ACME-Zertifikat auf Fritzbox hochladen

H

husky

New Member
Mar 24, 2026
2
0
1
Germany
Moin zusammen!
ich bin jetzt mit meinem ersten Proxmox-Node am kennenlernen und möchte nach und nach meine verschiedenen Services, die ich bisher oldschool per Hand auf meinem Debian-Server installiert und gepflegt habe, in Container verschieben.

Nun habe ich bisher meine SSL-Zertifikate von LetsEncrypt über acme.sh bezogen, das von Proxmox ja zumindest für den Bezug des Zertifikats ja auch benutzt wird (die dnsapi-Plugins sind im Paket libproxmox-acme-plugins vorhanden) - allerdings fehlen die deploy-hooks von acme.sh, die ich u.a. dafür verwende, mein aktualisiertes Zertifikat in die Fritzbox hochzuladen.
Hat jemand 'nen Tip für mich, wie ich das in PVE automatisiert erledigen kann?
 
Die ACME-Integration in PVE ist nur für das Webinterface-Zertifikat gedacht, deploy-hooks sind da nicht mit drin.

Am einfachsten: acme.sh standalone in nem LXC installieren und da wie gewohnt mit den deploy-hooks arbeiten. Dann hast du den ganzen Funktionsumfang inkl. --deploy -d example.com --deploy-hook fritzbox und kannst auch gleich noch andere Services damit bedienen. Ist quasi 1:1 wie dein bisheriges Setup auf dem Debian-Server, nur halt im Container.
 
  • Like
Reactions: proxuser77, husky and Johannes S
Das hört sich gut an. acme.sh kann ich ;-)

Ich bin ja wie gesagt blutiger Anfänger in Sachen Proxmox, daher noch 'ne Folge-Frage:

Ich will diverse Services auf meiner Domain hosten, getrennt durch Subdomains. Aktuell habe ich mir das so vorgestellt, daß ich NginxProxyManager oder Traefik dafür nutze, die reinkommenden Anfragen auf die jeweiligen Hosts zu verteilen - aber der Proxy muß ja das Zertifikat auch bekommen. Hast du 'nen Tip, wie ich das dann machen kann?
 
husky said:
aber der Proxy muß ja das Zertifikat auch bekommen. Hast du 'nen Tip, wie ich das dann machen kann?
Click to expand...
In diesem Fall würde es mehr Sinn machen, das Zertifikat auf dem Reverse Proxy zu beziehen und es von dort aus allenfalls auf die Admin-Interfaces deiner Infrastruktur-Services (wie z.B. das Proxmox Web-Interface) zu verteilen – falls das überhaupt nötig ist. In einem Heimnetzwerk ist das meiner Meinung nach nicht zwingend nötig, da kann man auch einfach die Zertifikatswarnung abnicken, wenn man sich in ein Admin-Interface einloggt. Oder sagen wir es so: Das sollte das letzte deiner Probleme sein, das du dann angehen kannst, wenn alle „User-facing” Apps ein Zertifikat haben.

Proxmox ist kein Endnutzer-Service. Proxmox ist ein Infrastruktur-Service mit einem Webinterface, welches dazu da ist diese Infrastruktur zu managen. Es stellt VMs und Container zur Verfügung, in denen dann die Dienste laufen, mit denen Endnutzer arbeiten. Ah ja, jetzt, wo ich es sage, fällt es mir wieder ein. Proxmox ist ein Hypervisor, kein NAS und auch kein App Store – auch wenn die inoffiziellen Helper-Skripte es so aussehen lassen – und nein, es ist auch kein Zertifikatsserver für das gesammte Netzwerk, auch wenn man es mit Skripten theoretisch zu so einem machen kann (es ist ja am Ende Debian).
 
Last edited:
  • Like
Reactions: Johannes S
Sowohl Traefik als auch NPM bringen ACME/Let's Encrypt von Haus aus mit. Die holen sich ihre Zertifikate also selbst. Da brauchst du kein separates acme.sh für den Proxy. Bei NPM klickst du das quasi nur zusammen pro Subdomain, bei Traefik läuft das über nen certresolver in der Config. Das acme.sh im LXC brauchst du dann wirklich nur noch für die Fritzbox und andere Sachen die kein eigenes ACME können.
 
  • Like
Reactions: Johannes S
Caddy ist auch ein netter reverse proxy mit integrierten acme. Es gibt auch Leute, die für sowas pangolin nehmen, da fehlt mir nur die persönliche Erfahrung
 
You must log in or register to reply here.
Top Bottom
Back