Frage zum Online-Konten/Nextcloud-Konto
-
- Beiträge: 10
- Registriert: 06.05.2023 09:07:19
Frage zum Online-Konten/Nextcloud-Konto
Hallo zusammen!
Ich habe NextcloudPi hier in meinem Heimsetz laufen. Diese Nextcloud ist von außen nicht erreichbar und hat deswegen auch kein SSL Zertifikat.
Auf meinem Laptop läuft Debian 12. Wenn ich mich unter Einstellungen (Online-Konten -->Nextcloud-Konto) mit der Nextcloud verbinden möchte, bekomme ich die Fehlermeldung "Ungültiges Zertifikat".
Das kommt nicht überraschend, es ist ja keins da Ich möchte die Nextcloud aber auch nicht nach außen öffnen, um ein Zertifikat zu bekommen.
Gibt es da eine Möglichkeit die Zertifikat-Abfrage zu umgehen?
Ich habe NextcloudPi hier in meinem Heimsetz laufen. Diese Nextcloud ist von außen nicht erreichbar und hat deswegen auch kein SSL Zertifikat.
Auf meinem Laptop läuft Debian 12. Wenn ich mich unter Einstellungen (Online-Konten -->Nextcloud-Konto) mit der Nextcloud verbinden möchte, bekomme ich die Fehlermeldung "Ungültiges Zertifikat".
Das kommt nicht überraschend, es ist ja keins da Ich möchte die Nextcloud aber auch nicht nach außen öffnen, um ein Zertifikat zu bekommen.
Gibt es da eine Möglichkeit die Zertifikat-Abfrage zu umgehen?
-
- Beiträge: 10
- Registriert: 06.05.2023 09:07:19
Re: Frage zum Online-Konten/Nextcloud-Konto
Oh, habs gefunden, einfach auf ignorieren klicken
Leider funktioniert das bei meinem PinePhonePro mit Mobian nicht aber das ist ein anderes Thema ...
Leider funktioniert das bei meinem PinePhonePro mit Mobian nicht aber das ist ein anderes Thema ...
Re: Frage zum Online-Konten/Nextcloud-Konto
IMHO kannst Du dir ein Zertifikat ausstellen lassen, installieren und anschließend wieder die Verbindung nach außen kappen.
Re: Frage zum Online-Konten/Nextcloud-Konto
Das erinnert irgendwie an
Code: Alles auswählen
Möchten Sie speichern?
[ ] Ja
[ ] Nein
[ ] Vielleicht
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
-
- Beiträge: 10
- Registriert: 06.05.2023 09:07:19
Re: Frage zum Online-Konten/Nextcloud-Konto
Ja, stimmt, das könnte ich probieren. Danke für den Hinweis!gatnnos hat geschrieben:29.08.2023 20:12:28IMHO kannst Du dir ein Zertifikat ausstellen lassen, installieren und anschließend wieder die Verbindung nach außen kappen.
Ich brauche das Zertifikat in meinem Heimnetz eigentlich nicht. Ich vertraue meinem eigenen Server . Ich denke dafür gibt es ja auch die Möglichkeit unter Debian auf Ignorieren zu klicken.
Ein Problem macht das fehlende Zertifikat nur bei meinem PinePhone Pro. Da kommt die Ignorieren-Möglichkeit nicht, sondern die Eingabemaske friert ein. Ich denke das ist ein Bug.
Ich muss mal schauen, ob ich den Bug bei Mobian irgendwo, vielleicht bei GitLab melden kann ...
Re: Frage zum Online-Konten/Nextcloud-Konto
Naja. Durch ein TLS/SSL-Zertifikat von Lets Encrypt kannst du dir den Ärger und auch das Ignorieren ersparen. Ich verstehe auch nicht, warum die Leute alle so viel Angst haben die Ports 80/443 zu einen internen Webservice freizugeben. Ich denke wenn die Software (Webserver und z. B. Nextcloud) mit den aktuellsten Softwareversionen ausgestattet ist, dann passiert da gar nichts.
