Frage zum Online-Konten/Nextcloud-Konto

[Thorsten1234]

Hallo zusammen!

Ich habe NextcloudPi hier in meinem Heimsetz laufen. Diese Nextcloud ist von außen nicht erreichbar und hat deswegen auch kein SSL Zertifikat.
Auf meinem Laptop läuft Debian 12. Wenn ich mich unter Einstellungen (Online-Konten -->Nextcloud-Konto) mit der Nextcloud verbinden möchte, bekomme ich die Fehlermeldung "Ungültiges Zertifikat".

Das kommt nicht überraschend, es ist ja keins da Ich möchte die Nextcloud aber auch nicht nach außen öffnen, um ein Zertifikat zu bekommen.

Gibt es da eine Möglichkeit die Zertifikat-Abfrage zu umgehen?

[Thorsten1234]

Oh, habs gefunden, einfach auf ignorieren klicken

Leider funktioniert das bei meinem PinePhonePro mit Mobian nicht aber das ist ein anderes Thema ...

[gatnnos]

IMHO kannst Du dir ein Zertifikat ausstellen lassen, installieren und anschließend wieder die Verbindung nach außen kappen.

[GregorS]

Oh, habs gefunden, einfach auf ignorieren klicken

Das erinnert irgendwie an

Code: Alles auswählen

Möchten Sie speichern?
[ ] Ja
[ ] Nein
[ ] Vielleicht

SCNR

Gregor

[Thorsten1234]

IMHO kannst Du dir ein Zertifikat ausstellen lassen, installieren und anschließend wieder die Verbindung nach außen kappen.

Ja, stimmt, das könnte ich probieren. Danke für den Hinweis!

Ich brauche das Zertifikat in meinem Heimnetz eigentlich nicht. Ich vertraue meinem eigenen Server . Ich denke dafür gibt es ja auch die Möglichkeit unter Debian auf Ignorieren zu klicken.
Ein Problem macht das fehlende Zertifikat nur bei meinem PinePhone Pro. Da kommt die Ignorieren-Möglichkeit nicht, sondern die Eingabemaske friert ein. Ich denke das ist ein Bug.
Ich muss mal schauen, ob ich den Bug bei Mobian irgendwo, vielleicht bei GitLab melden kann ...

[uname]

Naja. Durch ein TLS/SSL-Zertifikat von Lets Encrypt kannst du dir den Ärger und auch das Ignorieren ersparen. Ich verstehe auch nicht, warum die Leute alle so viel Angst haben die Ports 80/443 zu einen internen Webservice freizugeben. Ich denke wenn die Software (Webserver und z. B. Nextcloud) mit den aktuellsten Softwareversionen ausgestattet ist, dann passiert da gar nichts.

Leider kenne ich Mobian nicht. Aber falls du die Nextcloud-Desktop App von Mobian und nicht den Browser nutzt, könntest du für den Webzugriff 2FA aktivieren. Das würde deinen Nextcloud-Zugriff aus dem Internet schon sehr stark absichern bzw. unterbinden - falls du ihn überhaupt aktivieren würdest. Leider lässt sich bei Nextcloud wohl bzgl. 2FA und Web-GUI nicht unterscheiden, ob der Zugriff von innen oder außen kommt. Somit müsstest du für den Web-GUI-Zugriff dann überall 2FA verwenden.

[MSfree]

Naja. Durch ein TLS/SSL-Zertifikat von Lets Encrypt kannst du dir den Ärger und auch das Ignorieren ersparen.

Funktioniert ein von letsencrypt ausgestelltes Zertifikat überhaupt in einem lokalen, privaten Netz für eine URL wie beispielsweise https://nextcloud.meinnetz.privat?

[uname]

Nein. Lets Encrypt muss den Namen auflösen können. Ich habe ein Lets Encrypt Zertifikat für meinnetz.ddnss.de (anderer Name). Aufgrund von DynDNS zeigt die zugehörige IP-Adresse auf die externe IP meiner Fritz!Box.

[MSfree]

Nein. Lets Encrypt muss den Namen auflösen können. Ich habe ein Lets Encrypt Zertifikat für meinnetz.ddnss.de (anderer Name). Aufgrund von DynDNS zeigt die zugehörige IP-Adresse auf die externe IP meiner Fritz!Box.

Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.

Ich finde diese SItuation um die Zertifikate ziemlich frustrierend.

[slu]

Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.

Du kannst dir deine eigene CA erstellen und auf allen Clients installieren, dann klappt es auch mit den Zertifikaten und der Client ist zufrieden.

[MSfree]

Du kannst dir deine eigene CA erstellen und auf allen Clients installieren

Schon klar, das klappt aber nur mit gängiger Windows/Linux/MacOS-Software.
Ob beispielsweise die Android/IOS Clients die Installation einer CA zulassen, ist aber fraglich.

[gatnnos]

Wie schon geschrieben, entweder bei einem DynDNS-Anbieter einen Eintrag setzen und ein Zertifikat holen, oder eine eigene Domain bei einem Anbieter eröffnen und einen DNS-Eintrag erstellen. Zeigt dann auf die Public IP der Fritzbox. Bei mir ist nur 443 auf, 80 wird manuell zum Erneuern des Zertifikates geöffnet und anschließend wieder geschlossen.

Man darf dann allerdings nicht vergessen, den Hostnamen auch in der /var/www/html/nextcloud/config/config.php unter den trusted_domains einzutragen, dann klappt es auch mit dem Aufruf der Domain im Browser.

[Thorsten1234]

Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.

Du kannst dir deine eigene CA erstellen und auf allen Clients installieren, dann klappt es auch mit den Zertifikaten und der Client ist zufrieden.

Also wenn ich Port 443 und 80 für meine meine Nextcloud nicht öffnen möchte, dann kann ich selbst ein CA erstellen. In diesem CA steht, dass meine Nextcloud sicher ist. Dieses CA lege ich auf mein PinePhone und dann sollte es klappen. Habe ich das so richtig verstanden?

Dann ergeben sich für mich zwei weitere Fragen.

1. Mobian basiert ja auf Debian 12. Wo muss ich das CA ablegen?
2. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?

[slu]

Ob beispielsweise die Android/IOS Clients die Installation einer CA zulassen, ist aber fraglich.

Doch geht, kein Problem, haben wir hier im Büro auf 25 Android Smartphone unterschiedlicher Hersteller.

[slu]

1. Mobian basiert ja auf Debian 12. Wo muss ich das CA ablegen?

Ich kopiere die CA immer nach
/usr/share/ca-certificates
und aktiviere diese dann mit
dpkg-reconfigure ca-certificates
update-ca-certificates

Damit geht es schon Systemweit, im Browser musst du es aber noch manuell hinzufügen.

2. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?

Ich mache die Zertifikate immer direkt auf der pfSense, ob es eine schönes GUI Programm für Debian gibt kann ich nicht sagen.

[slu]

2. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?

Du kannst es mal mit xca probieren.
Wichtig beim Server Zertifikat auch den Typ Server auswählen und zusätzlich noch die IP hinterlegen (hoffe das kann xca).

Edit:
Hier gibt es ein Video https://hohnstaedt.de/xca/

[Thorsten1234]

Vielen Dank für all die Antworten!
Ich werde versuchen ein eigenes CA anzulegen. Vielleicht hilft mir das weiter.

[uname]

Bei mir ist nur 443 auf, 80 wird manuell zum Erneuern des Zertifikates geöffnet und anschließend wieder geschlossen.

Prinzipiell ist es unnötig sich die Mühe zu machen und den Port 80 zu öffnen und zu schließen. Den Port kann man getrost auch offen lassen. Am Ende ist auf beiden Ports der gleiche Service (nur minimal anders konfiguriert) und damit die gleiche Gefahr. Die Ende-zu-Ende-TLS/SSL-Verschlüsselung schützt vor Angriffen meiner Meinung nach gar nicht. Sie sichert nur die Identität des Servers und die Daten während des Transports. Vorteil wenn man 443 und 80 dauerhaft aktiviert ist auch, dass man über Aufruf der URL für Port 80 und Umleitung auf Port 443 auch ohne direktem TLS/SSL-Aufruf die Webseite erreicht.

[gatnnos]

@uname
Es ist einfach das Bauchgefühl das mich den Port 80 schließen lässt. Und wenn jemand die URL aufruft, dann bin ich das, und ich weiß dass https:// davor muss.