TLS-Zertifikat für nextcloud-Server im lokalen Netzwerk?

[EdwinOdesseiron]

Hallo zusammen,
ich habe mir einen nextcloud-Server installiert (OpenSuse Tumbleweed, Apache2), den ich in meinem Heimnetz (Fritz Box) betreibe.
Dieser funktioniert auch soweit und ich kann auch mein Mobiltelefon per nextcloud App damit syncen.

Jetzt gibt es natürlich das große Problem, dass die Kiste über Port 80 unverschlüsselt in meinem lokalen Netz steht.

Frage 1: Wie steht ihr dazu bzw. handhabt ihr das? Dem lokalen Netz kann man eigentlich vertrauen und das W-LAN ist gut gesichert, aber es hinterlässt für mich trotzdem ein maues Gefühl.

Frage 2: Falls ihr euch ein TLS-Zertifikat eingerichtet habt (welches afaik nicht selbst signiert sein darf, da sonst die App nicht funktioniert), wie habt ihr das genau gemacht?

Danke.

 

[tRITON]

ist es nicht egal ob unverschlüsselt oder TLS? Die Webseite gibt ohne Authoriserung und Authentifizierung eh alles Preis, also von daher ...

 

[entest]

SSL-Zertifikate kannst du wenn du eine Domäne hast kostenlos mit letsencrypt erstellen (zb https://help.nextcloud.com/t/how-to...letsencrypt-using-dns-to-verify-domain/126329 ).

Per Forwarding würde ich die Nextcloud trotzdem nicht einrichten. Da du eine Fritzbox hast, würde ich zu wireguard-vpn raten https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/ .

 

[mae1cum77]

Per Forwarding würde ich die Nextcloud trotzdem nicht einrichten.

Bei einem A+ des Sicherheits-Checks, sollte das kein Problem sein, da ist kein einfaches Reinkommen .

 

[plain.text]

Wenn du Nextcloud nur im Heimnetz nutzt, ist es völlig Banane, ob bei dem Server Ports offen sind oder nicht.
Irgendwas muss ja offen sein, damit du kommunizieren kannst.

Wenn du auch von extern zugreifen willst, dann Wireguard oder OpenVPN.

Zu letsencrypt: Um das Zertifikat einzuspielen und zu erneuern musst du temporär Port 80 am Router öffnen. Ob das jetzt viel sicherer ist, als einfach nur im Heimnetz zu agieren - ohne Zertifikat - wage ich zu bezweifeln...

 

[nazdun]

Ich hab bei mir zu Hause ein Let's Encrypt Zertifikat ohne einen Port nach außen zu öffnen, das ist aber nicht ganz so einfach:

Um das Zertifikat zu erstellen benutze ich DnsRoboCert in Kombination mit einem unterstützen Registrar (bei mir Netcup). Bei letzterem habe ich eine Domain gekauft auf die das Zertifikat ausgestellt wird. DnsRoboCert fordert ein neues Zertifikat an, ändert die DNS Einträge entsprechend und bekommt dann das Zertifikat.

Dann habe ich noch einen lokalen DNS Server, der cloud. MeineDomain auf den Nextcloud Server umleitet, welcher dann das Zertifikat benutzt.