Wie bekomme ich ein SSL Zertifikat und richte das ein?

Hallo,
Ich möchte Owncloud nutzen auf UCS auf einer Virtuellen Maschine auf einer Synology Disk Station. Die entsprechenden Ports sind bereits freigegeben und die Cloud ist auch bereits extern über eine DynDNS Domain erreichbar. Allerdings funktioniert das nicht mit der HTTPS Verschlüsselung. Wie bekomme ich ein Zertifikat damit es zumindest auf den meisten Geräten funktioniert und wie richtet man sich das ein? Es soll auch möglichst kostenlos sein. Let’s Encryp ist bereits installiert.

1

P.S.: Die DynDNS Domain beziehe ich über selfhost falls das relevant sein sollte.

Ich hoffe ihr könnt mir weiter helfen, ich bin noch ein absoluter Anfänger. Vielen Dank schon mal für eure Unterstützung.

Gruß,
Prianger

Lets Encypt installiert ist schon mal gut :slight_smile: Hast du aber auch schon ein passendes Zertifikat erstellt? Was für ein Zertifikat wird dir denn im Browser angezeigt wenn du dich mit ownCloud verbindest?

Also wenn man sich das Zertifikat anzeigen lässt kommt folgende Meldung:

https

Brauchst du noch mehr Informationen?

Die Let’s Encrypt Einstellungen sollten aber richtig sein:
1

Deine Einstellungen sehen okay aus. “update-ca-certificates” hast du schon ausgeführt?
Was sagt denn dein LetsEncrypt-Logfile (/var/log/univention/letsencrypt.log)?

Die Logfile kann nicht gefunden werden. Update-ca-certificates wurde auch bereits vorher schon ausgeführt.
Das Zertifikat ist “selbstsigniert”. Hat das was zu bedeuten?

Das Zertifikat das dir aktuell im Browser angezeigt wird, ist das Standard-Zertifikat (CA UCS) das während der UCS-Installation erzeugt wird.

Ich bin etwas irritiert da der aktuelle Status (dein Screenshot) sagt: Certificate refreshed at …, da es aber kein Log-File gibt würde ich sagen LetsEncrypt ist noch nie gelaufen?!

Probier doch mal manuell die Zertifikat-Erstellung anzustoßen (sollte auf alle Fälle ein Log erzeugen): /usr/share/univention-letsencrypt/refresh-cert-cron

Du musst Dich auf der UCS-Oberfläche anmelden und die LetsEncrypt-App aufrufen. Dort ist beschrieben, welche Voraussetzungen bestehen müssen und unten befindet sich der Schalter, um Letsencrypt zu konfigurieren.

Achte darauf, dass neben Port 443 (https) auch der http-Port 80 auf Deine Synology Disk Station weitergeletet wird.

Vielen Dank für eure Hilfe. Nachdem ich den Befehl update-ca-certificates erneut eingegeben habe funktioniert alles ! :slight_smile:

Gleiches Problem wieder… Nachdem das Zertifikate nun nach 6 Monaten abgelaufen ist kann ich es schon wieder nicht aktualisieren.
Der Befehl update-ca-certificates bringt nichts. Auch nicht nach einem Update von UCS und einem Neustart der virtuellen Maschine.

Unter Status in UCS steht außerdem “Method not allowed” . Hier der Screenshot:

Unbenannt

Was hat das zu bedeuten, kann mir jemand weiterhelfen?

Danke

Nimm den Haken bei Test-CA weg dann funzt das

image

lg
Christian

Habe ich getan, leider geht es trotzdem nicht.

Fehler ist immer noch derselbe.

Bist du sicher, dass dein UCS aktuell ins Internet kommt (Updates?) und dein UCS Eingangsseitig per Port 443 und 80 aus USA erreichbar ist?

Dann funktioniert das auch nur, wenn das System unter der auf dem UCS eingetragenen Domain erreichbar ist. (Meine ich)

Wundert mich. Let’s Encrypt Zertifikate haben eine Laufzeit von 3 Monaten.

Das klingt nach einem (zu) alten Client. Das ist normal die Antwort von deren Server. Wenn die Meldung aktuell ist stimmt mit dem Client etwas nicht.

Schau auch mal hier:

Dein System ist wirklich aktuell?

Das Log ist leer? Meist hängt an der Meldung noch mehr Text.

Stefan

Hallo Stefan,
Danke für deine Hilfe!
Nachdem ich heute alles einmal aktualisiert habe, sprich Betriebssystem und Module, ging es nun.

Kann man das nicht automatisieren? Also Software-Updates werden automatisch heruntergeladen und installiert (am besten zu einer festgelegten Zeit). Und die Zertifikate refreshen sich alle drei Monate auch automatisch, ohne dass man die manuell updaten muss.

Gruß!
Prianger

Auf einem Server? Ich würde das nicht wollen…
Du kannst aber hier schauen:




Tut es ja normalerweise (frühzeitig). Wenn der Haken nicht drin ist, der Client aktuell ist und sonst kein Fehler auftritt.
Es obliegt dir, das zu kontrollieren. Kontrolliere doch nun ein paar Tage vor Ablauf des Zertifikates ob die Aktualisierung funktioniert hat.

Stefan