Https mit selbst erstelltem Zertifikat

Exatom 2022-01-18 10:56:49 UTC #1

Hallo,
unser Server steht nicht in der DMZ, sondern im Intranet und ist somit von außen nicht ohne VPN erreichbar. Damit fällt das Let’s Encrypt-Zertifikat aus

Derzeit liefert:
docker exec -it egroupware curl -i https://groupware.intern.gdv.com/egroupware/push

folgenden Output:
###################################
curl: (60) SSL certificate problem: self signed certificate in certificate chain
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
##########################################

Gibt es irgendwo eine Anleitung, wie ich ein selbsterstelltes Zertifikat einbinden kann, damit auch die Push-Funktionalität fehlerfrei läuft?

Mit Dank und Gruß
Thomas

RalfBecker 2022-01-19 07:11:35 UTC #2

Das stimmt so nicht, Du kannst z.B. Lego und eine DNS Challenge verwenden, statt das LE etwas in die Docroot schreibt.
Ich verwende das für alle unsere Server der Hostingfarm und meinen Laptop:
https://go-acme.github.io/lego/dns/manual/

Ja, Anleitung steht in Deiner docker-compose.overwrite.yml Datei:

github.com

EGroupware/build.opensuse.org/blob/master/server:eGroupWare/egroupware-docker-21.1/egroupware-docker/docker-compose.override.yml#L48


image: egroupware/egroupware:21.1
#volumes:
# if you want to use the host database:
# 1. follow instructions below to disable db service
# 2. set EGW_DB_HOST=localhost AND
# 3. uncomment the next line and modify the host path, it depends on your distro:
#    - RHEL/CentOS   /var/lib/mysql/mysql.sock:/var/run/mysqld/mysqld.sock
#    - openSUSE/SLE  /var/run/mysql/mysql.sock:/var/run/mysqld/mysqld.sock
#    - Debian/Ubuntu /var/run/mysqld:/var/run/mysqld
#- /var/run/mysqld:/var/run/mysqld
# private CA so egroupware can validate your certificate to talk to Collabora or Rocket.Chat
# multiple certificates (eg. a chain) have to be single files in a directory, with one named private-ca.crt!
#- /etc/egroupware-docker/private-ca.crt:/usr/local/share/ca-certificates/private-ca.crt:ro
#environment:
# setting a default language for a new installation
#- LANG=de
# MariaDB/MySQL host to use: for host database (socket bind-mounted into container) use "localhost"
#- EGW_DB_HOST=localhost
# for internal db service you should to specify a root password here AND in db service
# a database "egroupware" with a random password is created for you on installation (password is stored in header.inc.php in data directory)
#- EGW_DB_ROOT=root

Empfehlung ist trotz dem ein (gültiges) LE Zertifikat z.B. über eine DNS Challenge und Lego zu verwenden. Alles andere ist deutlich komplizierter!

Ralf

Exatom 2022-01-19 12:03:06 UTC #3

Hallo Ralf,besten Dank!

Das stimmt so nicht, Du kannst z.B. Lego und eine DNS Challenge verwenden, statt das LE etwas in die Docroot schreibt.

Ja, ich weiß, aber hast Du auch einen automatisierten Weg für die Aktualisierung alle 3 Monate?

###########

#- /etc/egroupware-docker/private-ca.crt:/usr/local/share/ca-certificates/private-ca.crt:ro

Ist das der ganze Eintrag (das selbst generierte Zertifikat, habe ich nämlich schon)?

Wenn ja: “private-ca.crt” ist zu ersetzen durch das eigene Zertifikat, aber mit seinem Originalnamen (oder muss das umbennannt werden?
Wo muss es denn liegen? In " /etc/egroupware-docker/" und/oder in "/usr/local/share/ca-certificates/"
und last but not least
Was bedeutet der “:ro”-Schalter am Ende?

Sry, wg. meiner Unwissenheit…
Beste Grüße aus Ingelheim
Thomas

RalfBecker 2022-01-19 14:18:53 UTC #4

Cron, oder bei meinem Laptop warte ich immer einfach bis die Mail von LE kommt, das das Cert demnächst abläuft.

Ist nicht Dein Zertifikat, sondern die CA mit der Du es signiert hast.
Das Umbenennen passiert ja dort, in dem Volumen das Format <Pfad-auf-dem-Host>:<Pfad-im-Container>[:ro] haben.

siehe oben

Das die Datei nur readonly im Container liegt, sprich aus dam Container nicht veränderbar ist.

Ralf

Exatom 2022-01-20 11:00:03 UTC #5

Danke!
Cron, oder bei meinem Laptop warte ich immer einfach bis die Mail von LE kommt, das das Cert demnächst abläuft.

Aber ich moss doch das A-Record (Typ TXT) beim DNS-Provider jedes mal anpassen, dachte ich. Das geht ja wohl nicht mit nem cron, oder hast Du da auch eine Lösung?

Gruß
Thomas

RalfBecker 2022-01-20 15:49:09 UTC #6

Les’ doch mal die Doku die ich verlinked habe

Lego hat Unterstützung für diverse DNS Provider, damit geht es dann auch mit Cron.
Wenn Du den (TXT) Record manuell updaten willst, natürlich nicht.
Unser DNS Provider wird nicht unterstützt, deswegen habe ich einen CNAME auf eine Subdomain die bei Route53 (Amazon) läuft, was unterstützt ist.

Ralf

Exatom 2022-01-21 12:29:35 UTC #7

OK, super und Danke! Das schaue ich mir gerne an!
Beste Grüßeaus Ingelheim
Thomas