Lets encrypt, Certbot im lokalen Netzwerk für Nextcloud

[Rawbit]

Hallo Debianforum,

ich habe einen Raspberrypi als Nextcloud-Server.
Der NC ist lokal nur über HTTPS ansprechbar, obwohl ich diesen nur im lokalen Netzwerk einsetzte. Das soll auch so bleiben.
Dafür habe ich ein Zertifikat selbst erstellt.

Ich möchte nun diese Zertifikat durch ein "let's encrypt" Zertifikat ersetzten.

Dabei erhalte ich den Fehler mit serv.xxx.eu:

Code: Alles auswählen

certbot certonly --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: serv.xxx.eu
2: www.yourdomainname.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for serv.xxx.eu
Performing the following challenges:
http-01 challenge for serv.xxx.eu
Waiting for verification...
Challenge failed for domain serv.xxx.eu
http-01 challenge for serv.xxx.eu
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: serv.xxx.eu
   Type:   unauthorized
   Detail: xxx.xxx.xxx.xxx: Invalid response from
   http://serv.xxx .eu/.well-known/acme-challenge/-xxxxxxxxxxxxxxxxxxxxxxxxx:
   404

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

In der wirklich guten Anleitung steht, das der Rasp dann über Port 80 aus dem www erreichbar sein muß. Wenn ich das richtig verstehe.....
Der Rasp sitzt hinter einen Router.

Muß ich im Router den Port 80 im Router freigeben?
Möglicherweise nur temporär?

Oder welche Lösung gibt es?

Vielen Dank!

Rawbit

[bluestar]

Muß ich im Router den Port 80 im Router freigeben?

Wenn du die HTTP-01 Challenge verwendest, was du aktuell tust, dann schon. Der Port 80 muss dann bei jeder Zertifikatserneuerung auch offen sein, also temporär wäre hier keine gute Lösung.

Oder welche Lösung gibt es?

Ich bevorzuge die DNS-01 Challenge https://letsencrypt.org/de/docs/challen ... -challenge, je nach Domain-Anbieter lässt sich der Workflow mit acme.sh komplett automatisieren.

[Rawbit]

Ich bevorzuge die DNS-01 Challenge https://letsencrypt.org/de/docs/challen ... -challenge, je nach Domain-Anbieter lässt sich der Workflow mit acme.sh komplett automatisieren.

Aber dann benötige ich einen Domain-Anbieter?
Ich habe ja nur eine frei erfundene Domain für das lokale Netzwerk.

Gruß

Rawbit

[bluestar]

Aber dann benötige ich einen Domain-Anbieter?

Ja den bräuchtest du.

Ich habe ja nur eine frei erfundene Domain für das lokale Netzwerk.

Letsencrypt stellt nur für echte Domains ein Zertifikat aus, nicht für frei erfundene Domains.

[debilian]

dumme Frage; warum ein letsencrypt cert für die NC in deinem lokalen Netz?

[bluestar]

dumme Frage; warum ein letsencrypt cert für die NC in deinem lokalen Netz?

Vermutlich weil HTTPS in vielen/den meisten Anleitungen mittlerweile Standard ist und eine eigene CA bzw. selbstsignierte Zertifikate einfach nur Krampf sind.

[debilian]

naja, im lokalen Netz kann eine eigene CA für sowas schon hilfreich sein

[Rawbit]

dumme Frage; warum ein letsencrypt cert für die NC in deinem lokalen Netz?

Ich möchte ein I-Phone mit der NC verbinden, das IOS scheint nur noch echte Zertifikate
zu akzeptieren.

Gruß

Rawbit

[Rawbit]

naja, im lokalen Netz kann eine eigene CA für sowas schon hilfreich sein

Da ist oft der Begriff "CA", was genau hat es damit auf sich?

Gruß

Rawbit

[bluestar]

naja, im lokalen Netz kann eine eigene CA für sowas schon hilfreich sein

Ich nutze dafür die DNS-Challenge und komm so an LE Zertifikate für meine Geräte im LAN. Im öffentlichen DNS findest du dann nur den Eintrag:

Code: Alles auswählen

_acme-challenge.switch.lan.domain.de. in TXT "asfafsadffsdf"

Der lokale Bind ist zuständig für "lan.domain.de" und dort steht dann der Switch mit rfc1918 IP drin.

