Hier auf dem Blog habe ich neulich erklärt, wie man Nextcloud unter Ubuntu 16.04 installiert. Diese Installation wollen wir heute nun etwas sicherer machen, indem wir die Verbindung zum Server mittels SSL Zertifikat verschlüsseln. Dafür werden wir uns selbst ein self-signed Zertifikat auf unsere Nextcloud Server erstellen und dieses anschließend in die Nextcloud Konfiguration einbinden.
Aktivieren des SSL Modules für Apache2
Damit wir ein self-signed Zertifikat auf unserem Webserver für Nextcloud verwenden können, müssen wir zuerst das entsprechende Apache2 Modul für SSL aktivieren.
1 | a2enmod ssl |
Anschließend müssen wir apache2 neustarten.
1 | systemctl restart apache2.service |
Erstellen des self-signed Zertifikat
Im nächsten Schritt erstellen wir zuerst einen Ordner für das SSL Zertifikat.
1 | sudo mkdir /etc/apache2/ssl |
Nachdem wir einen Ordner zum Ablegen des Zertifikates erstellt haben, müssen wir dieses jetzt erzeugen. Dafür verwende ich den folgenden Befehl:
1 | sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/nextcloud.key -out /etc/apache2/ssl/nextcloud.crt |
Nach der Eingabe des Befehls werden einige Information von uns abgefragt. Diese gilt es dann entsprechend auszufüllen. Wenn wir nun in den Ordner /etc/apache2/ssl schauen, sollten dort eine nextcloud.key und eine nextcloud.crt liegen.
1 2 3 4 5 6 7 8 | root@nextcloud:/etc/apache2/ssl# ls -lsia insgesamt 24 801308 4 drwxr-xr-x 2 root root 4096 Aug 17 19:52 . 792352 4 drwxr-xr-x 9 root root 4096 Aug 13 10:51 .. 801310 4 -rw-r--r-- 1 root root 1407 Aug 13 10:52 apache.crt 801309 4 -rw-r--r-- 1 root root 1704 Aug 13 10:52 apache.key 801312 4 -rw-r--r-- 1 root root 1704 Aug 17 19:52 nextcloud.key 801313 4 -rw-r--r-- 1 root root 1229 Aug 17 19:52 nextcloud.crt |
Erstellen von nextcloud-ssl.conf
Um das soeben erstelle Zertifikat einzubinden, erstellen wir in /etc/apache2/site-available eine neue Datei mit dem Namen nextcloud-ssl.conf. Diese wird mit einem Editor geöffnet. Anschließend wird die Datei mit dem folgenden Inhalt befüllt.
1 2 3 4 5 6 7 8 9 | <VirtualHost *:443> ServerAdmin webmaster@localhost DocumentRoot /var/www/nextcloud ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile /etc/apache2/ssl/nextcloud.crt SSLCertificateKeyFile /etc/apache2/ssl/nextcloud.key </VirtualHost> |
Anschließend müssen wir die Konfiguration noch aktivieren.
1 | a2ensite nextcloud-ssl.conf |
Damti die Einstellungen jetzt auch geladen werden, müssen wir den Webserver einmal neustarten.
1 | systemctl restart apache2.service |
Prüfen der Nextcloud https Verbindung
Zum Testen können wir Nextcloud im Browser mit https:// aufrufen. In meinem Fall würde der Aufruf so aussehen:
https://192.168.10.69/nextcloud/
In dem Fenster das sich nun öffnet, werden wir darauf hintegwiesen, dass die Verbindung nicht sicher ist. Dies liegt daran, dass wir an dieser Stelle ein self-signed Zertifikat verwenden. Würden wir hier ein offizielles Zertifikat einer Prüfstelle verwenden oder zb. LetsEncrypt, würde dies nicht auftauchen.
Wenn wir uns die Erweiterten Informationen einblenden lassen, können wir auf die Seite weitergeleitet werden.
Wir haben nun unsere Verbindung mittels SSL verschlüsselt. Auch wenn oben das https durchgestrichen ist, funktioniert es genau so, wie mit einem Zertifikat einer entsprechenden Prüfstelle.
Armin says
23. Dezember 2017 at 18:44Hallo, vielen Dank für die Anleitung. Hat alles geklappt, nachdem ich den kleinen Rechtschreibfehler entdeckte, der sich eingeschlichen hat.
In der Zeile für die Erstellung des Zertifikats steht nextcoud.crt und in der Sites-available dann wieder nextcloud.crt.
wenn man das abgleicht, funktioniert es super.
Christian Piazzi says
23. Dezember 2017 at 23:05Danke für den Hinweis =)
Rene says
24. Januar 2018 at 15:36Hallo, vielen Dank für die Anleitung. Allerdings habe ich folgendes Problem.
Wenn ich ohne SSL auf die Nextcloud zugreife, dann habe ich die volle Bandbreite. Wenn ich das Self-Signed Zertifikat einsetze und über https auf die Nextcloud zugreife, dann habe ich nur noch rund 2MB/s. Mit http sind es 20-25MB/s. Was habe ich da falsch konfiguriert?
