manuelw
Goto Top

Lets Encrypt Zertifikat ohne Port 80 ausstellen

Hallo,

ich bin gerade dabei mir eine Nextcloud für meine Privaten Files einzurichten. Dazu habe ich mir einen kleinen Server mit Ubuntu Server aufgesetzt und darauf Nextcloud installiert. Das ganze würde ich jetzt noch gerne mit einem kostenlosen SSL Zertifikat absichern.

Leider sind bei meinem Internetanschluss durch den ISP die Ports 80 und 25 gesperrt. Somit ist es mir auch nicht möglich ein Let's Encrypt Zertifikat zu beantragen.

Wisst Ihr vielleicht eine Möglichkeit um dennoch an ein kostenloses SSL Zertifikat zu kommen?

Liebe Grüße
Manuel

Content-ID: 400375

Url: https://administrator.de/contentid/400375

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

brammer
brammer 03.02.2019 um 17:01:14 Uhr
Goto Top
Hallo,

Port 80 gesperrt????
Was für ein Schwachsinn.....
Da würde ja kaum eine webseite gehen.

Dein Problem liegt vermutlich wo anders...

Brammer
138721
138721 03.02.2019 aktualisiert um 17:32:32 Uhr
Goto Top
Lieber Manuel,
wie dein Name schon andeutet: Manual lesen face-smile.
z.B. über certbot und einen DNS-TXT Eintrag _acme-challenge auf dem DNS-Server der Domain
How to use Let's Encrypt DNS challenge validation?
, oder auch manuell https://www.sslforfree.com/
oder über einen externen Tunnel auf einen Root-Server/VM/AWS/AZURE
usw. s. L. o.

Gruß l.
Vision2015
Vision2015 03.02.2019 um 17:17:18 Uhr
Goto Top
Moin...

Leider sind bei meinem Internetanschluss durch den ISP die Ports 80 und 25 gesperrt.
aber nur wenn du in Nordkorea wohnst!
das ist echt blödsin...
was hast du den für einen Router?
Frank
aqui
aqui 03.02.2019 aktualisiert um 17:57:03 Uhr
Goto Top
Das ganze würde ich jetzt noch gerne mit einem kostenlosen SSL Zertifikat absichern.
Hier steht genau wie es geht:
https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-l ...
durch den ISP die Ports 80 und 25 gesperrt.
Da kann man dem obigen nur beipflichten. Das dürfte ziemlich technischer Blödsinn sein, denn so ein "Anschluss" wäre als "Internet" Anschluss schlicht völlig unbrauchbar.
Fragt sich wirklich wo hier bei dir das Missverständnis liegt ?!
138721
138721 03.02.2019 aktualisiert um 18:02:24 Uhr
Goto Top
Zitat von @aqui:
durch den ISP die Ports 80 und 25 gesperrt.
Da kann man dem obigen nur beipflichten. Das dürfte ziemlich technischer Blödsinn sein, denn so ein "Anschluss" wäre als "Internet" Anschluss schlicht völlig unbrauchbar.
Fragt sich wirklich wo hier bei dir das Missverständnis liegt ?!
Das Missverständis scheint bei euch zu liegen. Er meint eingehend gesperrt nicht ausgehend (und das wäre auch Normalzustand bei jedem DSLite), ist doch auch logisch für die Lets encrypt validation ... face-wink.
shadynet
shadynet 03.02.2019 um 18:00:37 Uhr
Goto Top
Zitat von @aqui:

durch den ISP die Ports 80 und 25 gesperrt.
Da kann man dem obigen nur beipflichten. Das dürfte ziemlich technischer Blödsinn sein, denn so ein "Anschluss" wäre als "Internet" Anschluss schlicht völlig unbrauchbar.
Fragt sich wirklich wo hier bei dir das Missverständnis liegt ?!

Wie wäre es mit eingehend gesperrt? Ausgehend tuts nicht weh, ist ja recht dynamisch welcher Port genutzt wird.
aqui
aqui 04.02.2019 um 10:08:38 Uhr
Goto Top
Er meint eingehend gesperrt nicht ausgehend
Na ja, das kann man ja in 5 Sekunden mit einer entsprechenden simplen Port Forwarding Regel ganz schnell lösen !!
138721
138721 04.02.2019 aktualisiert um 10:20:14 Uhr
Goto Top
Zitat von @aqui:
Na ja, das kann man ja in 5 Sekunden mit einer entsprechenden simplen Port Forwarding Regel ganz schnell lösen !!
Beim Provider??, ah jetzt ja, eine Insel ...du bisst anscheinend völlig von der Spur, les den Post nochmal ganz aufmerksam face-big-smile
brammer
brammer 04.02.2019 um 10:20:08 Uhr
Goto Top
Hallo,

wenn man über http einen Request an an die CA schickt und diese den über ebenfalls http beantwortet sollte das eh kein Problem darstellen......
Die Antwort auf eine Anfrage ist eigentlich immer zulässig....

brammer
manuelw
manuelw 04.02.2019 um 11:06:37 Uhr
Goto Top
Hallo,

anscheinend habe ich das mit dem gesperrten Port 80 etwas schlecht formuliert.

Bei meinem Internetanschluss handelt es sich um einen Kabelanschluss bei dem vom Anbieter eingehend die Ports 80 und 25 gesperrt sind. Ausgehend ist natürlich alles offen.

