Wenn du in Proxmox Zertifikate per ACME (Let’s Encrypt) über Hetzner DNS beziehst, hast du es vermutlich schon bemerkt: Hetzner hat seine bisherige DNS-Console abgeschaltet und vollständig in die Hetzner Cloud integriert. Das hat zur Folge, dass bestehende ACME-Setups angepasst werden müssen.
In diesem Beitrag zeige ich dir Schritt für Schritt, wie du:
- deine DNS-Zonen von der alten Hetzner DNS Console in die Hetzner Cloud migrierst,
- neue API-Tokens erstellst,
- und Proxmox so erweiterst, dass das neue hetznercloud-ACME-Plugin genutzt werden kann.
1. DNS-Zonen zur Hetzner Cloud migrieren
Der erste Schritt ist die Migration deiner DNS-Zonen in die Hetzner Cloud. Hetzner beschreibt den Prozess sehr gut in der offiziellen Dokumentation:
https://docs.hetzner.com/de/networking/dns/migration-to-hetzner-console/process
Kurz zusammengefasst:
- Logge dich in die Hetzner Cloud ein.
- Migriere deine bestehenden DNS-Zonen aus der alten DNS-Console.
- Prüfe anschließend, ob alle DNS-Einträge korrekt übernommen wurden.
Erst wenn deine Domain vollständig in der Hetzner Cloud liegt, kann ACME später wieder korrekt funktionieren.
2. Neuen API-Token in der Hetzner Cloud erstellen
Die alte DNS-API funktioniert nicht mehr. Du benötigst daher einen neuen API-Token aus der Hetzner Cloud:
- Gehe in der Hetzner Cloud auf Security > API Tokens.
- Erstelle einen neuen Token.
- Vergib mindestens die Berechtigung für DNS.
- Speichere den Token sicher – er wird später in Proxmox benötigt.
3. Neues ACME-DNS-Plugin für Hetzner Cloud installieren
Proxmox bringt aktuell standardmäßig nur das alte hetzner-Plugin mit. Für die Hetzner Cloud wird jedoch ein neues Plugin benötigt.
Die passende DNS-API-Datei findest du hier:
3.1 Plugin-Datei per SSH erstellen
Am einfachsten ist es, den Inhalt direkt von GitHub zu kopieren:
- Öffne die GitHub-Seite der Datei.
- Klicke oben rechts auf „Copy raw file“ bzw. „Inhalt kopieren“.
- Verbinde dich per SSH mit deinem Proxmox-Server.
Erstelle die Datei mit:
nano /usr/share/proxmox-acme/dnsapi/dns_hetznercloud.shFüge den kopierten Inhalt per Rechtsklick in das Terminal ein, speichere mit STRG+O und beende nano mit STRG+X.
3.2 Proxmox ACME Schema erweitern
Damit Proxmox das neue Plugin erkennt, muss es im Schema eingetragen werden.
Datei öffnen:
nano /usr/share/proxmox-acme/dns-challenge-schema.jsonDer relevante Bereich sollte danach z. B. so aussehen:
"he": {},
"he_ddns": {},
"hetzner": {},
"hetznercloud": {},
"hexonet": {},
"hostingde": {},
"huaweicloud": {},
"infoblox": {},
"infomaniak": {},
"internetbs": {}
Ich habe den Eintrag hetznercloud direkt hinter hetzner ergänzt.
3.3 Proxmox Dienste neu starten
Damit Proxmox das neue Plugin lädt, müssen die Dienste neu gestartet werden:
service pvedaemon restart
service pveproxy restartWichtig: Lade anschließend auch die Proxmox-Weboberfläche neu, da das Plugin sonst noch nicht sichtbar ist.
4. ACME in Proxmox neu konfigurieren
Jetzt kannst du das neue Plugin in Proxmox verwenden:
- Gehe zu Datacenter > ACME.
- Lege einen neuen DNS-Challenge-Account an.
- Wähle als Plugin hetznercloud.
Ganz wichtig: Der Token muss exakt so hinterlegt werden:
HETZNER_TOKEN="xxxxxxxxxxxxxxxx"⚠️ Nicht HETZNER_Token oder eine andere Schreibweise – Groß-/Kleinschreibung ist hier entscheidend.
5. Funktionstest
Starte eine manuelle Zertifikatserneuerung und prüfe:
- ob temporäre
_acme-challenge-DNS-Einträge angelegt werden, - ob das Zertifikat erfolgreich ausgestellt wird,
- und ob es korrekt in Proxmox aktiv ist.
Fazit
Durch die Umstellung von Hetzner DNS auf die Hetzner Cloud ist eine Anpassung bestehender Proxmox-ACME-Setups zwingend notwendig. Mit der Migration der DNS-Zonen, einem neuen API-Token und dem aktualisierten ACME-Plugin funktioniert die automatische Zertifikatserneuerung jedoch wieder zuverlässig.
Einmal sauber umgesetzt, läuft das Setup wieder vollständig automatisch – genau so, wie man es von Proxmox und ACME erwartet.