Let´s Encrypt: gleiche Domain - unterschiedliche Ports zu unterschiedlichen Servern

Hallo,

ich habe zwei UCS-Sever (UCSA - mit Kopano, UCSB - mit Nextcloud und Let´s Encrypt). Meine Domäne ist abc.selfhost.eu. Auf meinem Router habe ich Portweiterleitungen eingerichtet: 80 > UCSB Port 80 (damit funktioniert mein Nextcloud). Port 8443 > UCSA Port 443

Rufe ich also abc.selfhost.eu/nextcloud auf, dann funktioniert das mit den Zertifikaten - sie werden als authoriesiert akzeptiert.
Rufe ich aber abc.selbhost.eu:8443/webapp, dann werde ich (besonders in Hotels) ausgesperrt, weil das Zertifikat “selbstsigniert/erstellt” ist.

Frage: muss ich lets encrypt auch auf dem UCSA installieren? Geht das überhaupt mit dem “gleichen” Domänennamen (abc.selfhost.eu). Oder wie bekomme ich es hin, dass auch beim UCSA die Zertifikate “geduldet” werden?

Hinweis: die Konfiguration von Nextcloud auf UCSB möchte ich gerne unangetastet lassen, da einige ihre Daten dort ablegen zugreifen (wenn es nicht zu verhindern ist, mache ich das natürlich). Beim UCSA ist das alles kein Problem, da ich da der einzige bin, der auf die Mails zugreifen möchte

Hey,

mit Let’s encrypt erstellt ein einzelner Host ein Zertifikat für seine Domain (bzw. hostname). Jetzt hast du zwei Hosts, die von außen auf den selben Hostnamen hören. Wenn beide Hosts mit einem Let’s encrypt Zertifikat ausgestattet sein sollen, muss das (eine) Zertifikat auf beiden Hosts installiert sein - analog zu dem Fall, dass du mehrere Server (Apache, Dovecot, etc.) auf einem Host betreibst.

Es macht also Sinn, auf dem sekundären Host (ohne Let’s encrypt) einen cron-job anzulegen, der prüft, ob das Zertifikat abgelaufen ist und dies - wenn nötig - vom primären Host (mit Let’s encrypt) kopiert.

Warum so kompliziert ?

Würde einfach eine proxy config für webapp über den UCSA auf UCSB machen - dann braucht nur UCSA ein SSL Zert und du gehts über abc.selbhost.eu/webapp auf die Mail Webapp

lg
Christian