Leider kenne ich Mobian nicht. Aber falls du die Nextcloud-Desktop App von Mobian und nicht den Browser nutzt, könntest du für den Webzugriff 2FA aktivieren. Das würde deinen Nextcloud-Zugriff aus dem Internet schon sehr stark absichern bzw. unterbinden - falls du ihn überhaupt aktivieren würdest. Leider lässt sich bei Nextcloud wohl bzgl. 2FA und Web-GUI nicht unterscheiden, ob der Zugriff von innen oder außen kommt. Somit müsstest du für den Web-GUI-Zugriff dann überall 2FA verwenden.
Leider kenne ich Mobian nicht. Aber falls du die Nextcloud-Desktop App von Mobian und nicht den Browser nutzt, könntest du für den Webzugriff 2FA aktivieren. Das würde deinen Nextcloud-Zugriff aus dem Internet schon sehr stark absichern bzw. unterbinden - falls du ihn überhaupt aktivieren würdest. Leider lässt sich bei Nextcloud wohl bzgl. 2FA und Web-GUI nicht unterscheiden, ob der Zugriff von innen oder außen kommt. Somit müsstest du für den Web-GUI-Zugriff dann überall 2FA verwenden.
Re: Frage zum Online-Konten/Nextcloud-Konto
Funktioniert ein von letsencrypt ausgestelltes Zertifikat überhaupt in einem lokalen, privaten Netz für eine URL wie beispielsweise https://nextcloud.meinnetz.privat?uname hat geschrieben:30.08.2023 10:15:33Naja. Durch ein TLS/SSL-Zertifikat von Lets Encrypt kannst du dir den Ärger und auch das Ignorieren ersparen.
Re: Frage zum Online-Konten/Nextcloud-Konto
Nein. Lets Encrypt muss den Namen auflösen können. Ich habe ein Lets Encrypt Zertifikat für meinnetz.ddnss.de (anderer Name). Aufgrund von DynDNS zeigt die zugehörige IP-Adresse auf die externe IP meiner Fritz!Box.
Re: Frage zum Online-Konten/Nextcloud-Konto
Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.uname hat geschrieben:30.08.2023 10:29:42Nein. Lets Encrypt muss den Namen auflösen können. Ich habe ein Lets Encrypt Zertifikat für meinnetz.ddnss.de (anderer Name). Aufgrund von DynDNS zeigt die zugehörige IP-Adresse auf die externe IP meiner Fritz!Box.
Ich finde diese SItuation um die Zertifikate ziemlich frustrierend.
Re: Frage zum Online-Konten/Nextcloud-Konto
Du kannst dir deine eigene CA erstellen und auf allen Clients installieren, dann klappt es auch mit den Zertifikaten und der Client ist zufrieden.MSfree hat geschrieben:30.08.2023 12:16:31Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Frage zum Online-Konten/Nextcloud-Konto
Schon klar, das klappt aber nur mit gängiger Windows/Linux/MacOS-Software.slu hat geschrieben:30.08.2023 12:33:56Du kannst dir deine eigene CA erstellen und auf allen Clients installieren
Ob beispielsweise die Android/IOS Clients die Installation einer CA zulassen, ist aber fraglich.
Re: Frage zum Online-Konten/Nextcloud-Konto
Wie schon geschrieben, entweder bei einem DynDNS-Anbieter einen Eintrag setzen und ein Zertifikat holen, oder eine eigene Domain bei einem Anbieter eröffnen und einen DNS-Eintrag erstellen. Zeigt dann auf die Public IP der Fritzbox. Bei mir ist nur 443 auf, 80 wird manuell zum Erneuern des Zertifikates geöffnet und anschließend wieder geschlossen.
Man darf dann allerdings nicht vergessen, den Hostnamen auch in der /var/www/html/nextcloud/config/config.php unter den trusted_domains einzutragen, dann klappt es auch mit dem Aufruf der Domain im Browser.
Man darf dann allerdings nicht vergessen, den Hostnamen auch in der /var/www/html/nextcloud/config/config.php unter den trusted_domains einzutragen, dann klappt es auch mit dem Aufruf der Domain im Browser.
