Anfängerguide für Letsencrypt auf OMV4

  • OMV4

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Anfängerguide für Letsencrypt auf OMV4

    Ich richte mich hier in erster Linie an OMV-Anfänger, die Letsencrypt im OMV4 einrichten wollen. Natürlich auch in diesem Guide ohne Konsole, was wohl einige sehr ansprechend finden.

    Vorwort: Für nicht so technisch angehauchte Personen empfehle ich vorher die Guides für den jeweiligen Router zu lesen und Informationen zu sammeln, wie eine Portfreigabe funktioniert. Man will ja nicht sein eigenes Netzwerk für den Rest der Welt frei geben. Verantwortung übernehme ich natürlich nicht. Fangen wir an.


    Als erstes eine Domain beantragen bei einem kostenlosen DNS-Dienst z.B. noip.com und diese im Router bei DNS-Service eintragen. Das bewirkt, dass ihr aus dem Internet immer mit diesem Domainnamen erreichbar seid – auch nach einer IP-Neuvergabe des Internetanbieters, was im Normalfall aller 24 Stunden automatisch passiert. Dann Portfreigabe im Router beim Anschluss des Servers setzen (http (Port 80) und https (Port 443) (IP4x reicht)). Bitte lest die Dokumentation eures Routers bzw. informiert euch richtig. Die Portangaben beziehen sich auf die Originalports des Openmediavault-Rechners.


    Im OMV4 dann

    Netzwerk und bei Domainnamen den erstellten Namen (z.B. blabla.hopto.org) eintragen – Speichern (blabla.hopto.org ersetzt in unserem Beispiel Euren erstellten Namen)


    Jetzt bei den Erweiterungen Letsencrypt auswählen und installieren (Achtung! Lukesencryption ist etwas anderes – nicht verwechseln). die OMV-Extras müssen natürlich schon installiert und neben OMV-Extras.orgTesting schon aktiviert sein).


    Bei Dienste – Letsencrypt wählen, Einstellungen klicken, Schedule Refresh auf "an" und eure E-Mail eintragen und Certificate Name vergeben - Speichern. Achtung! Wenn das erste Zertifikat erstellt wird, bitte NICHT "Test Certificat"e auf an stellen!)


    Dann bei Domains +Hinzufügen, die erstellte Domain (z.B. blabla.hopto.org) eintragen und bei Webroot /var/www/openmediavault eintragen - Speichern. (Ich habe mir sagen lassen, dass einigen Personen nicht weiter kamen, weil sie nicht wussten, was bei Webroot eingetragen wird).


    Jetzt Zertifikat – erstellen – fertig.



    Die Zertifikate befinden sich im Verzeichnis /etc/letsencrypt/archive/deinen erstellten Certifikate Name/ . Die privatekey.pem und die certl.pem sind die 2 wichtigen Dateien, wo die Schlüssel hinterlegt sind. Diese werden aber seit OMV4 nicht mehr direkt von euch zum" copy/paste" benötigt, weil bei den Zertifikaten das Letsencrypt-Zertifikat bei den OMV-Zertifikat automatisch hinzugefügt wird. Wir sind nämlich schon fertig


    Jetzt könnt ihr bei „Allgemeine Einstellungen“ SSL/TLS aktivieren und das Zertifikat verwenden. Das OMV4 Webmenu ist nun über xxx.xxx.xxx.xx erreichbar. Die allererste Hinweismeldung geht bei nochmaligem aktualisieren des Browsers weg. Gebt nun in einem weiteren Browsefenster euere Domainadresse Bsp.: https//blabla.hopto.org ein und ihr seht, dass die Verschlüsslung grün ist und ihr aus dem Internet auf euren Server verschlüsselt erreichbar seid. Ich benutze Firefox, deshalb sage ich grün. Kann bei anderen Browsern anders sein.


    Ich hoffe, ich konnte Einsteigern etwas weiter helfen.

    Nur noch mal zur Info. Haltet Euch strickt nach den Vorgaben eueres Routerherstellers. Ihr könnt mit öffnen von Ports auch richtig viel Mist bauen.


