Nextcloud 21 - Installation mit einem Script auf einem VPS Server - c-rieger Script

nc-kay · February 24, 2021, 6:09am

Hallo Forum,

folgende Installationvariante habe ich ausprobiert:

Port 80 und Port 443 müssen in Firewall von VPS Server frei gegeben werden.

Am Ende muss man eingeben:

sed -i '/ssl-cert-snakeoil/d' /etc/nginx/conf.d/nextcloud.conf
sed -i s/#\ssl/\ssl/g /etc/nginx/conf.d/nextcloud.conf
service nginx restart

Kann man diese mit coypy & paste tun, wenn man eine ssh Verbindung nutzt?

Optional: Einrichtung von SSL über Let’s Encrypt

Bitte stellen Sie zuerst sicher, dass Ihr Server sowohl über Port 80/TCP als auch über Port 443/TCP von außen erreichbar ist.

Muss der Port 80 (http://) dauerhaft freigegeben sein?

MfG
nc-kay

Edit, 25. Feb. 2021: Port 80

Last updated: Jan 24, 2019 | See all Documentation

We occasionally get reports from people who have trouble using the HTTP-01 challenge type because they’ve firewalled off port 80 to their web server. Our recommendation is that all servers meant for general web use should offer both HTTP on port 80 and HTTPS on port 443. They should also send redirects for all port 80 requests, and possibly an HSTS header (on port 443 requests).

Allowing port 80 doesn’t introduce a larger attack surface on your server, because requests on port 80 are generally served by the same software that runs on port 443.

Closing port 80 doesn’t reduce the risk to a person who accidentally visits your website via HTTP. In normal circumstances, that person would receive a redirect to HTTPS, and their subsequent traffic will be protected. If that person was subject to an active MITM, the MITM would answer on port 80, so your site would never have a chance to answer “connection refused.”

Lastly, keeping port 80 open in order to serve a redirect helps get people to the right version of your site (the HTTPS version). There are various situations beyond your control that might briefly land someone on the HTTP version of your site - for instance, automatic linkification in emails, or manually typing a domain name. It’s better for them to get a redirect than an error.

Unfortunately, you might not have control over whether port 80 is blocked for your site. Some (mostly residential) ISPs block port 80 for various reasons. If your ISP does this but you’d still like to get certificates from Let’s Encrypt, you have two options: You can use DNS-01 challenges or you can use one of the clients that supports TLS-ALPN-01 challenges (on port 443).

bb77 · February 24, 2021, 9:53am

Kann man diese mit coypy & paste tun, wenn man eine ssh Verbindung nutzt?

Jup

Muss der Port 80 (http://) dauerhaft freigegeben sein?

Jup. Sonst können die Zertifikate nicht automatisch erneuert werden. Sicherheitstechnisch ist das aber kein Problem, weil mit diesem Script ja auch eine permanente Weiterleitung auf HTTPS eingerichtet wird.

nc-kay · February 25, 2021, 8:51am

OT

Hallo, ich bekomme bei der heutigen Installaton folgenden Fehler:

[Do 25. Feb 09:41:30 CET 2021] Create new order error. Le_OrderFinalize not found. {
“type”: “urn:ietf:params:acme:error:rateLimited”,
“detail”: “Error creating new order :: too many certificates already issued for exact set of domains:nc-kay.dynv6.net: see Rate Limits - Let's Encrypt”,
“status”: 429
}
[Do 25. Feb 09:41:30 CET 2021] Please add ‘–debug’ or ‘–log’ to check more details.
[Do 25. Feb 09:41:30 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

Dazu habe ich gefunden:

If you have a large number of pending authorization objects and are getting a Pending Authorizations rate limiting error, you can trigger a validation attempt for those authorization objects by submitting a JWS-signed POST to one of its challenges, as described in the ACME spec. The pending authorization objects are represented by URLs of the form https://acme-v02.api.letsencrypt.org/acme/authz/XYZ, and should show up in your client logs. Note that it doesn’t matter whether validation succeeds or fails. Either will take the authorization out of ‘pending’ state. If you do not have logs containing the relevant authorization URLs, you need to wait for the rate limit to expire. As described above, there is a sliding window, so this may take less than a week depending on your pattern of issuance.

