Let’s Encrypt mit dem pfSense ACME Plugin und DNS-ovh

Da ich seit kurzem Besitzer einer Ovh Domain bin, wollte ich deren API gerne nutzen um automatisch mit der pfSense die Zertifikate über DNS TXT Einträge verlängern zu lassen.

Ich bin der Anleitung gefolgt und habe unter https://eu.api.ovh.com/createApp/ einen API Schlüssel erstellt und danach mit scrapoxy ovh-consumerkey ovh-eu API-KEY API-SECRET einen Consumer Key erstellt.

Die Einrichtung ist in dem ACME Plugin selbsterklärten. Allerdings klappte bei mir nie das erstellen des TXT Eintrages mit der pfSense:

Registering account
Already registered
ACCOUNT_THUMBPRINT='XXXXXX'
Single domain='.YYYY.com'
Getting domain auth token for each domain
Getting webroot for domain='.YYYY.com'
Found domain api file: /usr/local/pkg/acme/dnsapi/dns_ovh.sh
Using OVH endpoint: ovh-eu
Checking authentication
Consumer key is ok.
Invalid domain
Error add txt for domain:_acme-challenge.YYYY.com
Please check log file for more details: /tmp/acme/YYYY-Testing/acme_issuecert.log.

Nach einigem rumprobieren bin ich dann auf diesen Foren-Beitrag gestoßen, das Problem ist wirklich in wenigen Minuten zu lösen:

Anstatt auf die obige URL zum Erstellen des API-Key zu gehen muss diese angepasst werden. 

https://api.ovh.com/createToken/?GET=/domain/zone/mydomain.com/*&POST=/domain/zone/mydomain.com/*&PUT=/domain/zone/mydomain.com/*&GET=/domain/zone/mydomain.com&DELETE=/domain/zone/mydomain.com/record/*

5 mal die Domain ändern. Danach bekommt man eine andere Maske zum erstellen der Schlüssel. Jetzt wird sogar gleich der Consumer Key mit generiert. Praktisch.

Jetzt die Schlüssel in ACME Plugin eingeben und es klappt.

Warum es nach Anleitung scheitert ist mir immer noch nicht klar, aber der Workaround funktioniert und ist auch nicht aufwändiger. 🙂