UTM 9.6 Lets Encrypt Zertifikate

Hi Robert,

die UTM kann Zertifikate über Let's Encrypt erzeugen, die durch sämtliche Module der UTM verwendet werden können.

Wenn deine Nextcloud per DNAT veröffentlicht ist, hast du nichts davon.

Wenn du deine Nextcloud statt per DNAT über die WAF veröffentlichst, kannst du im Virtuellen Webserver das Let's Encrypt Zertifikat verwenden.

Dann nimmst du für die Kommunikation zwischen Nextcloud und UTM etwas selbstsigniertes und nach draußen das öffentliche.

Alternative per UTM das Zertifikat erzeugen, exportieren und im Nextcloud einspielen - müsstest du monatlich von Hand machen.

Gruß Lukas

lna said:

 

Alternative per UTM das Zertifikat erzeugen, exportieren und im Nextcloud einspielen - müsstest du monatlich von Hand machen.

 

Hi,

ich hab das bei mir folgendermaßen gelöst:

- Abruf und Vergleich der Zertifikate extern und intern

- wenn unterschiedlich, dann Erneuerung des lokalen Zertifikats durch script

Und so hab ich es praktisch umgesetzt (Farbiges ist zu ersetzen):

- ssh zur UTM, dann sudo su

- mkdir /root/.remotecmd

- mkdir /root/.remotecmd/WWW.MEINEDOMAIN.DE

- touch /root/cmp-cert.sh

- chmod 700 /root/cmp-cert.sh

- vi /root/cmp-cert.sh

DOM=$1
LOC=$2
openssl s_client -connect $DOM:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' >cert_dom.pem
openssl s_client -connect $LOC:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' >cert_loc.pem
cmp cert_dom.pem cert_loc.pem >/dev/null
rc=$?
if [ $rc -eq 0 ];
then
  echo "gleich" >/dev/null;
else
  echo "ungleich";
  /root/.remotecmd/$DOM/remotecmd.sh $DOM $LOC
fi

- touch /root/.remotecmd/WWW.MEINEDOMAIN.DE/remotecmd.sh

- chmod 700 /root/.remotecmd/WWW.MEINEDOMAIN.DE/remotecmd.sh

- REF_MEINEDOM.key und REF_MEINEDOM.pem ermitteln:

#/usr/local/bin/confd-client.plx
127.0.0.1 MAIN > OBJS
Switched to OBJS mode.
127.0.0.1 OBJS > ca
127.0.0.1 OBJS ca > host_key_cert
127.0.0.1 OBJS ca host_key_cert >

pres tab twice to show the list of all certificates

from the list find the certificate you want to write the Let's Encrypt certificate in.

Copy everything upto the [ sign. We will use this reference in the next step

For example:

REF_CaHosLetsEncryp[Let's Encrypt,ca,host_key_cert]

The reference to use is: REF_CaHosLetsEncryp

- vi /root/.remotecmd/WWW.MEINEDOMAIN.DE/remotecmd.sh

DOM=$1
REMOTE_SERVER=$2
REMOTE_USER="root"
REMOTE_PATH="/etc/letsencrypt/live" # SSL-Pfad für NGINX
LOC_PATH="/var/storage/chroot-reverseproxy/usr/apache/conf/ssl" #Pfadinhalt wohl erst nach Zertifikatszuweisung verfügbar
LOC_PRIVKEY="REF_MEINEDOM.key" # s.o.
LOC_CERT="REF_MEINEDOM.pem" # s.o.

scp $LOC_PATH/$LOC_PRIVKEY $REMOTE_USER@$REMOTE_SERVER:$REMOTE_PATH/$DOM/privkey.pem >/dev/null
scp $LOC_PATH/$LOC_CERT $REMOTE_USER@$REMOTE_SERVER:$REMOTE_PATH/$DOM/fullchain.pem >/dev/null

ssh $REMOTE_USER@$REMOTE_SERVER systemctl restart nginx

- vi /etc/crontab-static

54 2 * * * root /root/cmp-cert.sh WWW.MEINEDOMAIN.DE nexctcloud.domain.local

- reboot

Wenn das noch jemand optimieren möchte, nur zu! Am besten wäre aber eine "offizielle" Lösung...

Es gibt eine offizielle Lösung: die REST-API der UTM. Über die kann man das komplette Let's Encrypt-Zertifikat aus der UTM abrufen und weiterverwenden.

Ich habe mir hierzu ein kleines Bash-Script geschrieben, das man auf dem Nextcloud-Server laufen lassen kann. Siehe: community.sophos.com/.../let-s-encrypt-used-for

Es gibt eine offizielle Lösung: die REST-API der UTM. Über die kann man das komplette Let's Encrypt-Zertifikat aus der UTM abrufen und weiterverwenden.

Ich habe mir hierzu ein kleines Bash-Script geschrieben, das man auf dem Nextcloud-Server laufen lassen kann. Siehe: community.sophos.com/.../let-s-encrypt-used-for