Zertifikat ungültig nachdem Addons installiert wurden

Hoschy · 9. Juni 2024 um 12:27

Hallo ich habe eine Frage zu den Zertifikaten. Installation funktioniert auf einem Root Server der im Rechenzentrum steht. Domain ist bei mir über Strato. Hab sie per A Record auf den Server geleitet. Musste auch Subdomains erstellen, dass Matrix und Element und Nextcloud auch funktionieren nach der Installation. Wie gesagt funktionieren alle. Jetzt hab ich aber ein Problem, wenn ich das Addon NocoDB aus eurem Beispiel installieren möchte. Hab es genau so übernommen bis an ein paar Dinge die ich anpassen muss ( Domain und so weiter ). Installation funktioniert. Wenn ich jetzt drauf klicke komm ich auf die Seite und ich kann mich auch einloggen, aber bei mir wird angezeigt, dass mein Zertifikat ungültig ist. Habe dann mal versucht ein eigenes Addon zu erstellen. Habe mich entschieden für Planka. Alles eingetragen und als zip gepackt und eingefügt. Dann installiert und funktioniert auch. Da habe ich das gleiche Problem, dass mein Zertifikat ungültig ist https wird dann oben in rot angezeigt. Seite funktioniert, aber bei Planka ist es dann leider auch so, dass ich mich nicht einloggen kann. Weder mit den Benutzern die ich unter libre-Workspace angelegt habe noch mit der Standartemail von Planka und dem dazugehörigen Passwort. Könnte man mir dabei helfen woran es liegen könnte? Habe Subdomain bei Strato auch für planka und NocoDB angelegt. Weiterleitung funktioniert bei beiden Apps aber ohne Zertifikat. Und bei Planka kann ich mich nicht einloggen ( vermute das es daran liegt, weil ich kein Zertifikat habe ).

Ich habe noch versucht Trilium zu installieren. Funktioniert wird auch auf dem Dashboard angezeigt ohne einem Fehler. Klick ich jetzt auf die Kachel, dann kommt das:

Fehler

Gruß

Hoschy

Jean · 11. Juni 2024 um 07:30

Hallo Hoschy,

das Zertifikat wird durch Caddy bereitgestellt.
Ist evtl. bei dem Caddy-Eintrag “tls internal” aktiviert?
Evtl. ein “#” davor einfügen, und caddy einmal neustarten.

sudo nano /etc/caddy/Caddyfile
sudo systemctl restart caddy

Ansonsten gerne mal den Inhalt Deines gesamten Caddy-Files reinschicken.

Von Deinem Screenshot müsste der Fehler von der Applikation selber kommen.
Evtl. wurde sie nicht richtig installiert?
Caddy würde einen 502-Fehler zurückgeben, wenn er die Applikation nicht erreicht.
Du kannst ja immer per SSH nachsehen und evtl. debuggen.

Bei weiteren Fragen stehe ich Dir jederzeit zur Verfügung.
Über eine Rückmeldung würde ich mich sehr freuen.

Hoschy · 14. Juni 2024 um 14:11

Hallo das mit dem # hat geklappt so weit jetzt sind die Zertifikate vorhanden.
Kannst du mir noch kurz erklären warum er dieses tls internal einträgt in das Caddyfile, wenn ich diesen Code verwende aus dem Addons Beispiel?

echo "db.$DOMAIN {
#tls internal
reverse_proxy localhost:23260
}

" >> /etc/caddy/Caddyfile

If domain is “int.de” uncomment the tls internal line for internal https

if [ “$DOMAIN” = “int.de” ]; then
sed -i ‘s/#tls internal/tls internal/g’ /etc/caddy/Caddyfile
fi

Jean · 15. Juni 2024 um 14:41

Ich schreibe da gerade eine Dokumentations-Seite zum Webserver, schaue da gerne mal heute Abend rein

Das mit dem #tls internal wird eingebaut, um sowohl lokale als auch öffentliche Installationen später zu unterstützen.

Bei weiteren Fragen stehe ich Dir immer gerne zur Verfügung.

Hoschy · 24. Juni 2024 um 17:31

Ich kann nicht genau sagen was ich falsch mache beim erstellen des Addons Planka.

Es lässt sich installieren ohne Probleme, aber sobald ich drauf klicke kommt dieses Problem:

Problem_1

Und wenn ich drauf klicke und öffnen möchte bekomme ich ein HTTP ERROR 502

Ich denke der Fehler liegt bestimmt in meiner setup_planka.sh.

