Let's Encrypt Zertifikat

  • Moin. Ich steh grade Mal komplett aufm Schlauch, aber ihr habt da doch sicher ne gute Idee zu...


    Ich versuche zur Zeit meine diversen Server mit nem Zertifikat auszustatten, um diese nervigen Browserwarnungen zu umgehen.


    Mein simples Problem:

    Ich soll für das Zertifikat eine Domain angeben... Für öffentliche Server schon klar, aber meine Heimserver haben keine Domain... Die erreich ich nur per IP Angabe.


    Ich hab mich schon wund gegoogelt, aber finde einfach nicht die passende Lösung.


    Muss ich einem Server im Heimnetz jetzt zwangsläufig einen Namen verpassen? Wenn ja, mit welcher Domainendung?

    Und muss ich dann immer über die Domain aufrufen und nicht mehr per IP?


    Oder krieg ich das Zertifikat auch auf eine interne IP ausgestellt?

  • Ich hab das auch mal versucht allerdings sind die Zertifikate nicht allzulange gültig und müssen immer wieder erneuert werden.

    Da gibt's dann diverse Tools die auf dem Server laufen und das automatisch bei letsencryt etc. abhändeln.


    Ist schon ne Zeit her, soweit ich mich erinnere ist das an den Domainnamen gebunden. Ob Mann da auch ne IP eingeben könnte? Gute Frage. Hast du ne statische IP??


    Auf jeden Fall braucht letsencrypt beim erstellen temporäte schreibrechte auf den Server um sicherzustellen das dieser wirklich deiner ist.

    (Wird ne Datei hochgeschrieben die dann mit der internen vom letsencrypt verglichen wird oder so)


    Mir war dann aber der Aufwand einfach zu groß das ans laufen zu bekommen.:|

    Online Compiler


    Sonoff-Basic / Sonoff-RF / Sonoff-Touch / Sonoff S20 / PowStro Basic / MagicHome / Sonoff-RF-Bridge mit diversen 433MHz RF Sender/Empfänger / Shelly_1 / ESP-WiFi-Dimmer / Gosund SP111 / ESP12E / WEMOS D1 Mini / ESP32Cam

    Sensoren: BME280/BMP280/HC-SR501/HC-SR04/ACS712/INA219/MHZ19B/DS3231

    mosquitto/bash/html/cgi auf RPI 2B+/Sprachsteuerung via IFTTT/4xGoogle-Home-Mini

    Einmal editiert, zuletzt von HoerMirAuf ()

  • es gibt für Linux eine certbot, welcher über die Kommandozeile installiert werden kann.

    Der übernimmt die Erstellung und die Erneuerung.

    Da sehe ich weniger Probleme...

    Wer mit fertigen Containern von TurnkeyLinux arbeitet, hat über die confcolsole auch direkt einen Assistenten zum erstellen.


    Mein Problem ist halt nur, das meine Server nur eine feste interne IP haben und keinen Domainnamen...

  • Was spricht denn dagegen, deinen Servern per sudo nano /etc/hostname einen Hostnamen zu verpassen und anschließend die Server mit hostname.local anzusprechen. Genauso kannst du alle Sonoffs mit eindeutigen friendlyname(s) versehen und mit friendlyname.local ansprechen, z. B. sonoff-stube.local, sonoff-kueche.local usw.

    Mit eigenen Zertifikaten habe ich (noch?) nicht gearbeitet, da kann ich nichts zu sagen, leider.

  • ich weiß nicht was dagegen spricht.... klappt das denn?

    Darauf bezog sich ja meine eigentliche Frage... hab mich vielleicht zu kompliziert ausgedrückt...

    Hauptproblem ist die Endung. .local klingt interessant.

    In diversen Beispielen hatte ich nur .com oder .de gelesen was natürlich lokal nicht klappt.

    In einem anderen Beispiel war gar keine Endung vergeben worden, was im Browser natürlich sofort google auf den Plan ruft...


    .local probiere ich gleich mal aus. :)

  • Also alle wichtigen Geräte (Serverdienste, Tasmotas, Drucker) haben feste IPs. Und zwar in den jeweiligen Geräten definiert und nicht als DHCP-Reservierung im Router.

    Im Router ist der Adressraum der festen IPs für den DHCP Server gesperrt. Bei mir sind das die IPs .2 bis .100.

    Meine Tasmota-Geräte bekommen allen einen Friendlyname, der ihre Funktion oder Standort beschreibt. Der hostname und das MQTT-Topic lauten in der Regel gleich, damit in allen Kommunikationsprotokollen dieselben Namen verwendet werden.

    Als Gateway und als DNS ist die Fritzbox definiert, also 192.168.178.1

    Was den direkten Aufruf des Gerätes über den Namen anbelangt, so treffe ich bei mir inzwischen auf ein sehr widersprüchliches Bild:

    Manche Geräte lassen sich über ihren Hostname ansprechen, manche nicht.

    Was reproduzierbar funktioniert, ist folgendes:

    Das Tasmota-Gerät bekommt die ipaddress1 0.0.0.0 (also DHCP) und einen hostname. Dann lässt sich das Gerät sofort mit seinem Namen in der Browserzeile ansprechen: http://hostname <enter> - die Weboberfläche startet.

    Hat das Gerät eine feste IP, dann muss in der Fritzbox unter Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen das Gerät gesucht werden. Meistens wird es zunächst mit seiner festen IP angezeigt, z. B. PC-192-168-178-74. Wenn du rechts auf den Editierstift klickst, kannst du den Namen des Gerätes auf den vergebenen hostname ändern. Danach lässt sich im lokalen Netz das Gerät mit seinem Namen ansprechen.


    Allerdings bin ich geneigt zu schwören, dass es nicht immer so reibungslos klappt. Ich habe den Eindruck, dass diverse Caches einem in die Quere kommen, sodass es nicht gleich funktioniert, z. B. der Browser-Cache und wohl auch ein DNS-Cache in der Fritzbox. Es bleibt unterm Strich ein wenig rätselhaft :/.