NextcloudPi Teil 3: Gültiges Verschlüsselungszertifikat mit Let’s Encrypt erstellen

Raspberry Pi Cloud Beitragsbild

In diesem Artikel geht es um die Einrichtung eines eigenen NAS/Homeservers auf Basis eines Raspberry Pi und Nextcloud. Es gibt jedoch noch weiter Möglichkeiten einen Raspberry Pi als Homeserver zu nutzen. Eine Übersicht über Artikel die sich mit diesem Thema beschäftigen findest Du unter Übersicht: Homeserver/NAS mit dem Raspberry Pi


Mittlerweile haben wir mit einem Raspberry Pi und Nextcloud eine funktionierende Cloudlösung eingerichtet die über das Internet erreichbar ist. Die Übertragung von Dateien über das Internet ist hierbei nur über eine verschlüsselte Verbindung möglich.

Anzeige:

Leider besteht hierbei noch der kleine Wermutstropfen dass Nextcloudpi bisher für die Verschlüsselung ein sogenanntes selbstsigniertes Zertifikat verwendet, welches im Webbrowser zu einer unschönen Warnung und Fehlermeldung führt. Allerdings kann es auch passieren dass Anwendungen von Drittanbietern den Dienst komplett verweigern wenn ihnen der NextcloudPi ein, aus ihrer Sicht, ungültiges Verschlüsselungszertifikat vorlegt.

Erst seit kurzer Zeit, nämlich seit die Zertifizierungsstelle Let’s Encrypt ihren Dienst aufgenommen hat, lässt sich diese Situation einfach, automatisiert und zudem noch kostenlos beheben.

Das Problem bei selbstsignierten Zertifikaten ist, dass nicht überprüft wird ob die aufgerufene Internetadresse tatsächlich zu dem Computer gehört mit dem man sich gerade verbindet. Eine offizielle Zertifizierungsstelle wie Let’s Encrypt muss sich einem umfangreichen Regelwerk für das ausstellen von Zertifikaten unterwerfen und außerdem regelmäßige Überprüfungen über sich ergehen lassen. Werden diese erfolgreich bestanden wird die Organisation als vertrauenswürdig Webbrowser wie Google Chrome, Mozilla Firefox usw aufgenommen.

Wenn wir nun ein Verschlüsselungszertifikat bei Let’s Encrypt beantragen, dann überprüft die Stelle ob hinter der angegebenen Internetadresse auch wirklich unser Nextcloudpi erreichbar ist. Dies Funktioniert dadurch, dass zuerst unser NextcloudPi eine Verbindung zu Let’s Encrypt aufbaut und unsere Internetadresse übermittelt. Let’s Encrypt versucht daraufhin den umgekehrten Weg zu gehen und über die übermittelte Internetadresse eine Verbindung zu unserem NextcloudPi aufzubauen. Gelingt dies stellt die Zertifizierungsstelle ein Verschlüsselungszertifikat aus, welches bestätigt dass hinter unserer Internetadresse mynextcloud.ddns.net auch wirklich unsere Nextcloud erreichbar ist.

Da die Software zur für Let’s Encrypt in NextcloudPi standardmäßig bereits integriert ist, lässt sich ein solches Zertifikat mit wenigen Mausklicks beantragen und installieren.

Anschließend melden die Browser keinen Fehler mehr und man erhält ein schönes grünes Verschlüsselungssymbol in der Adresszeile.

Zusätzliche Portfreigabe für Let’s Encrypt einrichten

In Teil 2 haben wir bereits eine Portfreigabe in der Fritzbox für verschlüsselte Verbindungen über Port 443 mit HTTPS eingerichtet. Damit der Zugriff für Let’s Encrypt funktioniert muss auch der Port für unverschlüsselte Verbindungen freigegeben werden.

Hierzu muss in der Fritzbox unter Internet -> Freigaben -> Portfreigaben eine neue Freigabe für den Dienst HTTP, bzw Port 80 erstellt werden. Letztendlich müssen hierzu nur nochmal die Schritte aus Teil 2 wiederholt werden.

Verschlüsselungszertifikat bei Let’s Encrypt erstellen

Damit das Beantragen des Zertifikats automatisier klappt müssen die folgenden Voraussetzungen erfüllt sein.

Man benötigt eine eigenen Internetadresse, diese muss via DynDNS auf den Nextcloudpi erreichen. Außerdem müssen die Netzwerkports 80 (HTTP) und 443 (HTTPS) im Router für den NextcloudPi freigegeben sein. Dies habe wir in Teil zwei bereits erledigt.

Da Let’s Encrypt bereits in NextcloudPi integriert ist, ist alles weitere in ein paar Minuten erledigt. Zerst muss man sich wieder in die Verwaltungsoberfläche des Pi einloggen über

prehttps://192.168.30.125:4443//pre

Hier wird im linken Menü der Punkt “letsencrypt” ausgewählt. In die beiden Felder trägt man die in Teil 2 erstellte DynDns Internetadresse ein, in unserem Fall “mynextcloud.ddns.net”. Außerdem muss eine gültige Emailadresse angegeben werden.

Mit einem Klick auf OK erstellt NextcloudPi automatisch die benötigten Schlüsseldateien und leitet die Überprüfung durch Let’s Encrypt ein. Wenn diese erfolgreich ist, bekommt man ein grünes Licht in der Verwaltungsoberfläche und das Zertifikat wird automatisch eingerichtet.

Um Missbrauch vorzubeugen ist die Anzahl an Anfragen die man bei Let’s Encrypt stellen kann auf wenige Anfragen pro Woche limitiert. Schlägt der Vorgang fehl, so sollte man vor einem erneuten Versuch überprüfen, ob die eingerichtete DynDNS Adresse tatsächlich funktioniert und ob der NextcloudPi darüber erreichbar ist.

Zu beachten ist außerdem, dass die Zertifikate von Let’s Encrypt eine Gültigkeit von drei Monaten haben. Danach muss eine neue Überprüfung erfolgen, was NextcloudPi aber automatisch übernimmt.
Damit dies möglich ist, müssen aber die eingerichteten Portfreigaben und der DynDNS weiterhin funktionieren.

Nach dem Ausstellen des Zertifikates dauer es ein paar Minuten bis NextcloudPi dieses eingerichtet hat, evtl. ist ein Neustart nötig, damit der lokale Webserver seine Einstellungen aktualisiert.

Wenn man dann die Cloud über die Adresse mynextcloud.ddns.net aufruft bekommt man keine Fehlermeldungen mehr.


 

Anzeige:
Fire TV Stick mit Alexa-Sprachfernbedienung
Fire TV Stick mit Alexa-Sprachfernbedienung
Preis: € 39,99 Prime
(14668 Bewertungen)
Jetzt auf Amazon kaufen
Preis inkl. MwSt., zzgl. Versandkosten
Aktualisiert am 15. August 2018 um 1:45 . Preise können sich geändert haben. Alle Angaben ohne Gewähr.

Hinterlasse jetzt einen Kommentar


Die Angabe eines Namens oder einer Webseite ist optional. Weitere Informationen: siehe Datenschutzerklärung