Eigenes Let's Encrypt Zertifikat hinter HTTP(s) Proxy

Alles Rund um die Einrichtung unserer IPv6 Portmapper
Post Reply
Philipp-R24
Posts: 1
Joined: Sat 17. Sep 2022, 12:53

Eigenes Let's Encrypt Zertifikat hinter HTTP(s) Proxy

Post by Philipp-R24 »

Hallo zusammen,

ich habe eine Nextcloud auf meinem Raspberry Pi an meiner Fritz Box. Das ganze läuft über Unitymedia IPv6. Über den Portmapper + HTTP(s) Proxy kann ich das ganze auch aus IPv4 erreichen. - So weit, so gut.
Ich würde nun gerne ein eigenes Zertifikat bei Let's Encrypt nutzen, das ich via Certbot auf dem Raspi beantrage und validiere. Das funktioniert auch, wenn ich Portmapper anderer Anbieter verwende. Bei Feste-Ip.net habe ich es aber leider noch nciht zum Laufen bekommen.

Folgende Fehlermeldung bekomme ich vom Certbot:

=====================================================================

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: DUMMY.feste-ip.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for DUMMY.feste-ip.net
Performing the following challenges:
http-01 challenge for DUMMY.feste-ip.net
Waiting for verification...
Challenge failed for domain DUMMY.feste-ip.net
http-01 challenge for DUMMY.feste-ip.net
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: DUMMY.feste-ip.net
Type: unauthorized
Detail: The key authorization file from the server did not match
this challenge
"ka7bV7-s15sIFb3F6Z29S-yoKPCcPpAxtxa9XzY1Dc4.R2uwVmSdiJMQNY_jwS_X32aG2-AsJgz_WBEoVf67jt8"
!=
"ka7bV7-s15sIFb3F6Z29S-yoKPCcPpAxtxa9XzY1Dc4.oBNd5smO5vYJ4JXg-7VH8ZPOOgURgOqPb-Ffq1bGeKA"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

=====================================================================

Meine Vermutung ist, dass Feste-Ip.net eigene Zertifikate hat und deren Server entsprechend mit der eigenen Challenge antworten. In anderen Beiträgen wurde ja mehrfach erwähnt, dass der HTTP(s) Proxy eigene Let's Encrypt Zertifikate nutzt.

Meine Frage also: Ist es möglich, den Portmapper + Proxy so einzustellen, dass ich selbst ein Zertifikat ausstellen kann? Wie müsste ich dazu vorgehen?
In beiden Fällen (also falls es möglich ist, das eigene Zertifikat zu nutzen und auch falls ich das Zertifikat von Feste-Ip.net nutzen muss): Wie verhält es sich mit der Sicherheit? Kann theoretisch jemand bei Feste-Ip.net meine verschlüsselten Daten entschlüsseln? Da derjenige ja das Zertifikat stellt?

Bemerkung: Ich verwende beim Portmapper das 1:1 Mapping mit Port 443 und meine IPv6 Adresse als Ziel.

Vielen Dank für eure Hilfe!
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: Eigenes Let's Encrypt Zertifikat hinter HTTP(s) Proxy

Post by MichaelWeigel »

Hallo,

mit dem Universellen Portmapper ist das nicht möglich.

Wenn Sie ein eigenes Let´s Encrypt Zertifikat auf Ihrer Nextcloude benötigen, müssen Sie dienen Dedizierten Portmapper mit einer eigenen IPv4 Adresse Nutzen. bei diesem können Sie den benötigten Port 80 zum Validieren des Zertifikates Freigeben. Die IP kostet pro Jahr 30,00€. Damit benötigen Sie auch keinen HTTP(s) Proxy mehr.
LG Michael
Post Reply