[Erledigt] https - Browser - Zertifikat für lokalen Server

[antonvm]

Halllo IP-Phoner,

welche Lösung gibt es um für loakale Web Servedienste ein Zertifikat zu nutzen?

Kann man dazu irgendwie https://avm.de/service/myfritz/faqs/was-ist-myfritz-und-wie-nutze-ich-es/ nutzen?

mkcert https://github.com/FiloSottile/mkcert ist mir bekannt, jedoch muss da jeder zugreifen Internet-Browser angepasst werden.

Oder was bietet sich an?

MfG
antonvm

bind9 https://www.michlfranken.de/dns-server-eigenen-linux-dns-server-mit-bind9-aufsetzen/

 

[chrsto]

Was spricht gegen Let's Encrypt?

Let's Encrypt - Freie SSL/TLS Zertifikate

Let's Encrypt ist eine freie, automatisierte und offene Zertifizierungsstelle, herausgebracht für Sie durch Internet Security Research Group (ISRG).

letsencrypt.org

 

[antonvm]

Da benötige ich eine registrierte Domain.

Schön wäre es, wenn ich z. B. nextlcoud.local ohne Unsicherheitswarnung verwenden könnte.

Wie macht das z. B. fritz.box?

Kann ich mein mit Let's Encrypt erstelltes Zertifikat überall hinkopieren, übertragen, nutzen?


Edit: https://fritz.box/ auch dort bekomme ich die Unsicherheitswarnung.

Warnung: Mögliches Sicherheitsrisiko erkannt

Firefox hat ein mögliches Sicherheitsrisiko erkannt und fritz.box nicht geladen. Falls Sie die Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder Kreditkartendaten zu stehlen.

 

[chrsto]

Schön wäre es, wenn ich z. B. nextlcoud.local ohne Unsicherheitswarnung verwenden könnte.

Wenn du das Zertifikat in den Browser importierst, dann gibt es keine Warnung mehr.
Ebenso mit fritz.box

Kann ich mein mit Let's Encrypt erstelltes Zertifikat überall hinkopieren, übertragen, nutzen?

Du hast den privaten Schlüssel und das Zertifikat. Damit hast du alles was du brauchst. Jedenfalls für 3 Monate, dann geht's wieder von vorne los.

 

[antonvm]

Kann ich mir für nextlcoud.local ein Letsencrypt Zertifkat erstellen?

nextcloud.local mit IP-Adresse 192.1681.178.77

Wenn ja, wie muss ich da vorgehen?

 

[chrsto]

Nein. Nur für offizielle TLD.

 

[antonvm]

D. h. ich muss für meine locale nextlcoud Instanz eine Domain

oder Sub-Domain erstellen,

die nextlcoud vom Internet über die Fritz!Box zugänglich machen,

ein LE Zertifikat erstellen,

dann habe ich 3 Monate ein Zertifikat, auch wenn der Internetzugang nicht mehr vorhanden ist.

Das Zertifikat kann ich 3 Monate auf verschiedenen lokalen Instanzen nutzen?

Das Zertifikat ist nur an die Domain gekoppelt?

Richtig?

 

[chrsto]

[Offtopic]Ich fänds echt nice, wenn du deine Beiträge schreibst, korrigierst und erst dann absendest. Es ist sehr anstrengend, dir zu antworten, wenn sich während dessen der Beitrag wieder ändert.[/Offtopic]

Vielleicht erklärst du uns mal, was du überhaupt vor hast? Möchtest du von extern auf deine Nextcloud zugreifen, oder aus dem internen Netz heraus, oder beides?

Das ist alles so korrekt, funktioniert aber nur in der Theorie so.

1. Wenn dein Internetzugang weg ist, fällt auch der Zugriff weg.
2. Um aus dem Internen Netz auf die Instanz zuzugreifen, musst du auch einen internen DNS vorhalten, um die Domain entsprechend aufzulösen.
3. Um das Zertifikat auf anderen Instanzen zu nutzen, muss auch jedes mal der DNS angepasst werden.

 

[antonvm]

Ich möchte nur keine Warnung für alle User, die sich in der Nextcloud einloggen. Die User sollen nichts akzeptieren müssen.
Nur lokal soll die Nextcloud genutzt werden.

Sorry für die Änderungen, mit fällt immer noch so viel ein.
Danke für deinen Input.

Oh, jetzt schon wieder

1. Wenn dein Internetzugang weg ist, fällt auch der Zugriff weg.

Lokal kann ich doch noch über die IP-Adresse zugreifen, oder nicht?

Aber für die IP-Adresse gilt das Zertifikat nicht?

 

[chrsto]

Wenn es nur um interne Zugriffe geht, solltest du dir ein selbst signiertes Zertifikat erstellen und das in die Browser einpflegen.

Für dein Setup benötigst du keine Freigabe der Nextcloud in deiner FritzBox von außen.
Für IP Adressen kannst du keine offiziellen Zertifikate beantragen. Selbst signiert geht schon.

 

[antonvm]

Danke, erledigt, alles geklärt.