SSL Zertifikat für Home-NextCloud und dynamische Adresse?

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
Hallo,

das Projekt mit dem eigenen kleinen Server (Odroid HC1) ist fast fertig, es fehlt nur noch SSL für Apache2/Nextcloud. So weit ich gelesen habe gibt es eine kostenlose Variante via letsencrypt.org aber es gibt ein Rate Limit von 50 - das heißt pro Domain sind nur 50 sub-Domains erlaubt.

Domains von der PublicSuffixList werden von letsencrypt.org berücksichtig und sie erlauben dann mehr SSL pro Domain. Mein bisheriger Anbieter freedns.afraid.org hat zwar super funktioniert, aber sehe da keine Domains auf der Liste.

Kennt jemand zuverlässige DynDNS-Anbieter mit Domains auf der Liste? Oder gibt es andere Möglichkeiten ein eigenes SSL Zertifikat zu erhalten? 2 eigene Domains sind vorhanden, werden aber nur für emails genutzt.
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
habs vermutlich nicht richtig verstanden. brauchst du selbst viele subdomains oder meinst du, afraid.org wäre "voll", weil mehr als 50 user dort letsencrypt benutzen?
 
  • Gefällt mir
Reaktionen: vidman

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
habs vermutlich nicht richtig verstanden. brauchst du selbst viele subdomains oder meinst du, afraid.org wäre "voll", weil mehr als 50 user dort letsencrypt benutzen?
Nochmals gelesen was ich geschrieben habe... Und ja, du hast absolut recht, es ist definitiv nicht eindeutig.

Nutze aktuell eine der 3 Domains mit den meisten Subdomains bei freedns.afraid.org - bin sehr zufrieden bisher. Die Wahrscheinlichkeit dass es dort Probleme mit letsencrypt gibt sehe ich als sehr hoch an. Selbst wenn es im Moment funktionieren könnte, wäre es in der Zukunft nicht gesichert.

Nach etwas Recherche tendiere ich inzwischen zu einer anderen Lösung. Habe bei Netcup meine Domains gehostet, könnte dort

- Subdomain erzeugen
- dazu ein kostenloses SSL-Zertifikat bei Letsencrypt (das auch seitens Netcup automatisch verlängert wird)
- es runterladen, in apache einbinden
- die subdomain via CNAME auf die entsprechende freedns.afraid.org-Adresse leiten.

Sollte doch auch mit sich täglich ändernden IPs funktionieren, oder?
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
natürlich. falls es probleme gibt, schaust in acme.sh (github), dort sind beide in der API gelistet (netcup.de [sind eh' die besten] und freedns).

verdeutlichung: das cert würde ich von dem rechner holen lassen, der es benutzt. wenn du auf netcup sonst nix damit machst, dann lass es den odroid managen.
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
das cert würde ich von dem rechner holen lassen, der es benutzt. wenn du auf netcup sonst nix damit machst, dann lass es den odroid managen.
Irgendein besonderer Grund?

Da Pi-Hole Port 80 beansprucht, bleibt halt dns-01 challenge oder tls-01 challenge. Da ich eh ein Weilchen für netcup zahlen werde, dachte ich es wäre die einfachste Lösung via netcup. Aber vermutlich hast du Recht.
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
wie holst du dir denn das cert von netcup und gilt es auch für deine subdomains?!
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
Habe nur eine Zertifikat für die Subdomain erzeugt. Die kann man als ein einzelnes PEM runterladen und ist 3 Monate gültig. Müsste man wohl alle 3 Monate von Hand runterladen und neu einbinden. Oder gibt es vielleicht eine andere Möglichkeit die Zertifikate direkt einzubinden?
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
das kann ich dir nicht sagen, bin nur root server-nutzer.
wer nutzt das cert denn jetzt wofür genau (auch auf netcup-server oder nicht)?
wo steht denn das pem-file und evtl. kannst du das via curl ziehen?
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
wo steht denn das pem-file und evtl. kannst du das via curl ziehen?
Das PEM-file kann man via CCP runterladen, es müsste auch da sein, wenn man sich via ssh einloggt. Irgendwie hat das PEM 4 Abschnitte und ich habe keine Ahnung welcher Teil wofür ist.

Gebe den Versuch Pi-Hole und NextCloud mit SSL unter Ubuntu 18.04 gleichzeitig auf einem Gerät laufen zu lassen auf. Im Prinzip wäre es möglich wenn man eine zweite IP für eth0.0 nutzen könnte, aber mit netplan ist das nicht mehr möglich. Jetzt kommt Pi-Hole auf ein anderes Gerät und SSL wird via Letsencrypt direkt erstellt/erneuert.
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
das kannst du doch deaktivieren und wieder ifupdown verwenden.
Sollte man meinen.

Soweit ich gelesen habe, muss ich nur etwas in eine Grub-Datei einfügen um netplan dauerhaft zu deaktivieren, aber grub ist hier gar nicht installiert, da man das Bootmedium nicht auswählen kann. Es muss immer die SD-Karte sein, der Großteil des Systems kann allerdings auf die SSD. In solchen Momenten würde ich am liebsten das Linux-Teil an die Wand schmeißen. ;)

Da es komplett headless läuft (kein Anschluss für Monitore), habe ich gerade keine Lust es zu bricken bzw. alles komplett neu installieren. Dann muss halt pi-hole zurück auf den RPi3.
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
Du musst ja einen bootloader haben und wenn es eben nicht grub ist, dann kannst du das sicher umstellen.

