ubuntuusers.de

Hallo zusammen, ich will meine owncloud im Heimnetz verschlüsselt betreiben. Hab mit Tinyca2 den Schlüssel, das Zertifiakt und die CA-DAtei erstellt und in den vhost eingegeben.

<VirtualHost *:80>
  ServerName 192.168.178.25
  Redirect permanent / https://192.168.178.25/
</VirtualHost>

<VirtualHost *:443>
  SSLCertificateFile /etc/ssl/certs/owncloud-cert.pem
  SSLCertificateChainFile /etc/ssl/certs/owncloud-cert.pem
  SSLCertificateKeyFile /etc/ssl/private/owncloud-key.pem
  SSLProtocol All -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLCompression off
  Header always set Strict-Transport-Security "max-age=15768000"
  SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA'
  ServerName 192.168.178.25
  DocumentRoot "/var/www/owncloud"
  Alias /owncloud "/var/www/owncloud/"
  <Directory "/var/www/owncloud">
    Options +FollowSymLinks
    AllowOverride All
    <IfModule mod_dav.c>
      Dav off
    </IfModule>
    SetEnv HOME /usr/share/owncloud
    SetEnv HTTP_HOME /usr/share/owncloud
  </Directory>
  <Directory "/var/www/owncloud/data/">
    # just in case if .htaccess gets disabled
    Require all denied
  </Directory>
</VirtualHost>

Jedoch kommt im Browser die Fehlermeldung, dass dies keine sichere Verbindung ist. Was fehlt denn noch? Vielen Dank für Antworten.

rabadumpf schrieb:

ich will meine owncloud im Heimnetz verschlüsselt betreiben.

Du möchtest die Verbindung zu Deinem Owncloud mittels TLS absichern, alles andere wäre sinnfrei, denn eine laufende Instanz zu verschlüsseln bringt nichts.

Jedoch kommt im Browser die Fehlermeldung, dass dies keine sichere Verbindung ist.

Das ist soweit richtig.

Was fehlt denn noch?

Eine Beglaubigung des Zertifikates, welches Du selber erstellt hast, von einer Authority, der Dein Browser vertraut. Um es kurz zu sagen, self-signed Zertifikate werden von den Browsern als nicht Sicher angesehen, weil sie nicht verifiziert sind von einer CA. Wenn Du Dein Owncloud auch von ausserhalb erreichen möchtest, würde ich hier Let's Encrypt empfehlen.

Eine Beglaubigung des Zertifikates, welches Du selber erstellt hast, von einer Authority, der Dein Browser vertraut.

Das habe ich mit Tinyca2 gemacht. Trotzdem funzt nicht.

rabadumpf schrieb:

Das habe ich mit Tinyca2 gemacht.

Ja, nur interessiert sich Dein Browser nicht für Deine eigene CA, die Du erstellt hast. Siehe auch X.509

ich habe die ca-Datei erstellt, den Schlüssel dazu angefordert, signiert, den Schlüssel und das Zertifikat exportiert und auf den Heimserver in den jeweiligen Dateien abgelegt.

DAmit sollte auch mein Browser wissen, dass es ein vertrauenswürdiges Zertifikat ist, oder nicht?

Leider erschließt sich mir nicht ganz, was ich mit dem verlinkten Artikel soll.

Ist 192.168.178.25 etwa nicht richtig?

rabadumpf schrieb:

DAmit sollte auch mein Browser wissen, dass es ein vertrauenswürdiges Zertifikat ist, oder nicht?

Nein, denn Dein Browser geht nach der ihm bekannten Liste von CAs, wo Deine eben erstellte mit ziemlicher Sicherheit nicht drin ist.

Leider erschließt sich mir nicht ganz, was ich mit dem verlinkten Artikel soll.

Lesen und Verstehen, warum Du trotz Zertifikat eine Meldung Deines Browsers bekommst.

Ist 192.168.178.25 etwa nicht richtig?

Es ist eine gültige, private IPv4-Adresse, die von einer Fritzbox kommt. Ein wenig mehr Kontext zu dem bisherigen Thema bitte.

Ich habe das Zertifikat im Browser hinzugefügt chrome-vertrauenswürdige Zertifikate, damit erhalte ich keine Zertifikatswarnung mehr. Im Firefox habe ich eine Ausnahmeregel hinzugefügt. Ob das so korrekt war/ist, erschließt sich mir im Moment leider noch nicht, dazu fehlt mir die Erfahrung.

Bitte um Rückäußerung, ob das Hinzufügen ok ist.

Vielen Dank im voraus.

rabadumpf schrieb:

Bitte um Rückäußerung, ob das Hinzufügen ok ist.

Da die Zertifikate ja von Dir sind, ist das Hinzufügen soweit ok. Problematisch wird es da nur, wenn auch andere auf Deine Owncloud zugreifen möchten. Die müssten dann ebenfalls das Zertifikat manuell installieren und vertrauen.