SOLVED TrueNAS 12 Core + NextCloud 20.0.7 + SSL

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Приветствую!

Установлен TrueNAS 12 Core, установлен NextCloud в виде плагина из коробки.
Все работает, удивляет и радует.

Остается разобраться с SSL. Так как я гуманитарий, я уперся рогом и пока что не доходит до меня общий принцип. TrueNAS - моя первая линуксовая система в руках. А, как вы сами прекрасно знаете, исчерпывающего мануала по этой теме в сети нет ни на английском, ни на русском. Только общие слова.

На пошаговый мануал не рассчитываю, но могу ли я попросить вас ответить на некоторые мои вопросы? Заранее спасибо большое.

У меня есть купленный у прова белый IP. По нему осуществляется доступ к NextCloud. Купить домен не проблема, как и сделать поддомен на уже имеющихся у меня (com, ru, info).

1. В TrueNAS идет по умолчанию freenas_default. Он, я так понимаю, этому делу не помощник?
2. Если я создам в MAC OS самоподписанный сертификат и импортирую его в TrueNAS через раздел Сертификаты - он же мне не помощник все равно?
3. Выпустить сертификат на IP-адрес невозможно? Во всяком случае я не нашел где.
4. Выпустить сертификат на домен\поддомен и прикрутить его к NextCloud - не вариант, вроде как? Так как сертификат прикручивается к IP, а он будет внешний, а не из выданных регистратором.

Так как какой вариант правильный? Есть пара мануалов вроде (на других языках), но они не для плагина на TrueNAS, а для собранных самостоятельно.

Прошу помощи, еще раз спасибо огромное за наводки и помощь.
 

mav@

iXsystems
iXsystems
Joined
Sep 29, 2011
Messages
1,428
SSL сертификат выписывается на доменное имя которое будет открываться в браузере, так как именно его браузер и сличает. Если будет домен/поддомен, то на него сертификат и должен быть выписан. Ничего не скажу на счет NextCloud, не пользовался, но если ходить туда будешь только сам, то полагаю вполне должен работать и самоподписанный сертификат из TrueNAS, только надо будет импортировать сертификат своего CA как доверенный на все компы с которых будешь ходить чтобы браузеры не вопили.
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Мне вот интересно, неужели нет способа сделать все красиво? Пусть и с какими-то расходами дополнительными (сертификат, домен, что-то еще).
Ведь вряд ли создатели TrueNAS и официально допущенного к коробке плагина предполагают, что частные пользователи будут пользоваться незащищенными соединениями, а корпоративные пользователи - HTTPS?
 

mav@

iXsystems
iXsystems
Joined
Sep 29, 2011
Messages
1,428
Ну так красиво для HTTPS и предполанает покупные домен и сертификат от доверенного центра сертификации.
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Ну так красиво для HTTPS и предполанает покупные домен и сертификат от доверенного центра сертификации.
Так я только за. Но вот куплю я домен, установлю на него сертификат (на самом деле у меня таких домена свободных три штуки, хотя прямо сейчас экспериментировать можно), а что потом? Домену поменять IP-адрес - и разве не слетит сертификат?
 

mav@

iXsystems
iXsystems
Joined
Sep 29, 2011
Messages
1,428
Нет. Сертификат выписывается только на имя. На какой IP ин указывает на важно. Главное чтобы на том IP отвечал сервер с закрытым ключом соответствующим сертификату.
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Нет. Сертификат выписывается только на имя. На какой IP ин указывает на важно. Главное чтобы на том IP отвечал сервер с закрытым ключом соответствующим сертификату.
Спасибо, попробую сейчас... Получается просто исправить А-запись на мой IP. А не подскажете, закрытый ключ на свой сервер в этой ситуации мне как установить?
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Так-с... В процессе изысканий, по порядку нашел статью, по которой получилось установить сертификат на локальный доступ к NextCloud (который именно в виде плагина). Сам NextCloud, в локалке, перестал ругаться, что работает не через https.

ссылка

Но только в Сафари работает, Хром блокирует намертво. Возможно потому что я под MacOS. Винды нет под рукой (
Ищу дальше.
 