Christian Piazzi says
24. Januar 2018 at 18:39Hallo Rene,
wie sieht den dein Setup aus? (CPU/RAM)
Kann schon sein, dass es hier langsamer wird, weil der Datenstream ja verschlüsselt wird. Sollte aber eigentlich nicht so langsam werden.
https://docs.nextcloud.com/server/9/admin_manual/configuration_server/oc_server_tuning.html
Hier steht am Ende was bzgl. SSL und CPU Auslastung. Kannst du bei dir ja mal prüfen und mir kurz eine Rückmeldung geben =)
Gruß
Christian
Julian says
24. Januar 2018 at 18:52Ansonsten mal journalctl -xe ausführen und prüfen ob da irgendwelche Fehler ersichtlich sind. Eventuell auch mal in die error.log schauen und außerdem prüfen ob du irgendwelche langsamen Cipher Suites verwendest siehe hier: https://unhandledexpression.com/2013/01/25/5-easy-tips-to-accelerate-ssl/
Rene says
4. Februar 2018 at 20:33Hallo,
vielen Dank für die Antworten. Hat sich erledigt. Der Down- und Upload funktionierte wohl immer super. Allerdings von dem Anschluss, von dem ich getestet habe, habe ich nur die ~2MB Download. Werde da nochmal die INet Verbindung prüfen warum das so ist. Von 2 weiteren Glasfaser Anschlüssen habe ich vollen Download Speed.
Seppi says
3. April 2018 at 19:33Hallo
vielen Dank für den hilfreichen Artikel. Leider wird beim generieren des Zertifikats die Datei „nextcoud.crt“ nicht erstellt.
So sieht es bei mir aus:
# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/nextcloud.key -out /etc/apache2/ssl/nextcloud.crt
Generating a 2048 bit RSA private key
………………………………….+++
………………………………………………………………………………………………………………………….+++
writing new private key to ‚/etc/apache2/ssl/nextcloud.key‘
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‚.‘, the field will be left blank.
—–
Country Name (2 letter code) [AU]:problems making Certificate Request
Was mache ich nicht richtig?
Vielen Dank und Grüße Seppi
Linus says
15. April 2018 at 02:34Hallo noch mal,
inzwischen läuft alles…super Anleitung.
Noch eine Abschließende Frage…wenn ich mich unter iOS mi meiner Nextcloud verbinden will kommt direkt die Warnung das das Zertifikat nicht akzeptiert wird.
Kommt damit dann eine verschlüsselte Verbindung Grundsätzlich nicht zustande?
Jürgen Diermann says
13. Februar 2019 at 22:16Hallo Christian,
vielen Dank für die gute Anleitung! Bei mir werden leider die Dateien apache.crt und apache.key nicht erstellt. Bei der Abfrage: /etc/apache2/ssl# ls -lsia
werden nur
insgesamt 16
angezeigt.
Wenn ich die Seite über https aufrufe erscheint
Not Found
The requested URL /nextcloud/ was not found on this server.
Was kann ich ändern?
Mit freundlichem Gruß
Jürgen
Christian Piazzi says
13. Februar 2019 at 22:21Hallo Jürgen,
bekommst du einen Fehler wenn du das Zertifikat erstellen willst? Ansonsten kannst du mal schauen ob er die Zertifikate wo anders anleget zb. mit locate oder find.
Verwendest du für das SSL Cert erstellen eine sudo vor dem Befehl oder bist der User root? Glaub sonst hat man nicht die notwendigen Rechte.
Gruß
Christian
harry says
28. Mai 2019 at 11:21danke für die anleitung aber warum bekomme ich jetzt wenn ich extern auf meine cloud zugreifen möchte jetzt nur die apache landing page …??
Christian Piazzi says
28. Mai 2019 at 19:23Hi Harry,
welche URL rufst du den auf? Wenn du nur die IP Adresse eingibst, landest du auf der Landingpage von Apche. Wenn du die Konfiguration so durchgeführt hast wie oben beschrieben, dann musst du /nextcloud hinter die IP schreiben.
Ansonsten melde dich einfach noch mal kurz =)
Gruß
Christian
Jonas Loebell says
1. Juni 2019 at 07:28Hallo Christian,
vielen Dank für die Anleitung.
Leider bekomme ich nach „a2ensite nextcloud-ssl.conf“ die Fehlermeldung „Site nextcloud-ssl does not exist!“.
Fällt Dir dazu eine Lösung ein?
Vielen Dank!
Gruß
Jonas
Christian Piazzi says
3. Juni 2019 at 15:05Hallo Jonas,
ich würde jetzt erstmal auf einen Schreibfehler im Dateinamen tippen.
Versuchst du das mit dem normalen User oder root? Kannst dir auch noch mal die Rechte der Datei anschauen.
Sag kurz bescheid ob das dein Problem löst =)
Gruß
Christian
Jonas Loebell says
3. Juni 2019 at 17:34Hallo Christian,
ich habs gefunden.
Ich musste die nextcloud-ssl.conf nach /etc/apache2/sites-available (also plural) verschieben.
Vielen Dank für die Anleitung, jetzt bin ich sicher ;-)
Gruß
Jonas