Wie bekomme ich ein SSL Zertifikat und richte das ein?

Prianger · February 29, 2020, 11:42pm

Hallo,
Ich möchte Owncloud nutzen auf UCS auf einer Virtuellen Maschine auf einer Synology Disk Station. Die entsprechenden Ports sind bereits freigegeben und die Cloud ist auch bereits extern über eine DynDNS Domain erreichbar. Allerdings funktioniert das nicht mit der HTTPS Verschlüsselung. Wie bekomme ich ein Zertifikat damit es zumindest auf den meisten Geräten funktioniert und wie richtet man sich das ein? Es soll auch möglichst kostenlos sein. Let’s Encryp ist bereits installiert.

P.S.: Die DynDNS Domain beziehe ich über selfhost falls das relevant sein sollte.

Ich hoffe ihr könnt mir weiter helfen, ich bin noch ein absoluter Anfänger. Vielen Dank schon mal für eure Unterstützung.

Gruß,
Prianger

tpfann · March 2, 2020, 2:11pm

Lets Encypt installiert ist schon mal gut Hast du aber auch schon ein passendes Zertifikat erstellt? Was für ein Zertifikat wird dir denn im Browser angezeigt wenn du dich mit ownCloud verbindest?

Prianger · March 2, 2020, 7:17pm

Also wenn man sich das Zertifikat anzeigen lässt kommt folgende Meldung:

Brauchst du noch mehr Informationen?

Prianger · March 2, 2020, 7:20pm

Die Let’s Encrypt Einstellungen sollten aber richtig sein:

tpfann · March 3, 2020, 9:04am

Deine Einstellungen sehen okay aus. “update-ca-certificates” hast du schon ausgeführt?
Was sagt denn dein LetsEncrypt-Logfile (/var/log/univention/letsencrypt.log)?

Prianger · March 3, 2020, 1:27pm

Die Logfile kann nicht gefunden werden. Update-ca-certificates wurde auch bereits vorher schon ausgeführt.
Das Zertifikat ist “selbstsigniert”. Hat das was zu bedeuten?

tpfann · March 4, 2020, 7:16am

Das Zertifikat das dir aktuell im Browser angezeigt wird, ist das Standard-Zertifikat (CA UCS) das während der UCS-Installation erzeugt wird.

Ich bin etwas irritiert da der aktuelle Status (dein Screenshot) sagt: Certificate refreshed at …, da es aber kein Log-File gibt würde ich sagen LetsEncrypt ist noch nie gelaufen?!

Probier doch mal manuell die Zertifikat-Erstellung anzustoßen (sollte auf alle Fälle ein Log erzeugen): /usr/share/univention-letsencrypt/refresh-cert-cron

Mornsgrans · March 4, 2020, 8:08pm

Du musst Dich auf der UCS-Oberfläche anmelden und die LetsEncrypt-App aufrufen. Dort ist beschrieben, welche Voraussetzungen bestehen müssen und unten befindet sich der Schalter, um Letsencrypt zu konfigurieren.

Achte darauf, dass neben Port 443 (https) auch der http-Port 80 auf Deine Synology Disk Station weitergeletet wird.

Prianger · March 6, 2020, 2:07pm

Vielen Dank für eure Hilfe. Nachdem ich den Befehl update-ca-certificates erneut eingegeben habe funktioniert alles !

Prianger · June 12, 2020, 3:39pm

Gleiches Problem wieder… Nachdem das Zertifikate nun nach 6 Monaten abgelaufen ist kann ich es schon wieder nicht aktualisieren.
Der Befehl update-ca-certificates bringt nichts. Auch nicht nach einem Update von UCS und einem Neustart der virtuellen Maschine.

Unter Status in UCS steht außerdem “Method not allowed” . Hier der Screenshot:

Unbenannt

Was hat das zu bedeuten, kann mir jemand weiterhelfen?

Danke

externa1 · June 13, 2020, 7:42pm

Nimm den Haken bei Test-CA weg dann funzt das

lg
Christian

Prianger · June 19, 2020, 4:17pm

Habe ich getan, leider geht es trotzdem nicht.

Prianger · June 19, 2020, 4:18pm

Fehler ist immer noch derselbe.

StefanU · June 19, 2020, 6:56pm

Bist du sicher, dass dein UCS aktuell ins Internet kommt (Updates?) und dein UCS Eingangsseitig per Port 443 und 80 aus USA erreichbar ist?

Dann funktioniert das auch nur, wenn das System unter der auf dem UCS eingetragenen Domain erreichbar ist. (Meine ich)

Wundert mich. Let’s Encrypt Zertifikate haben eine Laufzeit von 3 Monaten.

Das klingt nach einem (zu) alten Client. Das ist normal die Antwort von deren Server. Wenn die Meldung aktuell ist stimmt mit dem Client etwas nicht.

Schau auch mal hier:

Dein System ist wirklich aktuell?

Das Log ist leer? Meist hängt an der Meldung noch mehr Text.

Stefan

Prianger · June 19, 2020, 10:32pm

Hallo Stefan,
Danke für deine Hilfe!
Nachdem ich heute alles einmal aktualisiert habe, sprich Betriebssystem und Module, ging es nun.

Kann man das nicht automatisieren? Also Software-Updates werden automatisch heruntergeladen und installiert (am besten zu einer festgelegten Zeit). Und die Zertifikate refreshen sich alle drei Monate auch automatisch, ohne dass man die manuell updaten muss.

Gruß!
Prianger

StefanU · June 20, 2020, 8:35am

Auf einem Server? Ich würde das nicht wollen…
Du kannst aber hier schauen:

Tut es ja normalerweise (frühzeitig). Wenn der Haken nicht drin ist, der Client aktuell ist und sonst kein Fehler auftritt.
Es obliegt dir, das zu kontrollieren. Kontrolliere doch nun ein paar Tage vor Ablauf des Zertifikates ob die Aktualisierung funktioniert hat.

Stefan