.titleBar { margin-bottom: 5px!important; }

[Problem] Let's encrypt Zertifikat zwischen NAS und Fritz!Box teilen

Dieses Thema im Forum "Freetz" wurde erstellt von JokerGermany, 12 Apr. 2019.

  1. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Die FritzBox kann ja lets encrypt.
    Ich würde let's encrypt gerne sowohl auf der Fritz!Box, als auch auf dem NAS (Ubuntu Server 18.04.2 LTS) als auch der Fritzbox (7590 mit 7.1 und Freetz) einsetzen.
    Da ich bei myfritz keine Subdomain einrichten kann, müsste sich die Fritz!Box und das NAS das Zertifikat teilen, oder?
    Hat jemand eine Idee wie man das am einfachsten bewerkstelligen kann?
     
  2. Joe_57

    Joe_57 IPPF-Promi

    Registriert seit:
    5 März 2006
    Beiträge:
    5,368
    Zustimmungen:
    68
    Punkte für Erfolge:
    48
  3. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,930
    Zustimmungen:
    174
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    MyFritz kann Subdomains.

    Jedoch muss jeder Server selbst seine LE Cert erstellen und verwalten. Mit MyFritz wird es aber wohl nicht unbedingt klappen.
     
  4. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    #4 JokerGermany, 13 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 13 Apr. 2019
    Unnötiges Vollzitat entfernt - HabNeFritzbox
    Hmm, jetzt nochmal für noobs?
    Jeder Server sein zertifikat erstellen ist ja kein problem, aber gibt es dann nicht probleme, wenn 2 server die gleiche myfritzadresse nutzen?
     
  5. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,930
    Zustimmungen:
    174
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Wie schon erwähnt wird es wohl nichts mit MyFritz. Jeder Server hat eigene Subdomain und eigenes Zertifikat.

    Je nachdem wie es erstellt wird, wird es eh nichts, da bei IPv4 nur einmal Port 80 belegen werden kannst.

    Und bei MyFritz und vielen anderen DDNS Anbietern kannst keine entsprechenden DNS Einträge setzen.
     
  6. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Hmm, danke, dann wird wohl die FritzBox auf ihr Lets Encrypt Zertifikat verzichten müssen.
    Hatte gehofft irgendwie das Zertifikat zwischen NAS und Fritzbox teilen zu können.
    Also z.B. dass das NAS das Zertifikat auf die Fritzbox kopiert wenn das Zertifikat erneuert wird oder andersrum....

    €dit:
    https://www.techandme.se/share-lets-encrypt-ssl-certificates-between-hosts/
    Werd mal versuchen was zu basteln
     
  7. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,930
    Zustimmungen:
    174
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Kannst in FB Cert importieren, wenn also ein hast würde es gehen. Wenn Lust hast alle 3 Monate es zu wechseln.

    Zumindest ohne Freetz, was da mit Scripten geht, kann ich dir nicht sagen.
     
  8. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    #8 JokerGermany, 13 Apr. 2019
    Zuletzt von einem Moderator bearbeitet: 14 Apr. 2019
    Unnötiges Vollzitat entfernt - HabNeFritzbox
    Habs deswegen in Freetz gepackt weil ich es gerne Automatisieren würde.
    Wo speichert die FritzBox denn das Zertifikat bzw. wo ist die Datei wo es erstellt wird?

    Glaube ich lasse die Fritz!Box das Zertifikat erstellen und entweder holt sich das NAS das Zertifikat oder noch besser wäre die FritzBox gibt es nach der Erstellung dem NAS...
    Beiträge zusammengefügt - HabNeFritzbox
    Oder Vielleicht doch andersrum,
    hier ist nen Skript, wie man es auf die FritzBox importiert:
    https://gist.github.com/wikrie/f1d5747a714e0a34d0582981f7cb4cfb

    Fand es nur interessant das vorhandene LE in der FritzBox zu nutzen...
     
  9. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,617
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    @JokerGermany: Das Thema war hier schon mal ausgiebig durchgekaut. Wenn du danach suchst, wirst du sicherlich fündig. @PeterPawn hat seine eigene Lösung dafür, die er hier in einem Thread von mir ausführlich erklärt hat. Mir ging es im Thread eigentlich darum, Zertifikatimport für einen WLAN-Repeater zu aktivieren. Dies hat @er13 mir damals freundlicherweise ermöglicht. Irgendwann mal hat sich cuma da auch gemeldet und gesagt, dass er in damals seinem privaten Repository beide Fragen schon längst gelöst hatte (auch Letsencrypt auf seine Art und Weise in seinem privaten FREETZ damals). Es gab auch Screenshots davon. Mittlerweile hat cuma FREETZ-NG eröffnet, wo angeblich so ziemlich alle Sachen aus seinem privaten Repository gelandet sind. Ich meine sogar irgendwo in einer der Trac-Meldungen gelesen zu haben, dass NG angeblich LetsEncrypt komplett unterstützt. Darum schau bitte da rum und suche hier im Forum danach.
    Die Lösung von AVM mag ja schön zu sein, weil für einen 0815-Benutzer gedacht. Du merkst ja schon, dass es für deine Bedürfnisse nicht ausreicht. In deinem Falle würden sich evtl. die so genannten WildCard-Zertifikate lohnen. Lies dich bitte im Netz dazu ein, dann weißt du, was das ist. Ein WildCard-Zertifikat mit LetsEncrypt zu erzeugen ist aber nicht so einfach. Im besten Falle solltest du dafür deinen eigenen DNS-Server (von einer TLD, wohlgemerkt) haben, denn du selbst verwaltest. Das macht aber nicht jeder. Es gibt auch angeblich ein Paar Tricks, wie man die WildCards bei LetsEncrypt auch anderswie zum Laufen bekommt. Man sollte sich da aber schon etwas näher mit der Thematik auseinandersetzen. Der Vorteil vom WildCard wäre, dass sich nur eine Stelle um die Erneuerung der Zertifikate kümmert. Rest wäre es per Skripte und Co. dafür zu sorgen, dass die Zertifikate verteilt werden.

    MfG
     
  10. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Hab derzeit keine TLD, daher scheidet wildcard aus.

    Werde wohl erstmal das Brett an der dünnsten Stelle bohren und auf dem NAS das Zertifikat generieren.
    NAS ist erstmal wichtiger als Fritz!Box.
    Dann werde ich wohl versuchen, dass Skript zu nutzen...
    https://gist.github.com/wikrie/f1d5747a714e0a34d0582981f7cb4cfb
     
  11. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Da mir gerade nochmal die Freigaben der Fritzbox angesehen und festgestellt, dass sowohl die Fritz!Box, als auch das NAS über Port 80 zu erreichen sind.
    nas.XXX.myfritz.net
    myfritz.net

    Also sollte es doch möglich sein, wenn sich jeder sein eigenes Zertifikat holt?
     
  12. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,930
    Zustimmungen:
    174
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Bei IPv4 kannst nur jeden Port einmal weiterleiten.

    FB läuft nur intern auf Port 80, nicht extern.

    Weiß eh nicht wieso man sich auf MyFritz beschränken möchte, eigene Domain, hat man Probleme nicht.
     
  13. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    495
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Weil ich kein Bock auf laufende Kosten habe
     
  14. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,930
    Zustimmungen:
    174
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Gibt auch andere DDNS Dienste.