    Good Luck
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower, mprasil/bitwarden
  • Re,

    Berti schrieb:

    Das bewirkt, dass ihr aus dem Internet immer mit diesem Domainnamen erreichbar seid – auch nach einer IP-Neuvergabe des Internetanbieters, was im Normalfall aller 24 Stunden automatisch passiert.
    Das ist nicht ganz korrekt. In zweierlei Hinsicht:
    a) All-IP-Anschlüsse haben in der Regel längere Lease-Times (Telekom z.B. 180 Tage m.W.n.) - mittlerweile gibt es ja auf dem deutschen Markt fast nix anderes mehr
    b) DynDNS funktioniert nicht bei DSLite-Anschlüssen (Dual-Stack Lite), da muss man beim Provider anrufen und um Umstellung bitten ... auch das ist mittlerweile bei so gut wie allen Anbiertern (außer Telekom m.W.n.) der Standard ...

    Sc0rp
  • OK. Danke für die Infos. Ich habe einen ganz normalen 16k Anschluß von 1&1. Meine Fritz-Box trennt täglich zwischen 3 und 4 kurz daz Internet und vergibt 'ne neue IP. Andere Erfahrungen diesbezüglich habe ich leider nicht.

    Gruß Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower, mprasil/bitwarden
  • Re,

    Berti schrieb:

    Meine Fritz-Box trennt täglich zwischen 3 und 4 kurz daz Internet und vergibt 'ne neue IP.
    Und das ist in der Fritz!Box so eingestellt, damit die Zwangstrennung nicht dann statt findet, wenn du grad abends auf der Couch sitzt und dann geht nix mehr ... ist aber, wie gesagt, ehr historisch.

    Einfach mal diese Einstellung raus machen ... und schauen, ob der Provider immernoch alle 24h trennt. (sieht man dann im Log der Fritze)

    Sc0rp
  • Ja. Danke. In paar Wochen bzw. in nächster absehbarer Zeit kommt das große Update der Box. Da ich mich dann sowieso mit der neuen Firmware vertraut mache, werde ich das in diesem Atemzug mit erledigen.

    Danke für den Hinweis.

    Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower, mprasil/bitwarden
  • Danke erstmal für den Guide - allerdings gibt es bei mir ein kleines Problem:
    Ich kann meine generierten Certs nicht einbinden, da bei mir unter /etc/letsencrypt/ kein archive ordner ist :/

    Ich habe dort lediglich dies:
    accounts cli.ini csr keys renewal renewal-hooks

    Irgend eine Idee, wie ich an meine certs komme? :S
    Verwende OMV4 auf ARM

    Danke!


    Edit: Fehler gefunden. Der Port 80(ext) muss auch auf den Port 80 am OMV leiten. Hatte den Port 88 an 80 geleitet.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Jolynexu ()

  • Command: export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin; export LANG=C; /usr/bin/certbot certonly --non-interactive --rsa-key-size 2048 --text --keep-until-expiring --agree-tos --allow-subset-of-names --cert-name rattleomv.private --email racex@web.de --webroot -w /var/www/openmediavault -d fs.rattleomv.net 2>&1


    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for fs.rattleomv.net
    Using the webroot path /var/www/openmediavault for all unmatched domains.
    Waiting for verification...
    Challenge failed for domain fs.rattleomv.net
    Cleaning up challenges
    Challenges failed for all domains
    Fertig...
  • Re,

    Let's Encrypt automatisiert den Zertifikatsprozess soweit, das keine menschliche Arbeit seitens der CA mehr nötig ist, darum und weil der nötige Anteil menschlicher Arbeit durch "öffentliche Träger" bezahlt wird ist es kostenlos.
    Ansonsten kann man sich immer noch durch andere CA's ein bezahltes Zertifikat ausstellen lassen, da muss man dann andere Bedingungen erfüllen, braucht aber i.d.R. keinen (aktuell) erreichbaren Webserver ...

    Die nötigen Grundbausteine für ein solches Zertifikat bleiben aber erhalten: Autorität und Authentizität müssen valide geprüft werden, d.h. der Inhaber (vie eMail) als auch die Domain (deswegen wird der Prozess ja Clientseitig iniziiert) müssen abprüfbar sein.

    Ob LE DynDNS-Domains validiert, weiß ich nicht - käme auf einen Versuch an, aber ja - man braucht auf jeden Fall eine Domain unter der man einen eigenen erreichbaren Webserver hat (der muss dann via Port 80 UND Port 443 erreichbar sein).