-
- Beiträge: 10
- Registriert: 06.05.2023 09:07:19
Re: Frage zum Online-Konten/Nextcloud-Konto
Also wenn ich Port 443 und 80 für meine meine Nextcloud nicht öffnen möchte, dann kann ich selbst ein CA erstellen. In diesem CA steht, dass meine Nextcloud sicher ist. Dieses CA lege ich auf mein PinePhone und dann sollte es klappen. Habe ich das so richtig verstanden?slu hat geschrieben:30.08.2023 12:33:56Du kannst dir deine eigene CA erstellen und auf allen Clients installieren, dann klappt es auch mit den Zertifikaten und der Client ist zufrieden.MSfree hat geschrieben:30.08.2023 12:16:31Mit anderen Worten, HTTPS in Heimnetzen geht nur mit selbstsignierten Zertifikaten, und die verursachen mindestens eine Warnung im jeweiligen Client. Manche Clients verweigern solche Zertifikate sogar komplett.
Dann ergeben sich für mich zwei weitere Fragen.
1. Mobian basiert ja auf Debian 12. Wo muss ich das CA ablegen?
2. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?
Re: Frage zum Online-Konten/Nextcloud-Konto
Doch geht, kein Problem, haben wir hier im Büro auf 25 Android Smartphone unterschiedlicher Hersteller.MSfree hat geschrieben:30.08.2023 12:48:18Ob beispielsweise die Android/IOS Clients die Installation einer CA zulassen, ist aber fraglich.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Frage zum Online-Konten/Nextcloud-Konto
Ich kopiere die CA immer nachThorsten1234 hat geschrieben:31.08.2023 10:43:191. Mobian basiert ja auf Debian 12. Wo muss ich das CA ablegen?
/usr/share/ca-certificates
und aktiviere diese dann mit
dpkg-reconfigure ca-certificates
update-ca-certificates
Damit geht es schon Systemweit, im Browser musst du es aber noch manuell hinzufügen.
Ich mache die Zertifikate immer direkt auf der pfSense, ob es eine schönes GUI Programm für Debian gibt kann ich nicht sagen.Thorsten1234 hat geschrieben:31.08.2023 10:43:192. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Frage zum Online-Konten/Nextcloud-Konto
Du kannst es mal mit xca probieren.Thorsten1234 hat geschrieben:31.08.2023 10:43:192. Gibt es eventuell eine Anleitung, die ihr empfehlen könnt?
Wichtig beim Server Zertifikat auch den Typ Server auswählen und zusätzlich noch die IP hinterlegen (hoffe das kann xca).
Edit:
Hier gibt es ein Video https://hohnstaedt.de/xca/
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
-
- Beiträge: 10
- Registriert: 06.05.2023 09:07:19
Re: Frage zum Online-Konten/Nextcloud-Konto
Vielen Dank für all die Antworten!
Ich werde versuchen ein eigenes CA anzulegen. Vielleicht hilft mir das weiter.
Ich werde versuchen ein eigenes CA anzulegen. Vielleicht hilft mir das weiter.
Re: Frage zum Online-Konten/Nextcloud-Konto
Prinzipiell ist es unnötig sich die Mühe zu machen und den Port 80 zu öffnen und zu schließen. Den Port kann man getrost auch offen lassen. Am Ende ist auf beiden Ports der gleiche Service (nur minimal anders konfiguriert) und damit die gleiche Gefahr. Die Ende-zu-Ende-TLS/SSL-Verschlüsselung schützt vor Angriffen meiner Meinung nach gar nicht. Sie sichert nur die Identität des Servers und die Daten während des Transports. Vorteil wenn man 443 und 80 dauerhaft aktiviert ist auch, dass man über Aufruf der URL für Port 80 und Umleitung auf Port 443 auch ohne direktem TLS/SSL-Aufruf die Webseite erreicht.gatnnos hat geschrieben:Bei mir ist nur 443 auf, 80 wird manuell zum Erneuern des Zertifikates geöffnet und anschließend wieder geschlossen.
Re: Frage zum Online-Konten/Nextcloud-Konto
@uname
Es ist einfach das Bauchgefühl das mich den Port 80 schließen lässt. Und wenn jemand die URL aufruft, dann bin ich das, und ich weiß dass https:// davor muss.
Es ist einfach das Bauchgefühl das mich den Port 80 schließen lässt. Und wenn jemand die URL aufruft, dann bin ich das, und ich weiß dass https:// davor muss.