Let’s Encrypt Wildcard Zertifikate mit IONOS DNS API im Nginx Proxy Manager erzeugen

In dieser Anleitung zeige ich euch, wie ihr für eure Domain (Beispiel: stueben.org) ein Wildcard-Zertifikat erstellt. Der große Vorteil: Ein einziges Zertifikat deckt automatisch alle zukünftigen Subdomains ab (z. B. test.stueben.org, huhu.stueben.org). Ihr müsst also nicht für jeden neuen Dienst mühsam ein separates Zertifikat anfordern.

Die Ausgangslage: Dynamisches DNS (DDNS)

Da sich die heimische IP-Adresse meist täglich ändert, nutzen wir einen DDNS-Dienst (hier: stueben.selfhost.eu). Unser Ziel ist es, dass alle Anfragen an *.stueben.org automatisch an diese Adresse weitergeleitet werden.

Schritt 1: Vorbereitung bei IONOS (Wildcard-CNAME)

Zuerst müssen wir sicherstellen, dass eure Domain weiß, wohin sie Anfragen senden soll. Dafür richten wir einen Wildcard-CNAME-Eintrag ein:

1. Loggt euch bei IONOS ein und navigiert zu Domains & SSL.

2. Wählt eure Domain stueben.org aus und klickt auf den Reiter DNS.

3. Klickt auf Record hinzufügen und wählt den Typ CNAME aus.

4. Füllt die Felder wie folgt aus:

   • Hostname: * (Das Sternchen dient als Platzhalter für alle Subdomains).

   • Zeigt auf (Value): stueben.selfhost.eu

   • TTL: 1 Stunde (oder 3600 Sekunden).

5. Klickt auf Speichern.

Hinweis: Durch diesen Eintrag werden nun alle Aufrufe – egal ob test.stueben.org oder huhu.stueben.org – direkt an eure aktuelle Heim-IP weitergeleitet.

Schritt 2: Portweiterleitung am Router

Damit der Nginx Proxy Manager (NPM) die Anfragen aus dem Internet empfangen kann, müsst ihr an eurem Router (z. B. FRITZ!Box) folgende Portfreigaben einrichten:

• Port 80 (HTTP) -> weiterleiten an die IP des NPM (Port 80)

• Port 443 (HTTPS) -> weiterleiten an die IP des NPM (Port 443)

Schritt 3: IONOS API-Zugriffsschlüssel erstellen

Um ein Wildcard-Zertifikat via DNS-Challenge zu erhalten, muss NPM beweisen können, dass euch die Domain gehört. Das geschieht über einen API-Schlüssel.

1. Ruft die Seite IONOS API-Key Management auf.

2. Erstellt einen neuen Zugriffsschlüssel (z. B. Name: „Lets Encrypt“).

3. Wichtig: Kopiert euch den Präfix und das Secret (Verschlüsselung) sofort heraus. Sobald ihr das Fenster schließt, wird das Secret nie wieder angezeigt!

Schritt 4: Zertifikat in NPM erstellen

Nun wechseln wir in die Weboberfläche des Nginx Proxy Manager.

1. Navigiert zum Reiter SSL Certificates und klickt auf Add SSL Certificate -> Let’s Encrypt.

2. Domain Names: Tragt zuerst stueben.org ein und bestätigt mit Enter. Tragt danach *.stueben.org ein und bestätigt erneut.

3. Aktiviert die Option Use a DNS Challenge.

4. Wählt als DNS Provider den Eintrag Ionos aus.

5. Im Feld für die Konfiguration ersetzt ihr die Platzhalter durch eure Daten:

dns_ionos_prefix = DEIN_PRÄFIX
dns_ionos_secret = DEIN_SECRET
dns_ionos_endpoint = https://api.hosting.ionos.com

6. Akzeptiert die Nutzungsbedingungen von Let’s Encrypt und klickt auf Save.

Der Vorgang kann 1–2 Minuten dauern, da NPM über die API einen temporären DNS-Eintrag bei IONOS schreibt, um die Inhaberschaft zu verifizieren.

Fertig!

Das Zertifikat ist nun einsatzbereit. Wenn ihr jetzt einen neuen Proxy Host in NPM anlegt (z. B. für nextcloud.stueben.org), könnt ihr unter dem Reiter „SSL“ einfach das soeben erstellte Wildcard-Zertifikat auswählen.