/acme-client/certs/674e0cba009318.42719035/cert.pem' --keypath '/var/etc/acme-client/keys/674e0cba009318.42719035/private.key' --capath '/var/etc/acme-client/certs/674e0cba009318.42719035/chain.pem' --fullchainpath '/var/etc/acme-client/certs/674e0cba009318.42719035/fullchain.pem' --domain '****.ddnss.org' --days '60' --keylength 'ec-384' --ecc --accountconf '/var/etc/acme-client/accounts/674b1d0b3937d2.05903488_prod/account.conf''
2026-01-10T20:21:59opnsense AcmeClient: running acme.sh command: /usr/local/sbin/acme.sh --renew --syslog 7 --debug --server 'letsencrypt' --dns 'dns_ddnss' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/674e0cba009318.42719035' --certpath '/var/etc/acme-client/certs/674e0cba009318.42719035/cert.pem' --keypath '/var/etc/acme-client/keys/674e0cba009318.42719035/private.key' --capath '/var/etc/acme-client/certs/674e0cba009318.42719035/chain.pem' --fullchainpath '/var/etc/acme-client/certs/674e0cba009318.42719035/fullchain.pem' --domain '****.ddnss.org' --days '60' --keylength 'ec-384' --ecc --accountconf '/var/etc/acme-client/accounts/674b1d0b3937d2.05903488_prod/account.conf'
2026-01-10T20:21:59opnsense AcmeClient: using challenge type: DNS Challenge
2026-01-10T20:21:59opnsense AcmeClient: account is registered: OPNsense Account
2026-01-10T20:21:59opnsense AcmeClient: using CA: letsencrypt
2026-01-10T20:21:59opnsense AcmeClient: renew certificate: ****.ddnss.org
2026-01-10T20:21:59opnsense AcmeClient: certificate must be issued/renewed: ****.ddnss.org
Hat jemand eine Idee warum es nicht klappt?
Die DNS-01 Methode muss ich nutzen, da ich im Anschluss noch einen NGINX-Proxy einrichten möchte.