Nur wie setze ich das um?
Wie führe ich einen Reset aus?

bb77 · February 25, 2021, 9:21am

Hatte ich auch schon beim testen. Da bleibt dir nichts anderes übrig als zu warten oder eine andere (Sub-)Domain zu verwenden.

nc-kay · February 25, 2021, 9:26am

Wie lange muss man warten?

szaimen · February 25, 2021, 9:29am

1 Woche so weit ich weiß

bb77 · February 25, 2021, 9:32am

Ich weiss es nicht genau. So viel ich weiss, steht das irgendwo auf de Let’s Encrypt Seite. Bei mir waren es ein paar Tage, wenn ich mich richtig erinnere.

Ich würde dir empfehlen einen Domainnamen zu registrieren. Dann kannst du so viele Subdomains nutzen wie du willst. Wenn du ein Rate Limit erreichst, nutzt du einfach testserver2.deinedomain.de usw…

Wenn es dir nur darum geht, die Funktionalität von Letsencrypt zu testen. kannst du auch certbot --dry-run oder acme.sh --test nutzen. Dann wird kein neues Zertifikat gezogen und es gibt keine Rate Limits. Eine weitere Möglichkeit wäre, die Zertifikate wegzukopieren und sie manuell wieder hinzuzufügen bei einer Neuinstallation. Ist natürlich wenn du Scripts testen willst, die den Let’s Encrypt-Client nutzen nicht unbedingt parktikabel.

nc-kay · February 25, 2021, 9:49am

Kann das jemand mehr zu sagen?

bb77 · February 25, 2021, 9:56am

Es steht ja sogar in dem Link, den du gepostet hast…

Renewals are treated specially: they don’t count against your Certificates per Registered Domain limit, but they are subject to a Duplicate Certificate limit of 5 per week.

bb77 · February 25, 2021, 10:09am

Du hast keine “large number of pending authorisations”. Du hast " too many certificates already issued". Da kann man nichts machen, befürchte ich.

szaimen · February 25, 2021, 10:12am

Ja, wiegesagt: 1 Woche muss man in dem Fall warten.

nc-kay · February 25, 2021, 2:32pm

Hallo, ist das Zertifikate mit dem VPS Server, der jeweiligen Installation verkoppelt?

Oder kann ich das Zertifikat für Installation_1 und dann, wenn Installation_1 gelöscht für Installation_2 verwenden?

szaimen · February 25, 2021, 2:36pm

Wenn die maximale Anzahl an Zertifikaten für eine bestimmte (Sub-)Domain überschritten ist kannst du nichts mehr tun außer 1 Woche zu warten, falls du erneut lets encrypt einrichten willst. Davon abgesehen ist es evtl. Möglich das neueste Zertifikat, falls auf dem Server noch vorhanden, manuell zu kopieren bzw. wiederzuverwenden. Aber kp wie genau.

nc-kay · February 26, 2021, 6:55am

Hallo, welche Probleme gibt es wenn ich diese Woche Domain-1 und nächste Woche Domain-2 für Nextcloud Instanz haben möchte? Was ist da zu beachten?

MfG
nc-kay

bb77 · February 26, 2021, 8:04am

Steht doch alles hier:

https://letsencrypt.org/de/docs/rate-limits/

Ich glaube kaum, dass dir da jemand mehr sagen kann.

nc-kay · March 5, 2021, 8:35am

Eine gelöstes Problem:

A+

Rating

Running Nextcloud 21.0.0.18

Latest patch level

Major version still supported

Scanned at 2021-02-25 09:29:35

rakekniven · March 12, 2021, 7:00am

This topic was automatically closed after 6 days. New replies are no longer allowed.