#!/bin/bash
# This script gets three variables passed: $DOMAIN, $ADMIN_PASSWORD, $IP, $LDAP_DC
mkdir -p /root/planka
# Dont forget to escape " with a backslash:
echo "version: \"2.1\"
services:
  planka:
    image: ghcr.io/plankanban/planka:latest
    restart: unless-stopped
    volumes:
      - \"./user-avatars:/app/public/user-avatars\"
      - \"./project-background-images:/app/public/project-background-images\"
      - \"./attachments:/app/private/attachments\"
    ports:
      - \"3000:1337\"
    environment:
      - BASE_URL=https://planka.meine-domain.de
      - DATABASE_URL=postgresql://postgres@postgres/planka
      - SECRET_KEY=Mein Key
    depends_on:
      postgres:
        condition: service_healthy

  postgres:
    image: postgres:14-alpine
    restart: unless-stopped
    volumes:
      - \".db-data:/var/lib/postgresql/data\"
    environment:
      - POSTGRES_DB=planka
      - POSTGRES_HOST_AUTH_METHOD=trust
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U postgres -d planka"]
      interval: 10s
      timeout: 5s
      retries: 5
" > /root/planka/docker-compose.yml

docker-compose -f /root/planka/docker-compose.yml up -d

echo "planka.$DOMAIN {
    #tls internal
    reverse_proxy localhost:23300
}

" >> /etc/caddy/Caddyfile

# If domain is "int.de" uncomment the tls internal line for internal https
if [ "$DOMAIN" = "meine-domain.de" ]; then
  sed -i 's/#tls internal/tls internal/g' /etc/caddy/Caddyfile
fi

systemctl restart caddy

Vielleicht findet jemand von Euch den Fehler?

Danke

Gruß

Hoschy

Hoschy · 24. Juni 2024 um 18:00

Also ich glaube ich steige nicht dahinter warum das bei mir nicht funktioniert.

Gleiche Problem, wenn ich versuche Portainer einzufügen.

#!/bin/bash
# This script gets three variables passed: $DOMAIN, $ADMIN_PASSWORD, $IP, $LDAP_DC
mkdir -p /root/portainer
# Dont forget to escape " with a backslash:
echo "version: \"2.1\"
services:  
  portainer:
    image: portainer/portainer-ce:latest
    restart: unless-stopped
    ports:
      - \"9443:9443\"
    security_opt:
      - no-new-privileges:true
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /etc/localtime:/etc/localtime:ro
      - \"./data:/data\"
" > /root/portainer/docker-compose.yml

docker-compose -f /root/portainer/docker-compose.yml up -d

echo "portainer.$DOMAIN {
    #tls internal
    reverse_proxy localhost:23350
}

" >> /etc/caddy/Caddyfile

# If domain is "int.de" uncomment the tls internal line for internal https
if [ "$DOMAIN" = "meine-domail.de" ]; then
  sed -i 's/#tls internal/tls internal/g' /etc/caddy/Caddyfile
fi

systemctl restart caddy

Ich verstehe das Problem nicht

Hoschy · 24. Juni 2024 um 18:31

Also habe einen Fehler wohl gefunden bei den Ports. Ich muss den Port eintragen vom reverse_proxy localhost:23350. Das habe ich geändert oben bei den Port.

Kann es sein, dass ich dann einen Fehler mache bei Strato im DNS Eintrag bei den Subdomains? Ich habe die Hauptadresse auf die IP des Server weitergeleitet. Jetzt lege ich für jedes Addon eine Subdomain an. Muss ich die Subdomain dann auch auf die Server IP weiterleiten oder muss ich einen SRV-Record erstellen der dann auf den Port 23350 zeigt?

Danke

Hoschy · 24. Juni 2024 um 19:34

Portainer hab ich hinbekommen das läuft mit Zertifikat.

Ich habe bei der Subdomain ein # vor tls internal gesetzt. Wenn ich das caddy File abspeichere und caddy neu starte, dann entfernt er von elements oder matrix und cloud das # Zeichen. Heißt wenn ich auf den Dienst klicke kommt wieder keine sichere Verbindung.

Ich muss warten bis ihr selbst fertige Addons anbietet, dass ist wohl ne Nummer zu hoch für mich.

Jean · 25. Juni 2024 um 07:32

Dein Fehler liegt hier:

if [ "$DOMAIN" = "meine-domail.de" ]; then
  sed -i 's/#tls internal/tls internal/g' /etc/caddy/Caddyfile
fi

Das muss wirklich “int.de” sein, nicht “meine-domain.de”.
Ansonsten wird das tls internal immer aktiviert und das interne https aktiviert.
Denn wir wollen nur das interne https, wenn wir eine interne Domain haben.

Ich werde das in der Dokumentation etwas besser erläutern