Last edited:

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Пробросил порт на 443 и внешний IP стал работать через https через мой самоподписанный сертификат, созданный как по ссылке в предыдущем сообщении.

Но Хром все так же меня игнорирует. Начинает казаться что это именно из-за использования мной MacOS и ограничения прав Хрома на правку доверенных сертификатов. Он видит мой самоподписанный, но не может добавить его в доверенные. Настройки не сохраняются.

Приложение NextCloud на айфоне ругнулось, что сертификат неверный, но после моего ОК заработало через https как ни в чем не бывало
 
Last edited:

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Chrome проглотил мой сертификат. В связке ключей выставил своему сертификату Всегда доверять и Хром автоматом подтягивает эти настройки. Хотя и называет сертификат недействительным и перечеркивает https: красной линией, но NextCloud работает и в самодиагностике пишет, что работает через https
 

chs

Guru
Joined
Apr 18, 2017
Messages
500
Доброе утро !

1. Сертификат не относится ни к NextCloud, ни к FreeNAS, ни к MacOS. Он относится к доменному имени и проверяется браузером.
2. Почти все браузеры не доверяют самоподписанным сертификатам (не помню, но вроде уже как года 3-4).
3. Если доменное имя принадлежит Вам, можно использовать бесплатный сертификат от let's encrypt - но он выписывается только на 3 месяца (платные на год)
4. Настраивается отдача сертификата вебсервером, в данном случае где-то в недрах NextCloud есть вебсервер, куда и прописываются полученные сертификаты.
 
Last edited:

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Доброе утро !

Спасибо за включение в мой монолог )))

Верно ли я понимаю, что так как на IP-адрес сертификаты уже не выдают, то мне нужно домен\поддомен направить на свой IP (А-запись).
Затем получить на него сертификат (платный или бесплатный - сейчас неважно).
Затем файлы сертификата сунуть в папку NEXTCLOUD'а, куда я засунул самоподписанный сертификат.
И вроде эта схема должна работать?
 

chs

Guru
Joined
Apr 18, 2017
Messages
500
Спасибо за включение в мой монолог )))

Верно ли я понимаю, что так как на IP-адрес сертификаты уже не выдают, то мне нужно домен\поддомен направить на свой IP (А-запись).
Затем получить на него сертификат (платный или бесплатный - сейчас неважно).
Затем файлы сертификата сунуть в папку NEXTCLOUD'а, куда я засунул самоподписанный сертификат.
И вроде эта схема должна работать?

Да, всё верно.
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Приветствую!

Домен купил, A-запись настроил, все работает - доступ извне по адресу домена. Редирект на 443 порт - тоже все хорошо.
Купил сертификат.
Пошел дальше по плану и воткнулся носом в какую-то ерунду...

А как скопировать файлы сертификата в папку nextclouda в jail? В нее я могу зайти без проблем из SHELL jail'а. Rsync и cp использовать не получается.
Как быть?
 

newaro

Dabbler
Joined
Jan 20, 2021
Messages
44
Полноценный https на NextCloud 20.0.7 - все встало и работает как часы, ура!
Спасибо всем, кто помогал.

UPDATE
От scan.nextcloud.com получил рейтинг А+, я так понимаю максимальный рейтинг безопасности. Ну и хорошо.
 
Last edited:

kuranoga

Cadet
Joined
Apr 23, 2021
Messages
1
А как скопировать файлы сертификата в папку nextclouda в jail? В нее я могу зайти без проблем из SHELL jail'а. Rsync и cp использовать не получается.
Как быть?

Здравствуйте.
Не расскажите подробнее, куда именно вы вставляли файлы сертификата? Путь к папке. Более подробно.
 

daff

Cadet
Joined
Oct 4, 2021
Messages
6
Я сделал проще в Jail настроил nginx proxy который проксирует в nextcloud plagin и из nginx proxy уже сертификат letsencrypt, продление сертификата по cron.
Если в плагинах подсовывать сертификат то после каждого обновления плагина, сертификаты будут слетать.
Если кому интересно/актуально, могу попробовать написать подробнее
 
Last edited:
Top