Hier auf dem Blog habe ich neulich erklärt, wie man Nextcloud unter Ubuntu 16.04 installiert. Diese Installation wollen wir heute nun etwas sicherer machen, indem wir die Verbindung zum Server mittels SSL Zertifikat verschlüsseln. Dafür werden wir uns selbst ein self-signed Zertifikat auf unsere Nextcloud Server erstellen und dieses anschließend in die Nextcloud Konfiguration einbinden.
Aktivieren des SSL Modules für Apache2
Damit wir ein self-signed Zertifikat auf unserem Webserver für Nextcloud verwenden können, müssen wir zuerst das entsprechende Apache2 Modul für SSL aktivieren.
1 | a2enmod ssl |
Anschließend müssen wir apache2 neustarten.
1 | systemctl restart apache2.service |
Erstellen des self-signed Zertifikat
Im nächsten Schritt erstellen wir zuerst einen Ordner für das SSL Zertifikat.
1 | sudo mkdir /etc/apache2/ssl |
Nachdem wir einen Ordner zum Ablegen des Zertifikates erstellt haben, müssen wir dieses jetzt erzeugen. Dafür verwende ich den folgenden Befehl:
1 | sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/nextcloud.key -out /etc/apache2/ssl/nextcloud.crt |
Nach der Eingabe des Befehls werden einige Information von uns abgefragt. Diese gilt es dann entsprechend auszufüllen. Wenn wir nun in den Ordner /etc/apache2/ssl schauen, sollten dort eine nextcloud.key und eine nextcloud.crt liegen.
1 2 3 4 5 6 7 8 | root@nextcloud:/etc/apache2/ssl# ls -lsia insgesamt 24 801308 4 drwxr-xr-x 2 root root 4096 Aug 17 19:52 . 792352 4 drwxr-xr-x 9 root root 4096 Aug 13 10:51 .. 801310 4 -rw-r--r-- 1 root root 1407 Aug 13 10:52 apache.crt 801309 4 -rw-r--r-- 1 root root 1704 Aug 13 10:52 apache.key 801312 4 -rw-r--r-- 1 root root 1704 Aug 17 19:52 nextcloud.key 801313 4 -rw-r--r-- 1 root root 1229 Aug 17 19:52 nextcloud.crt |
Erstellen von nextcloud-ssl.conf
Um das soeben erstelle Zertifikat einzubinden, erstellen wir in /etc/apache2/site-available eine neue Datei mit dem Namen nextcloud-ssl.conf. Diese wird mit einem Editor geöffnet. Anschließend wird die Datei mit dem folgenden Inhalt befüllt.
1 2 3 4 5 6 7 8 9 | <VirtualHost *:443> ServerAdmin webmaster@localhost DocumentRoot /var/www/nextcloud ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile /etc/apache2/ssl/nextcloud.crt SSLCertificateKeyFile /etc/apache2/ssl/nextcloud.key </VirtualHost> |
Anschließend müssen wir die Konfiguration noch aktivieren.
1 | a2ensite nextcloud-ssl.conf |
Damti die Einstellungen jetzt auch geladen werden, müssen wir den Webserver einmal neustarten.
1 | systemctl restart apache2.service |
Prüfen der Nextcloud https Verbindung
Zum Testen können wir Nextcloud im Browser mit https:// aufrufen. In meinem Fall würde der Aufruf so aussehen:
https://192.168.10.69/nextcloud/
In dem Fenster das sich nun öffnet, werden wir darauf hintegwiesen, dass die Verbindung nicht sicher ist. Dies liegt daran, dass wir an dieser Stelle ein self-signed Zertifikat verwenden. Würden wir hier ein offizielles Zertifikat einer Prüfstelle verwenden oder zb. LetsEncrypt, würde dies nicht auftauchen.
Wenn wir uns die Erweiterten Informationen einblenden lassen, können wir auf die Seite weitergeleitet werden.
Wir haben nun unsere Verbindung mittels SSL verschlüsselt. Auch wenn oben das https durchgestrichen ist, funktioniert es genau so, wie mit einem Zertifikat einer entsprechenden Prüfstelle.
