ZIEL: Eigene Cloud zu Hause nebst Homepage mit SSL-Zertifikat ubiquitär per www, ftp/sftp etc. ohne Umwege über Taiwan verfügbar.
Relativ anwenderfreundliche Lösung für diese 3 Bereiche, die vielleicht auch anderen weiterhelfen mag. Insbesondere vor dem Hintergrund der meist nicht dauerhaft abstellbaren Port 80-Fehlermeldungen bei einigen neueren QNAP-Modellen. Meine Betriebssystem- und Hardware-KONFIGURATION: QTS V. 4.3.4.0435 Build 201710 (dies gilt auch für die vorherige und die folgende Version), QNAP TS-253B mit 8 GB RAM und 2 5TB HDs. Also ggf. für unterschiedliche Modelle anzupassen ... - Stand 7. Jan. 2018, nochmals validiert am 28. März 2018
ERGEBNISSE:
(1) Sicherer Aufruf der eigenen QNAP-NAS von überall - also via Internet mit DynDNS und LetsEncrypt SSL-Zertifikat:
https://<eigene-Domain>.selfhost.eu:437/cgi-bin/
(2) Eigene Homepage ebenso via DynDNS und LetsEncrypt SSL-Zertifikat erreichbar, z. B.:
https://<eigene-Domain>.selfhost.eu:8081/joomlaCMS/
SCHRITT FÜR SCHRITT...
(1) DynDNS + Domain besorgen z. B. via selfhost.de -> selfHOST free Notwendig: Adress-Validierung entweder alle 3 Monate digital od. einmalig per Post für 5 Euro
(2) HOMEPAGE auf der eigenen QNAP-NAS erstellen. Empfehlenswert ist, sich für die bestellte <eigene-Domain>.selfhost.eu bereits eine kleine HTML-Anwendung sozusagen als Mini-Site im Verzeichnis /Web angelegt zu haben oder das bereits vorbereitete, m. E. exzellente CMS-System Joomla! zu erstellen und einzusetzen (benötigt vorher die Anbindung an eine via myPHPAdmin erstellte mySQLi-Datenbank!), dann lässt sich alles anschließend gleich überprüfen. - Zu Bedenken sind bei einer HOMEPAGE auf der eigenen oder internen QNAP-NAS v. a. die Themen Datensicherheit und Datenschutz; also das, was man sich bei externen Providern sonst als Dienstleistung auf einem von diesem extern gehosteten Server einkaufen kann.
(3) SSL-Zertifikate/LetsEncrypt für <eigene-Domain>.selfhost.eu und www.<eigene-Domain>.selfhost.eu
(a) SSL-Zertifikate/LetsEncrypt kostenlos bei checkdomain.de besorgen -> Meine Erfahrung: toller Service, gute Hotline (3-monatliche Erneuerung). Für (wirkliche) Unix-Kenner gibt es direkt bei LetsEncrypt und GitHub etc. natürlich auch ohne einen solchen Dienstleister diverse Möglichkeiten bzw. detaillierte englische Anleitungen mit Scripts. Siehe ggf. Fussnote 1 *)
(c) Im LetsEncrypt-Verzeichnis muss sich ein zugehöriges Unterverzeichnis .well-known und darunter ein Unterverzeichnis acme-challenge mit dem oder den von LetsEncrypt erstellten Request-Schlüssel/n befinden, ohne welche LetsEncrypt die angegebene Domain nicht validieren kann, z. B. von selfhost.de bzw. <eigene-domain.>selfhost.eu Siehe ggf. Fussnote 2 **)
(d) Nach meiner Joomla!-Installation - diese erfolgte übrigens default-mäßig in /Web/joomlaCMS - habe ich im Verzeichnis /Web das Unterverzeichnis .well-known und darunter ein Unterverzeichnis acme-challenge mit dem oder den von LetsEncrypt erstellten Request-Schlüssel/n erstellt (geht auch mit File Station die Sichtbarkeit versteckter Dateien muss natürlich zugelassen worden sein). Danach muss die Validierung erfolgen. Bei checkdomain.de erscheint dazu im eigenen Account ein Button für die eigene Domain auf der Seite mit den LetsEncrypt SSL-Zertifikaten; also dort, wo auch die Request-Schlüssel nach der Bestellung zu finden sind.
(e) Mit "Systemsteuerung Sicherheit Zertifikat & Privater Schlüssel Zertifikat ersetzen" die von checkdomain.de unter dem eigenen Konto dort schließlich erhaltenen Zertifikate nach dem entzippen importieren (das private Zertifikat privat.crt wird beim Bestellvorgang erstellt, die beiden anderen pem.ca-bundle und pem.crt kommen nach erfolgreicher Validierung der Request-Schlüssel in .well-known/acme-challenge als zip-Datei). Dieses Rezept hat nun auch 3 Monate später mit den erneuten LetsEncrypt SSL-Zertifikaten geklappt. - ANMERKUNG: Diese unterscheiden sich übrigens qualitativ in der Praxis nicht von denen der SSL-Gewinnmaximierer bzw. Provider wie STRATO et al., müssen dafür aber alle 3 Monate erneuert werden. Die kommerziellen werden durch die meisten Anbieter i. d. R. kostenpflichtig alle 2 Jahre autmatisch im Rahmen eines Abos erneuert.