    Sc0rp
  • Sc0rp schrieb:

    Re,

    Let's Encrypt automatisiert den Zertifikatsprozess soweit, das keine menschliche Arbeit seitens der CA mehr nötig ist, darum und weil der nötige Anteil menschlicher Arbeit durch "öffentliche Träger" bezahlt wird ist es kostenlos.
    Ansonsten kann man sich immer noch durch andere CA's ein bezahltes Zertifikat ausstellen lassen, da muss man dann andere Bedingungen erfüllen, braucht aber i.d.R. keinen (aktuell) erreichbaren Webserver ...

    Die nötigen Grundbausteine für ein solches Zertifikat bleiben aber erhalten: Autorität und Authentizität müssen valide geprüft werden, d.h. der Inhaber (vie eMail) als auch die Domain (deswegen wird der Prozess ja Clientseitig iniziiert) müssen abprüfbar sein.

    Ob LE DynDNS-Domains validiert, weiß ich nicht - käme auf einen Versuch an, aber ja - man braucht auf jeden Fall eine Domain unter der man einen eigenen erreichbaren Webserver hat (der muss dann via Port 80 UND Port 443 erreichbar sein).

    Sc0rp
    Ich habe einen eigenen Webserver (Blech, darauf läuft OMV in VM-Modus über Proxmox), der ist auch über Port 80 und 443 erreichbar, ja die Domain "http://fs.rattleomv.net" bzw. "https://fs.rattleomv.net" wird korrekt aufgelöst. In der Pointer Record habe ich *.rattleomv.net angegeben und mein nginx webserver habe ich ebenfalls unter servers *.rattleomv.net angegegben.

    Mein Webserver ist über Clients im gleichen Intranet (Subnet) ohne Probleme erreichbar, jedoch nicht von außen über das Internet (noch nicht).

    Das sollte LetsEncrypt aber egal sein, kann ja sein ich möchte auch nur im Intranet Authentizität haben durch Zertifizierung....
  • Re,

    ChookaT schrieb:

    Das sollte LetsEncrypt aber egal sein, kann ja sein ich möchte auch nur im Intranet Authentizität haben durch Zertifizierung....
    Das ist LE auch egal, wenn das Zert einmal korrekt erstellt wurde ... dazu brauchst du aber den Internet-Zugriff, sonst funktioniert der LE-Prozess nicht. Und das ist im Kern auch der Unterschied zw. privatem und öffentlichem Zertifikat.

    Sc0rp
  • Re,

    noch einige Anmerkungen wegen deinem Use-Case "Intranet":
    - LE-Certs werden per Domain erstellt und können seit Neuestem auch Wildcards ( *.meine-domain.tld statt erster.meine-domain.tld + zweiter.meine-domain.tld + dritter.meine-domain.tld )
    - wer mehrere Zertifikate innerhalb eines Intranets braucht/benutzt, sollte sich daher intensiv mit dem Wesen einer CA beschäftigen
    (das gilt natürlich nur bei mehreren internen Webservern)
    - LE-Certs lassen sich nicht auf IP-Adressen ausstellen
    - je nach Browser und Einstellung könnten die Clients eine Verbindung zum Internet brauchen, um das Zertifikat nachzuschlagen
    (LE-Certs haben eine Laufzeit von 3 Monaten)

    Sc0rp
  • Hallo

    Ich habe gerade auch den Versuch gewagt. PRoblem ist, mein Firefox (aktuelle Version) kennt das Letsencrypt Zertifikat nicht. Er meckert mich immer an, das die Website ein selbsterstelltes Zertifikat nutzt. Muß ich Firefox Letsencrypt irgendwie bekannt machen?

    Zweite Frage.
    Habe ich einen Fehler gemacht, indem ich dieselbe DynDNS Adresse benutzt habe die auch in der Fritzbox eingetragen ist? SPrich brauche ich für meinen OMV-Server einen eigenen DynDNS Namen?
    Tschüß Jörg
  • Hi. Das mit derselben DynDNS wie sie in der Fritze steht, geht meines Wissens nicht. Bevor ich diesen Guide schrieb, hatte ich das auch paar Tage ohne Erfolg versucht. Jedenfalls die eigene, die in den FritzBox-Diensten steht, funktioniert nicht. Du solltest dich bei einem DynDNS-Dienst registrieren und diesen dann in der Fritze unter Freigaben-DynDNS eintragen, so wie im Guide beschrieben. Oder du schaust dir dieses Video (siehe unten) an, wo alles recht gut mittels Docker gelöst wird. Da wirst du vielleicht die Zusammenhänge etwas besser verstehen.

    Hier das Video


    LG Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower, mprasil/bitwarden