Hallo, vielen Dank für die Anleitung. Hat alles geklappt, nachdem ich den kleinen Rechtschreibfehler entdeckte, der sich eingeschlichen hat.
In der Zeile für die Erstellung des Zertifikats steht nextcoud.crt und in der Sites-available dann wieder nextcloud.crt.
wenn man das abgleicht, funktioniert es super.
Danke für den Hinweis =)
Hallo, vielen Dank für die Anleitung. Allerdings habe ich folgendes Problem.
Wenn ich ohne SSL auf die Nextcloud zugreife, dann habe ich die volle Bandbreite. Wenn ich das Self-Signed Zertifikat einsetze und über https auf die Nextcloud zugreife, dann habe ich nur noch rund 2MB/s. Mit http sind es 20-25MB/s. Was habe ich da falsch konfiguriert?
Hallo Rene,
wie sieht den dein Setup aus? (CPU/RAM)
Kann schon sein, dass es hier langsamer wird, weil der Datenstream ja verschlüsselt wird. Sollte aber eigentlich nicht so langsam werden.
https://docs.nextcloud.com/server/9/admin_manual/configuration_server/oc_server_tuning.html
Hier steht am Ende was bzgl. SSL und CPU Auslastung. Kannst du bei dir ja mal prüfen und mir kurz eine Rückmeldung geben =)
Gruß
Christian
Ansonsten mal journalctl -xe ausführen und prüfen ob da irgendwelche Fehler ersichtlich sind. Eventuell auch mal in die error.log schauen und außerdem prüfen ob du irgendwelche langsamen Cipher Suites verwendest siehe hier: https://unhandledexpression.com/2013/01/25/5-easy-tips-to-accelerate-ssl/
Hallo,
vielen Dank für die Antworten. Hat sich erledigt. Der Down- und Upload funktionierte wohl immer super. Allerdings von dem Anschluss, von dem ich getestet habe, habe ich nur die ~2MB Download. Werde da nochmal die INet Verbindung prüfen warum das so ist. Von 2 weiteren Glasfaser Anschlüssen habe ich vollen Download Speed.
Hallo
vielen Dank für den hilfreichen Artikel. Leider wird beim generieren des Zertifikats die Datei „nextcoud.crt“ nicht erstellt.
So sieht es bei mir aus:
# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/nextcloud.key -out /etc/apache2/ssl/nextcloud.crt
Generating a 2048 bit RSA private key
………………………………….+++
………………………………………………………………………………………………………………………….+++
writing new private key to ‚/etc/apache2/ssl/nextcloud.key‘
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‚.‘, the field will be left blank.
—–
Country Name (2 letter code) [AU]:problems making Certificate Request
Was mache ich nicht richtig?
Vielen Dank und Grüße Seppi
Hallo noch mal,
inzwischen läuft alles…super Anleitung.
Noch eine Abschließende Frage…wenn ich mich unter iOS mi meiner Nextcloud verbinden will kommt direkt die Warnung das das Zertifikat nicht akzeptiert wird.
Kommt damit dann eine verschlüsselte Verbindung Grundsätzlich nicht zustande?
Hallo Christian,
vielen Dank für die gute Anleitung! Bei mir werden leider die Dateien apache.crt und apache.key nicht erstellt. Bei der Abfrage: /etc/apache2/ssl# ls -lsia
werden nur
insgesamt 16
angezeigt.
Wenn ich die Seite über https aufrufe erscheint
Not Found
The requested URL /nextcloud/ was not found on this server.
Was kann ich ändern?
Mit freundlichem Gruß
Jürgen
Hallo Jürgen,
bekommst du einen Fehler wenn du das Zertifikat erstellen willst? Ansonsten kannst du mal schauen ob er die Zertifikate wo anders anleget zb. mit locate oder find.
Verwendest du für das SSL Cert erstellen eine sudo vor dem Befehl oder bist der User root? Glaub sonst hat man nicht die notwendigen Rechte.
Gruß
Christian