Hallo,
tldr; Ziel: *.meine-domain.de im LAN und ggfs. extern mit Verschlüsselung zugreifbar machen, sodass VMs mit Nextcloud, Vaultwarden etc. nicht mit selbstsignierten Zertifikaten betrieben werden.
1.
Ich habe eine eigene Domain bei all-inkl.com. Im folgenden nutze ich meine-domain.de als Platzhalter.
CNAME- und DNS-TXT-Einträge kann ich im Kundencenter vornehmen.
2.
Netzwerk-Aufbau:
variable IPv4 -> Fritzbox (192.168.0.1, als DHCP-Server) -> Proxmox-Server (192.168.0.10) mit Containern und VMs (192.168.0.1xx).
DNS übernehmen zwei Pihole (192.168.0.2 und 192.168.0.3). Diese können für die Dauer der "Experimente" ausgeschaltet bzw. durch die Fritzbox und die Provider-DNS-Server ersetzt werden.
Proxmox: Eine VM mit Nginx Proxy Manager (192.168.0.101) und ein Debian für Let's Encrypt (192.168.0.102) stehen bereit.
3.
Fragen zum weiteren Vorgehen:
Ich verstehe nicht, wie ich ein Wildcard-Zertifikat erstellen (lassen) kann.
Nach meinem Wissen/Lesen ist noch foglendes notwendig:
3.1 ACME installieren (?),
3.2 DNS-TXT-Challenge durchführen (?),
Funktionierende Anleitung auf YouTube:
3.3 Zertifikat in Nginx Proxy Manager importieren (?),
NPM -> SSL Certificates -> Add SSL Certificate -> Custom -> Certificate Key: privkey.pem, Certificate: fullchain.pem
3.4 Nginx Proxy Manager dazu bringen, foo1.proxmox.meine-domain.de auf 192.168.0.111 und foo2.proxmox.meine-domain.de auf 192.168.0.112 weiterzuleiten.
Kann mir jemand bei den Schritten helfen?
Ich scheitere bereits daran, was ich genau an Let's Encrypt-Software installieren muss.
Müsste nicht Nginx Proxy Manager bereits dafür ausreichen?
Ein Ubuntu Server-LXC reicht:
Proxmox VE Helper Scripts | Scripts for Streamlining Your Homelab with Proxmox VE -> Server - Networking -> Nginx Proxy Manager LXC
und
Weiterhin weiß ich nicht, welche Subdomain ich wohin weiterleiten muss (CNAME?), damit Let's Encrypt ein gültiges Zertifikat ausstellen kann.
Im KAS von all-inkl.com eine Subdomain wie von certbot vorgegeben erstellen, als Typ "TXT" auswählen und den Token einfügen, s. Youtube-Anleitung (
)
Problem nun:
Wie bringe ich Pi-hole und das ganze Netzwerk-Zeug dazu, container1.meine-domain.de intern auf den nginx Proxy Manager zu leiten, sodass dieser das Zertifikat benutzt und ich trotzdem nicht Port 443 von außen freigeben muss?
tldr; Ziel: *.meine-domain.de im LAN und ggfs. extern mit Verschlüsselung zugreifbar machen, sodass VMs mit Nextcloud, Vaultwarden etc. nicht mit selbstsignierten Zertifikaten betrieben werden.
1.
Ich habe eine eigene Domain bei all-inkl.com. Im folgenden nutze ich meine-domain.de als Platzhalter.
CNAME- und DNS-TXT-Einträge kann ich im Kundencenter vornehmen.
2.
Netzwerk-Aufbau:
variable IPv4 -> Fritzbox (192.168.0.1, als DHCP-Server) -> Proxmox-Server (192.168.0.10) mit Containern und VMs (192.168.0.1xx).
DNS übernehmen zwei Pihole (192.168.0.2 und 192.168.0.3). Diese können für die Dauer der "Experimente" ausgeschaltet bzw. durch die Fritzbox und die Provider-DNS-Server ersetzt werden.
Proxmox: Eine VM mit Nginx Proxy Manager (192.168.0.101) und ein Debian für Let's Encrypt (192.168.0.102) stehen bereit.
3.
Fragen zum weiteren Vorgehen:
Ich verstehe nicht, wie ich ein Wildcard-Zertifikat erstellen (lassen) kann.
Nach meinem Wissen/Lesen ist noch foglendes notwendig:
3.2 DNS-TXT-Challenge durchführen (?),
Funktionierende Anleitung auf YouTube:
NPM -> SSL Certificates -> Add SSL Certificate -> Custom -> Certificate Key: privkey.pem, Certificate: fullchain.pem
3.4 Nginx Proxy Manager dazu bringen, foo1.proxmox.meine-domain.de auf 192.168.0.111 und foo2.proxmox.meine-domain.de auf 192.168.0.112 weiterzuleiten.
Kann mir jemand bei den Schritten helfen?
Ein Ubuntu Server-LXC reicht:
Proxmox VE Helper Scripts | Scripts for Streamlining Your Homelab with Proxmox VE -> Server - Networking -> Nginx Proxy Manager LXC
und
sudo apt install certbot
Im KAS von all-inkl.com eine Subdomain wie von certbot vorgegeben erstellen, als Typ "TXT" auswählen und den Token einfügen, s. Youtube-Anleitung (
Problem nun:
Wie bringe ich Pi-hole und das ganze Netzwerk-Zeug dazu, container1.meine-domain.de intern auf den nginx Proxy Manager zu leiten, sodass dieser das Zertifikat benutzt und ich trotzdem nicht Port 443 von außen freigeben muss?
Zuletzt bearbeitet: