Zertifikat Problem

[MisterY]

Hi,

ich habe ein NanoPi, der als Certbot-Server dient.
Nun habe ich auf meinem Proxmox-Server eine Nextcloud-LXC installiert und würde gerne das Zertifikat von meinem NanoPi mitnutzen. Jedoch erhalte ich immer die Meldung "xxx verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT"

Scheinbar ist da bei Turnkey irgendein selbstsigniertes Zertifikat dabei. Ich möchte aber, dass das Zertifikat vom NanoPi genutzt wird.
Was muss ich machen?

 

[bacon]

Deine Vermutung ist schon korrekt, woher sollte Nextcloud auch wissen, dass auf einem anderen Gerät ein Zertifikat liegt.
Ich weiß jetzt nicht wieviele Dateien ein Let´s encrypt Zertifikat "Paket" enthält, aber alle Dateien im, glaube, Live Ordner auf die Nextcloud VM kopieren und in, vermutlich, der Apache Host Config anpassen

ggfs. eleganter die die Let´s encrypt alle 90 Tage auslaufen und das kopieren evtl. zu viel wird, könnte man das Live Verzeichnis in der Nextcloud mounten und dann die Host config auf das mount Verzeichnis setzen.

 

[oachkatzlschwoaf94]

@*******: Meinem Verständnis nach gibt es hier grundlegendere Probleme...

Du musst dem Apache Webserver mitteilen, welches Zertifikat er verwenden muss. Das funktioniert bei einfachen Installationen z.B. unter Debian im Verzeichnis /etc/apache2/sites-enabled/ in der Datei default-ssl.conf. Da gibt es die Zeile "SSLCertificateFile <Pfad des Zertifikats>", hier dann statt des bisherigen Pfads den Pfad deines Let's encrypt Zertifikats einfügen. Außerdem gehört die Zeile "SSLCertificateKeyFile <Pfad des private Keys>" auch an den Pfad des Let's encrypt private Keys angepasst.
Einen Mechanismus zur automatischen Erneuerung des LE-Zertifikats hast du schon gebaut? Falls nicht wäre ein täglicher Cronjob sicher von Vorteil, der das Zertifikat mittels Key-authentifiziertem SCP von deinem NanoPi abholt.

 

[martingo]

Nachdem die LE Zertifikate (wie schon gesagt wurde) ja nur eine Gültigkeit von 90 Tagen haben, würde ich mir entweder einen Automatismus einfallen lassen oder ein selbst signiertes Zertifikat erstellen, das du auf allen Clients importierst.
Alle drei Monate von Hand irgendwelche Sachen zu kopieren, wird spätestens beim dritten Mal lästig. Und wenn du dann irgendwann noch weitere Zertifikate mit anderen Zyklen erstellst, wird es irgendwann unhandlebar.

 

[martingo]

Alles klar, dann passt's ja.