Mittlerweile habe ich es geschafft per DNS TXT Eintrag ein Zertifikat auszustellen, allerdings habe ich hier nur das Problem, dass ich dieses nach Ablauf wieder manuell verlängern muss.

LG
Manuel
138721
138721 04.02.2019 aktualisiert um 11:45:48 Uhr
Goto Top
allerdings habe ich hier nur das Problem, dass ich dieses nach Ablauf wieder manuell verlängern muss.
Nö, genau dafür automatisiert man den Eintrag ja. Lets Encrypt ohne Automatissmus ist ja auch Quatsch.
manuelw
manuelw 04.02.2019 um 12:20:10 Uhr
Goto Top
Zitat von @138721:

Nö, genau dafür automatisiert man den Eintrag ja. Lets Encrypt ohne Automatissmus ist ja auch Quatsch.

das lässt sich aber anscheinend bei einer DNS Validation nicht automatisieren, da ich ja bei jeder Zertifikatsanforderung einen neuen Schlüssel erhalte, welcher dann im DNS TXT Record hinterlegt werden muss.
138721
138721 04.02.2019 aktualisiert um 12:24:41 Uhr
Goto Top
Zitat von @manuelw:

Zitat von @138721:

Nö, genau dafür automatisiert man den Eintrag ja. Lets Encrypt ohne Automatissmus ist ja auch Quatsch.

das lässt sich aber anscheinend bei einer DNS Validation nicht automatisieren, da ich ja bei jeder Zertifikatsanforderung einen neuen Schlüssel erhalte, welcher dann im DNS TXT Record hinterlegt werden muss.
Doch, eigenes Skript zum Update des DNS Records mit einbinden
https://certbot.eff.org/docs/using.html#hooks
aqui
aqui 04.02.2019 um 13:23:58 Uhr
Goto Top
Kabelanschluss bei dem vom Anbieter eingehend die Ports 80 und 25 gesperrt sind
Ist zwar jetzt OT aber solche Aussagen sind zumindest sehr zweifelhaft ! Laien "denken" sowas immer bei Fehlfunktion.
Welcher Provider sollte sowas tun. Das wäre eine überflüssige Gängelung des Kunden in höchstem Maße und zumindest sehr ungewöhnlich und auch unüblich.
Woher nimmst du diese Aussage ??
Gibt es da einen bestimmten Passus im Provider Vertrag ?
Vision2015
Vision2015 04.02.2019 um 13:29:03 Uhr
Goto Top
Zitat von @aqui:

Kabelanschluss bei dem vom Anbieter eingehend die Ports 80 und 25 gesperrt sind
Ist zwar jetzt OT aber solche Aussagen sind zumindest sehr zweifelhaft ! Laien "denken" sowas immer bei Fehlfunktion.
Welcher Provider sollte sowas tun. Das wäre eine überflüssige Gängelung des Kunden in höchstem Maße und zumindest sehr ungewöhnlich und auch unüblich.
Woher nimmst du diese Aussage ??
Gibt es da einen bestimmten Passus im Provider Vertrag ?

das würde ich auch gerne wissen...

Frank
manuelw
manuelw 05.02.2019 um 08:03:28 Uhr
Goto Top
Zitat von @138721:
Doch, eigenes Skript zum Update des DNS Records mit einbinden
https://certbot.eff.org/docs/using.html#hooks

OK, danke für den Tipp, das muss ich mir noch ansehen. So wie es nämlich aussieht benötige ich dafür einen API Zugang zu meiner DNS Verwaltung. Ich muss jetzt nur bei meinem Webhoster (Hosttech) schauen, ob dieser auch diese Möglichkeit des Zugriffs anbietet.

Zitat von @Vision2015:
Zitat von @aqui:^^

Kabelanschluss bei dem vom Anbieter eingehend die Ports 80 und 25 gesperrt sind
Ist zwar jetzt OT aber solche Aussagen sind zumindest sehr zweifelhaft ! Laien "denken" sowas immer bei Fehlfunktion.
Welcher Provider sollte sowas tun. Das wäre eine überflüssige Gängelung des Kunden in höchstem Maße und zumindest sehr ungewöhnlich und auch unüblich.
Woher nimmst du diese Aussage ??
Gibt es da einen bestimmten Passus im Provider Vertrag ?

das würde ich auch gerne wissen...

Frank

Ich habe mit meinem ISP mehrmals über dieses Thema gesprochen und auch um Freischaltung gebeten, allerdings ohne Erfolg. Laut Aussage meines ISPs handelt es sich hierbei um eine "Sicherheitsmaßnahme" da man den Port 80 bei einem Privatkundenanschluss nicht benötigt. Auch haben sie bei den Privatkundentarifen angeführt, dass ein Serverbetrieb nicht gestattet ist.
138721
138721 05.02.2019 aktualisiert um 08:12:48 Uhr
Goto Top
So wie es nämlich aussieht benötige ich dafür einen API Zugang zu meiner DNS Verwaltung.
Nicht unbedingt. Ich hab sowas auch mal mit einem Bash-Skript und curl über das WebIF eines Providers gelöst, nicht schön aber ging. Für Heimzwecke wie deinem aber völlig ausreichend.
Schaff dir doch einen Root oder VirtualServer oder VM bei AWS oder Azure an und bau dir einen Weiterleitungs-Tunnel.