[bluestar]

Da ist oft der Begriff "CA", was genau hat es damit auf sich?

Liest mal dort: https://de.wikipedia.org/wiki/Zertifizi ... rtifikate)

[gatnnos]

Der Rasp sitzt hinter einen Router.

Muß ich im Router den Port 80 im Router freigeben?
Möglicherweise nur temporär?

Für ein Zertifikat von Letsencrypt braucht es auch Port 80 offen. Wenn der Port dauerhaft offen ist, wird automatisch erneuert, wenn nicht, brauchst Du nur zur Verlängerung/Erneuerung den Port 80 wieder zu öffnen. Bei mir ist immer nur bei der Verlänger Port 80 offen.

[reox]

Der Rasp sitzt hinter einen Router.

Muß ich im Router den Port 80 im Router freigeben?
Möglicherweise nur temporär?

Für ein Zertifikat von Letsencrypt braucht es auch Port 80 offen. Wenn der Port dauerhaft offen ist, wird automatisch erneuert, wenn nicht, brauchst Du nur zur Verlängerung/Erneuerung den Port 80 wieder zu öffnen. Bei mir ist immer nur bei der Verlänger Port 80 offen.

Nein nicht zwangsläufig. Wie oben bereits geschrieben geht es über die DNS Challenge genau so. Hier braucht man aber Kontrolle über den DNS Server - was aber meist genau so wenig ein Problem ist wie den Webserver zu konfigurieren.

[gatnnos]

Der Rasp sitzt hinter einen Router.

Muß ich im Router den Port 80 im Router freigeben?
Möglicherweise nur temporär?

Für ein Zertifikat von Letsencrypt braucht es auch Port 80 offen. Wenn der Port dauerhaft offen ist, wird automatisch erneuert, wenn nicht, brauchst Du nur zur Verlängerung/Erneuerung den Port 80 wieder zu öffnen. Bei mir ist immer nur bei der Verlänger Port 80 offen.

Nein nicht zwangsläufig. Wie oben bereits geschrieben geht es über die DNS Challenge genau so. Hier braucht man aber Kontrolle über den DNS Server - was aber meist genau so wenig ein Problem ist wie den Webserver zu konfigurieren.

Das werde ich mir bei Gelegenheit genauer anschauen, Danke für den Hint.

[cosinus]

Vermutlich weil HTTPS in vielen/den meisten Anleitungen mittlerweile Standard ist und eine eigene CA bzw. selbstsignierte Zertifikate einfach nur Krampf sind.

Was geht denn mit einem selbsterstellten Cert nicht? Man muss es doch im Browser nur 1x abnicken und fertig.

[bluestar]

Man muss es doch im Browser nur 1x abnicken und fertig.

Ich habe gerade mal nachgezählt, es wären pro iPhone zwischen 5 und 6 Apps: Kalender-App, Kontakte-App, Nextcloud-App, Nextcloud-Talk-App, Safari-Browser, Chrome-Browser. Wenn ich das jetzt auf mehrere iPhones, iPads, Macs, usw. hochrechne, dann sind das zwischen 40 und 50 manuelle Ausnahmen.

[cosinus]

Dann würde ich mir was anderes als Nextcloud überlegen oder mir nen Server in einem RZ für Nextcloud mieten.

[reox]

Dann würde ich mir was anderes als Nextcloud überlegen oder mir nen Server in einem RZ für Nextcloud mieten.

Warum? Nur weil das mit der Domain eine kleine Challenge ist (pun intended)? Ich hab für homeassistant auch https mit letsencrypt im lokalen Netz - dafür halt eine Subdomain angelegt und fertig. Die resolved dann halt auf 192.168.0.1 aber das ist für die DNS Challenge egal.

[cosinus]

Ich hätte das dann auch aus anderen Gründen lieber auf einem Server im RZ. Aber das muss jeder selbst wissen.
Solange ich das nur für mich intern nutze, würde ich nur selbst unterschriebene Certs verwenden.