Prinzipielle Frage zu Domains und Zertifikaten

International
1

Hallo,
ich habe schon einige Jahre Erfahrung mit Truenas, anfegfangen bei Core, inzwischen Scale.
Hauptsächlich nutze ich meinen Server für Nextcloud zum synchronisieren, auch von Handykontakten und Kalendern. Das geht ganz gut.
Bisher hat mich die Einrichtung immer viel Nerven gekostet, habe aber auch einiges dabei gelernt. Das knifflige an Nextcloud ist immer die Sache mit dem Zertifikat: man benötigt ein gültiges Zertifikat, damit Apple-Geräte Kalender und Kontakte synchronisieren. Ich nutz den Server bisher nur intern, bis vor ein paar Jahren hat es mit dem default-Zertifikat geklappt, seit einigen Jahren ist Apple da aber strenger.
Ich möchte jetzt den Schritt wagen und das mal richtig machen. Mein jetziger Server hat noch TrueNAS-SCALE-22.12.1 drauf mit Nextcloud aus Truecharts.
Gut dabei war, dass man das Truenas Zertifikat auf Nextcloud übertragen kann. Also habe ich eine Domain gekauft, ein SSL-Zertifikat erstellt und dies in Truenas importiert. Jetzt muss ich einmal pro Jahr (wenn es abläuft) das Zertifikat händisch neu erstellen und importieren muss. Funktioniert, aber wird so von Truecharts nicht mehr unterstützt.
Ich habe jetzt mal testweise einen Server mit 24.20 aufgesetzt und probiere da rum. Ziel ist es schon, das mit den Zertifikaten zu automatisieren. Steige auch auf die Truenas-Apps um.
Jetzt zur eigentlichen Frage: was muss ich tun um auf meinem Truenas server regelmäßig ein gültiges Zertifikat zu bekommen? Ich habe schon einiges gelesen, das Zauberwort ist wohl ACME. Was benötigt man da alles? Zugriff aus dem Internet heraus ist nicht nötig, wenns geht, würde ich es wahrscheinlich auch nutzen (für Nextcloud und Truenas).
Was ich schon weiß: Truenas nutzt ACME bisher nur mit cloudflare. D.h. ich muss eine Domain bei Cloudflare einrichten.
Kann ich eine Domain bei Ionos kaufen und diese dann in Cloudflare nutzen?
Wie sind die einzelnen Schritte?

  • Domain kaufen *.domain.de
  • bei Cloudflare einrichten
  • bei truenas einrichten (truenas.domain.de und next.domain.de)
  • fertig? Reicht das aus um intern auf mein nextcloud zuzugreifen mit gültigem Zertifikat?
  • welche zusätzlichen Schritte muss ich machen um aus dem Internet darauf zuzugreifen? DynDNS einrichten unter Ionos oder Cloudflare? (ich verwende eine Fritz!Box).
    Freue mich über jegliche Hinweise jeglicher Art
2

Scheinbar ist noch keine Entscheidung gefallen, wie das Setup letztendlich aussehen wird. Daher als alternative Option: VM mit Let’s Encrypt

3

Ich nutze für Zertifikate meist einen Reverse Proxy.
Das bedeutet, dass von außen der Traffic über port forwarding nur an eine Maschine (eine kleine VM mit 1-2 GB RAM und 1-2 Kernen reicht) geleitet wird.
Die kümmert sich dann um HTTPS, die Zertifikate, etc. Und leitet die Sachen dann intern je nach eingetippter Webadresse weiter.

Persönlich nutze ich Caddy, hier ein Beispiel ähnlich meiner aktuell laufenden Nextcloud mit dem Unterschied, dass der reverse Proxy hier mit auf der Nextcloud VM läuft statt separat: GitHub - HPPinata/Nextcloud: Simple setup guide to Nextcloud in Docker-Compose
Das hat eine recht einfache Konfiguration und man könnte da z.B. auch noch sowas anfügen um auch an die TrueNAS Oberfläche weiterzuleiten:

truenas.%DEINE_DOMAIN% {
  reverse_proxy https://truenas.lan {
    transport http {
      tls_insecure_skip_verify
    }
  }
}

Es gibt aber auch Programme wie Nginx Proxy Manager die eine Web GUI haben und damit Anfängerfreundlicher aussehen, da habe ich aber nicht so viele Erfahrungen mit.

Wie der Traffic bei dir zu Hause ankommt ist deine Sache:
Wenn du einen Domainnamen hast kannst du den im Grunde zeigen lassen wohin du willst, inklusive dyndns Services wie dynv6.com, cloudflare oder direkt auf deine FritzBox wenn du eine feste IP hast. Ob du dann über cloudflare Tunneln willst, oder die Portfreigaben an der Fritzbox einrichtest und was “einfacher” ist, darüber lässt sich streiten.

1 Like
4

Ich mache das gleiche wie Momi_V nur mit traefik als reverse proxy (bin vor einem halben jahr von truecharts auf docker in einem scale-jail umgestiegen).
Traefik kümmert sich um die Zertifikate und erneuert diese auch wenn sie kurz vom ablaufen sind.