Nextcloud op server, geen SSL-certificaat

dinsdag 1 september 2020 11:32

Acties:

Topicstarter

Ik ben bezig op mijn thuisserver Nextcloud te installeren. Het is operationeel, echter https werkt niet, alleen http op poort 80. Ik gebruik het volgende script via docker-compose:

code:

version: '2'

services:

  portainer:
    container_name: portainer
    image: portainer/portainer
    volumes:
       - /home/henk/nextcloud/portainer:/data
       - /var/run/docker.sock:/var/run/docker.sock
    restart: always
    ports:
       - "9000:9000"

  proxy:
    image: jwilder/nginx-proxy:alpine
    labels:
      - "com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy=true"
    container_name: nextcloud-proxy
    networks:
      - nextcloud_network
    ports:
      - 80:80
      - 443:443
    volumes:
      - ./proxy/conf.d:/etc/nginx/conf.d:rw
      - ./proxy/vhost.d:/etc/nginx/vhost.d:rw
      - ./proxy/html:/usr/share/nginx/html:rw
      - ./proxy/certs:/etc/nginx/certs:ro
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/tmp/docker.sock:ro
    restart: unless-stopped

  letsencrypt:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: nextcloud-letsencrypt
    depends_on:
      - proxy
    networks:
      - nextcloud_network
    volumes:
      - ./proxy/certs:/etc/nginx/certs:rw
      - ./proxy/vhost.d:/etc/nginx/vhost.d:rw
      - ./proxy/html:/usr/share/nginx/html:rw
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
    restart: unless-stopped

  db:
    image: mariadb
    container_name: nextcloud-mariadb
    networks:
      - nextcloud_network
    volumes:
      - /home/henk/nextcloud/mariadb:/var/lib/mysql
      - /etc/localtime:/etc/localtime:ro
    environment:
      - MYSQL_ROOT_PASSWORD=WACHTWOORD
      - MYSQL_PASSWORD=WACHTWOORD
      - MYSQL_DATABASE=DATABASE
      - MYSQL_USER=USER
    ports:
      - "3306:3306"
    restart: unless-stopped

  app:
    image: nextcloud:latest
    container_name: nextcloud-app
    networks:
      - nextcloud_network
    depends_on:
      - letsencrypt
      - proxy
      - db
    volumes:
      - /home/henk/nextcloud/nextcloud:/var/www/html
      - /etc/localtime:/etc/localtime:ro
    environment:
      - VIRTUAL_HOST=10.0.0.157
      - LETSENCRYPT_HOST=10.0.0.157

volumes:
  nextcloud:
  db:

networks:
  nextcloud_network:

Weet iemand waar de fout zit?

☀️ 6440 Wp zuid | 🌡️ Stiebel Eltron WPL 15 ACS, HM Trend | Home Assistant

dinsdag 1 september 2020 11:38

Acties:

azerty

LetsEncrypt reikt geen certificaten uit voor IP adressen, dus een LETSENCRYPT_HOST=10.0.0.157 gaat niet werken.

dinsdag 1 september 2020 11:41

Acties:

manusjevanalles

Topicstarter

A dat verklaart een en ander. Is er een optie om dit te omzeilen? Ik wil mijn server uiteindelijk aan het internet hangen. Ik kan het linken aan mijn domein cloud.DOMEINNAAM.nl, maar liefst gewoon het ip-adres houden.

☀️ 6440 Wp zuid | 🌡️ Stiebel Eltron WPL 15 ACS, HM Trend | Home Assistant

dinsdag 1 september 2020 11:48

Acties:

Groentjuh

10.0.0.157 gaat het sowieso nooit worden, dat kan letterlijk niet gecontroleerd worden door LetsEncrypt. Die valt immers in de private IP ranges!

Voor publieke IPs zou je nog een certificaat kunnen krijgen (LetsEncrypt doet daar overigens zoals azerty al post niet aan!), maar private IPs gaat geen enkele SSL provider een certificaat voor uitgeven!

dinsdag 1 september 2020 12:07

Acties:

azerty

manusjevanalles schreef op dinsdag 1 september 2020 @ 11:41:
A dat verklaart een en ander. Is er een optie om dit te omzeilen? Ik wil mijn server uiteindelijk aan het internet hangen. Ik kan het linken aan mijn domein cloud.DOMEINNAAM.nl, maar liefst gewoon het ip-adres houden.

Dit zal in elk geval, zolang er geen domeinnaam aanhangt die publiek benaderbaar is, moeilijk worden met de letsencrypt-nginx-proxy-companion... Die ondersteunt enkel LE via http challenges, en daarvoor moet LetsEncrypt dus je server publiek kunnen benaderen...

Voor interne domeinen heb ik nog met DNS validatie gewerkt, en dat ging ruwweg als volgt:
- A record voor intern.foo.bar geeft je interne IP terug (10.0.0.157)
- script vraagt certificaat aan voor intern.foo.bar via DNS challenge, slaat de challenge op in je DNS records
- je geeft het verkregen certificaat voor intern.foo.bar door aan je server lokaal

Finaal kan je dan surfen naar intern.foo.bar, wat je lokaal IP zal returnen en een geldig certificaat presenteert. Geen idee of dit concept ergens al in gebruiksvriendelijke software zit daarentegen...

Edit: een wildcard voor je domein aanvragen en dat certificaat er zelf inzetten kan natuurlijk ook in combinatie met een DNS record dat naar je intern IP verwijst...

[ Voor 6% gewijzigd door azerty op 01-09-2020 12:08 ]

dinsdag 1 september 2020 12:18

Acties:

manusjevanalles

Topicstarter

Maar als ik het goed begrijp, als ik cloud.MIJNDOMEIN.nl verwijs naar mijn publieke ip, de juiste poorten in de firewall openzet, er wel een certificaat gemaakt wordt?

☀️ 6440 Wp zuid | 🌡️ Stiebel Eltron WPL 15 ACS, HM Trend | Home Assistant

dinsdag 1 september 2020 13:49

Acties:

azerty

manusjevanalles schreef op dinsdag 1 september 2020 @ 12:18:
Maar als ik het goed begrijp, als ik cloud.MIJNDOMEIN.nl verwijs naar mijn publieke ip, de juiste poorten in de firewall openzet, er wel een certificaat gemaakt wordt?

Correct, dat zou moeten werken

dinsdag 1 september 2020 13:51

Acties:

manusjevanalles

Topicstarter

Geweldig. Nu nog even uitzoeken hoe ik dat doorsturen instel in de DNS, en dan fingers crossed dat het werkt

☀️ 6440 Wp zuid | 🌡️ Stiebel Eltron WPL 15 ACS, HM Trend | Home Assistant

Vraag

Alle reacties