IM MEINEM SZENARIO geht es also um den Fall einer Domain und eines SSL-Zertifkats, die beide NICHT von QNAP stammen sollen, also ohne myQNAPcloud-Konto und -Site aus Taiwan **). Natürlich könnten alternativ die zig config-Dateien und zugehörigen Verlinkungen des QTS-Betriebssystems ohne dessen GUI überschrieben werden, sodass sich der Port 80 “normal” verhält. All das kann aber zu einem “Brick” führen (Android lässt grüßen). Ich wollte das also lieber nicht austesten. Die folgende Vorgehensweise habe ich bei MIR getestet und sie hat funktioniert, d. h. aber nicht, dass es bei jemand anderem auch so klappt. Also VORSICHT! Leider habe ich für so eine Anleitung und Reaktionen auf Fragen darauf aus beruflichen Gründen eher sehr selten Zeit ... Sorry ... Also auf eigene Gefahr... und erwartet bitte kein Feedback auf Fragen.
Das war‘s eigentlich schon. Kostet lediglich die eigene Zeit.
*) Fussnote 1: Der problemlose LetsEncrypt-Zertifikatsbezug via QTS von QNAP gelingt i. d. R. nur, wenn ein myQNAPcloud-Konto mit zugehöriger -Site vorhanden ist. Dabei handelt es sich dann auch nicht um ein sozusagen „natives“ LetsEncrypt-Zertifikat. Wenn es bei dem oder der einen oder anderen dennoch ohne myQNAPcloud über Umwege zufällig geklappt hat, ist das bislang möglicherweise eher zufällig und nicht generalisierbar, da das QNAP-spezifische „Port 80-Problem“ weder über die Systemsteuerung noch über eher fahrlässig tiefe Zugriffsmöglichkeiten z. B. via Fritz!box dauerhaft lösbar ist. Nach vielerlei Rückmeldungen im Forum funktioniert bei einigen auch das vorübergehende Ab- und Freischalten von Port 80 nicht. Auch bei mir funktionierte es einmal, ein anderes mal wieder nicht. Spätestens bei der Zertifikatserneuerung oder beim nächsten QTS-Betriebssystem-Update holt einen dieses Problem immer wieder ein, was wirklich nervt.
**) Fussnote 2: SSL-Zertifikate-Verzeichnis suchen
Zum Beispiel so:
Ein TERMINAL auf Deinem Rechner/Pad öffnen öffnen (unter Mac OS X z. B. ggf. auch mittels XQuartz, unter IOS z. B. mit der App iTerminal oder Termius, unter Linux/Windows/Android/... mit ... etc.) und via SSH oder Telnet auf der QNAP NAS einloggen (die entsprechenden Dienste wurden vorher unter der QTS-GUI aktiviert mittels Systemsteuerung Telnet/SSH):
ssh ip
Dort Login als Administrator mit zugehörigem Password
Statt einer kilometerlangen Anzeige z. B. via ls -aR das Ergebnis mit allen auf der NAS vorhandenen Verzeichnissen/Dateien der Unter-/Verzeichnisse von /mnt in eine DATEI SCHREIBEN. Am Besten gleich in ein Unter-/Verzeichnis, das unter der grafischen QNAP QTS-Oberfläche (GUI) mit File Station gesucht und gefunden werden kann; das ist bei mir z. B. /share/CACHEDEV1_DATA/Web::
cd /share/CACHEDEV1_DATA/Web
ls -aR /mnt/ext/opt >mnt-verzeichnis.txt
Inhalt von mnt-verzeichnis.txt LESEN:
Die Datei mnt-verzeichnis.txt dann z. B. mit dem vi- (oder besser) vim-Editor LESEN/durchforsten (finde ich angenehmer, als anschauen via Unix-Befehl cat ...):
vim mnt-verzeichnis.txt
vim verlassen, ohne versehentlich rein zu schreiben mit den 3 Zeichen
:q!
ODER zurück zur QTS-Oberfläche und mit File Station dann per rechtem Mausklick über mnt-verzeichnis.txt den Texteditor aufrufen und den Inhalt durchforsten.
DARIN befindet sich bei mir z. B.:
/mnt/ext/opt/radius/etc/raddb/certs/
und unter
/mnt/ext/opt/QcloudSSLCertificate/ui/langs/
letsencrypt_agent.cgi*
Das Sternchen am Ende des Dateinamens zeigt an, dass es sich um eine ausführbare Datei handelt (Anwendung)
Für den Fall, dass man/frau ein QNAP-Zertifikat über ein myQNAPcloud-Konto einsetzt, befindet sich noch das Unterverzeichnis /cert dort:
/mnt/ext/opt/QcloudSSLCertificate/cert
und darin das (mit einem vorangehenden Punkt geschützte) Unterverzeichnis .well-known, damit die Domain via QNAP validiert werden kann
ABER ...
Das Verzeichnis /mnt/ext/opt/QcloudSSLCertificate/cert könnte/sollte eigentlich NICHT vorhanden sein, wenn man selbst ein direkt bei LetsEncrypt erstelltes oder erneuertes Zertifkat für eine eigene Site z. B. über selfhost.de besitzt. Also keines, das über QNAP als Alternative geordert wurde, weil dieses wieder einen myQNAPcloud bzw. eine stetige Umleitung über den Server in Taiwan erfordert. By the way: Es ist bislang nach wir vor möglich, LetsEncrypt-Zertifikate für <eigene-site.>selfhost.eu zu beziehen (ggf. via checkdomain oder einen anderen Servicerprovider probieren).
ENDE VON
[QNAP TS-253B] [QTS V. 4.3.4.0435] QNAP-NAS mit DynDNS und kostenlosem LetsEncrypt SSL-Zertifkat sowie eigener Domain ausstatten
Gerne weiter ergänzen oder verbessern ...