Was läuft denn für ein System bei dir auf dem odroid (welches Image)?
 

bowman

Aktives Mitglied
Mitglied seit
08.10.2003
Beiträge
2.667
...ich verstehe das Problem gerade nicht: Das Zertifikat wird doch meist automatisiert (cronjob) per Certbot geholt/aktualisiert, das kann auch auf dem Odroid laufen, auch wenn sonst andere Dienste dort Port 80 belegen. Manuell brauchst du normalerweise gar nichts aktualisieren. (Bei Wildcard-Zertifikaten wird es komplizierter, aber wenn du nur wenige Subdomains hast brauchst du die nicht). Schau dir mal die Doku zu Certbot an...
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
@bowman Das Zertifikat kann man nur via Port 80 erstellen, der Pi-Hole braucht aber zwingend Port 80.

@Olivetti U-Boot und ein minimales Ubuntu 18.04 Image (upgedated auf 18.04.1).

Werde wohl Pi-Hole entfernen, Zertifikat erstellen, versuchen zu erneuern und falls es abseits von Port 80 geht, Pi-Hole evtl. wieder installieren.
 

Olivetti

Aktives Mitglied
Mitglied seit
09.12.2005
Beiträge
11.697
Das Zertifikat kann man nur via Port 80 erstellen, der Pi-Hole braucht aber zwingend Port 80.
wenn das der einzige grund sein sollte, dann bitte nochmal zurück zu den dokumentationen für acme.sh oder certbot.
du kannst 1. deinen lighty stoppen, cert-kram machen, lighty starten oder 2. andere verfahren, wie z.b. via dns der 3. acmes stateless (via lighty) verwenden.

dein pi-hole und nextcloud auf port 80/443-problem besteht dann aber trotzdem weiterhin. da solltest du schauen, wie das gleichzeitig laufen kann. ich hatte mit pi-hole noch nicht das vergnügen.

---

ergänzung:
u-boots grub-cmdline-äquivalent wäre:
https://superuser.com/questions/1209732/grub-cmdline-linux-analogue-for-u-boot
ich verstehe das aber nur als temporäre notwendigkeit.

wenn du dauerhaft auf ifupdown switchst, deinstallierst du ja vermutlich netplan:
https://askubuntu.com/questions/1031709/ubuntu-18-04-switch-back-to-etc-network-interfaces (im laufenden betrieb)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: vidman

bowman

Aktives Mitglied
Mitglied seit
08.10.2003
Beiträge
2.667
@bowman Das Zertifikat kann man nur via Port 80 erstellen, der Pi-Hole braucht aber zwingend Port 80.

...der Punkt ist: Du brauchst sogar einen auf Port 80 laufenden Webdienst. Falls Apache läuft wird dieser von Certbot mit einem selbstsignierten Zertifikat nur für die Zertifikatsausstellung neu gestartet:

https://certbot.eff.org/faq/#can-i-issue-a-certificate-without-bringing-down-my-web-server

Bei mir läuft Certbot auf einem Reverse-Proxy, bei dem sogar mehrere vhosts auf Port 80 lauschen (und dann redirected werden).

Ohne Detailkenntnisse was was Pi-Hole betrifft (habe ich noch nicht laufen): Du kannst dessen Port durch eine Anpassung der /etc/lighttpd/lighttpd.conf ändern:

https://jdsworld.com/tech-support/pi-hole-dns-change-default-web-port/

Die Admin-Oberfläche auf einem von aussen erreichbaren Port 80 laufen zu lassen halte ich ohnehin für keine so gute Idee... :-/
 
  • Gefällt mir
Reaktionen: vidman

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
Ohne Detailkenntnisse was das Pi-Hole betrifft (habe ich noch nicht laufen): Du kannst dessen Port durch eine Anpassung der /etc/lighttpd/lighttpd.conf ändern:

https://jdsworld.com/tech-support/pi-hole-dns-change-default-web-port/

Die Admin-Oberfläche auf einem von aussen erreichbaren Port 80 laufen zu lassen halte ich ohnehin für keine so gute Idee... :-/
Es wird eher abgeraten den Port umzustellen, da so einige Abfragen nicht mehr funktionieren und nach manchen Updates die Portänderungen überschrieben werden. Empfohlen wird z.B. via Virtual IP

https://discourse.pi-hole.net/t/port-80-in-use-how-do-i-configure-pi-hole-to-use-another-port/49/7

Port 80 habe ich nicht via Router freigeben und ist nur im LAN erreichbar. Auch für die Netcloud will ich einzig Verbindungen via 443 zulassen.
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
Kleiner Tipp an alle die Pi-Hole installieren wollen:

Pi-Hole lieber auf einem RPi oder via Virtualisierung (Docker?) laufen lassen, denn der Installer nimmt sehr viele Änderungen vor und es ist nahezu unmöglich eine Installation auf einem normalen Linux rückgängig zu machen. Das entsprechende Script kann es auf jeden Fall definitiv nicht. Habe den HC1 daher noch einmal komplett neu eingerichtet.

Gibt es noch etwas was man bei NextCloud beachten sollte? Das Letsencrypt-Zertifikat wurde jetzt erstellt und der certbot hat gleich die erforderlichen Änderungen vorgenommen. Auch Nextcloud findet keine Fehler in der Konfiguration, weist aber noch auf 2 kleinere Details hin. Würde die Cloud gerne die nächsten Tage freigeben (Portfreigabe einrichten).
 

vidman

unregistriert
Thread Starter
Mitglied seit
24.07.2018
Beiträge
499
Ein kurzes Update zu certbot. Sowohl für die Erstellung des Zertifikats als auch für die Verlängerung benötigt man Port 80. Das heißt selbst wenn man nur Zugang via https erlaubt, muss man eine Portfreigabe für Port 80 einrichten um das Zertifikat zu verlängern. Die Verlängerung via tls-sni wurde offensichtlich dauerhaft abgeschaltet, auch wenn certbot die Option immer noch hat.
 
Oben