Zum Hauptinhalt springen
torminal - Blog
  1. Posts/

SSL Zertifikate mit NGINX Proxy Manager (IONOS oder Hetzner)

·658 Wörter·4 min· loading · loading ·
Inhaltsverzeichnis

Einleitung
#

Ich sehe viele Leute, die sich mit der Einrichtung von https:// in ihrem Homelab schwer tun – in manchen Fällen lässt sich das nicht vermeiden (z. B. bei Vaultwarden). Mit dieser Anleitung können Sie mit Hilfe von Lets Encrypt und dem NGINX Proxy Manager automatisch SSL-Zertifikate für Ihren Homelab-Webserver erstellen und erneuern.

Voraussetzungen
#

  • eine Domain, die Ihnen gehört
  • ein Konto bei Hetzner oder IONOS
  • NGINX Proxy Manager

Die Einrichtung des NGINX Proxy Managers wird hier nicht erklärt, da es dazu bereits zahlreiche gute Anleitungen gibt (Offizielle NGINX Proxy Manager-Einrichtung).

DNS und API-Token
#

Nachfolgend finden Sie die Anweisungen für Hetzner oder IONOS. Wählen Sie Ihren bevorzugten Anbieter aus.

Hetzner
  1. Zunächst beginnen wir bei Hetzner. Melden Sie sich bei Ihrem Konto an und wechseln Sie oben rechts zum Abschnitt “DNS”:
  2. hetzner-dns-1
  3. Wenn Sie Ihre Domain noch nicht in der Hetzner DNS-Konsole haben, richten Sie sie mit “Neue Zone hinzufügen” ein:
  4. hetzner-dns-2.
  5. Geben Sie Ihre DNS-Zone ein (in meinem Beispiel “torminal.com”) und klicken Sie auf “Weiter”. Sie können “Automatisches Scannen nach Einträgen” aktiviert lassen.
  6. Nun scannt Hetzner einige Zeit, bis der Vorgang abgeschlossen ist.
  7. Klicken Sie erneut auf “Weiter” – Sie sehen nun “Eigentümerschaft für Ihre Domain überprüfen”.
  8. Sie müssen die Nameserver von Hetzner zum Hoster Ihrer Domain hinzufügen. Bitte schauen Sie in den Anleitungen für Ihren spezifischen Hoster nach (etwa: “{Name des Hosters} benutzerdefinierte Nameserver für Domain hinzufügen”).
  9. Danach ist Ihre neue Zone in der DNS-Konsole verfügbar und Hetzner ist nun der Haupt-DNS-Manager für Ihre Domain.
  10. Klicken Sie im Dashboard der DNS-Konsole auf “API-Token verwalten” – wir benötigen den Token, um später Lets Encrypt / certbot einzurichten.
  11. hetzner-api-1
  12. Geben Sie unter “Token-Name” einen Namen für Ihr Token ein und klicken Sie auf “Zugriffstoken erstellen”.
  13. Bewahren Sie das Token sicher auf.

IONOS
  1. Zunächst beginnen wir in IONOS. Melden Sie sich bei Ihrem Konto an.
  2. Falls noch nicht geschehen, müssen Sie sich unter IONOS API Shop Zugang zur IONOS-API verschaffen.
  3. “Kaufen” Sie das kostenlose API-Add-on.
  4. Gehen Sie anschließend zum API-Key-Portal.
  5. Fügen Sie einen neuen Schlüssel hinzu und geben Sie ihm einen Namen (z. B. “homelab”).
  6. Bewahren Sie den Token sicher auf.

NGINX Proxy Manager: SSL-Zertifikat einrichten
#

  1. Öffnen Sie Ihren NGINX Proxy Manager im Browser und melden Sie sich an.
  2. Wechseln Sie zu “SSL-Zertifikate”.
  3. nginx-1
  4. Klicken Sie oben rechts auf “SSL-Zertifikat hinzufügen”.
  5. Wählen Sie “Lets Encrypt”.
  6. Geben Sie Ihren Domainnamen und eine E-Mail-Adresse ein, die Sie verwenden möchten (von Lets Encrypt erforderlich).
  7. Wählen Sie “DNS-Challenge verwenden”. a. Wählen Sie als “DNS-Anbieter” den von Ihnen verwendeten Anbieter (IONOS oder Hetzner). b. Es erscheint ein neues Feld “““Credentials Fle Content”””. c. Geben Sie Ihren API-Token ein, den Sie zu Beginn erstellt haben. d. Für IONOS benötigen Sie das Präfix und den Schlüssel. Der Endpunkt wird für Sie ausgefüllt: 
    dns_ionos_prefix = myapikeyprefix
dns_ionos_secret = verysecureapikeysecret
dns_ionos_endpoint = https://api.hosting.ionos.com
    e. Für Hetzner benötigen Sie nur Ihren Schlüssel: 
    dns_hetzner_api_token = verysecureapikeysecret
  8. Beispiel:
    nginx-2
  9. Bestätigen Sie die Nutzungsbedingungen und klicken Sie auf “Speichern”.
  10. Nun dauert es einen Moment, bis der Vorgang abgeschlossen ist. Der NGINX Proxy Manager erstellt mithilfe der API in Hetzner einen TXT-DNS-Eintrag für Ihre Domain, um die DNS-Challenge für Lets Encrypt zu validieren. Wenn Sie daran interessiert sind, finden Sie hier weitere Informationen zu dieser Challenge aus den offiziellen Lets Encrypt-Dokumenten.
  11. Nachdem die Verarbeitung (hoffentlich) erfolgreich abgeschlossen wurde, haben Sie ein neues SSL-Zertifikat im NGINX Proxy Manager, das Sie für Ihre Hosts verwenden können.
  12. NGINX Proxy Manager erneuert das SSL-Zertifikat in Zukunft automatisch für Sie (solange Sie es nicht löschen).

Probleme beheben
#

Wenn Sie bei der Anforderung des SSL-Zertifikats eine Fehlermeldung in NGINX Proxy Manager erhalten:

  • Ist Ihr API-Token korrekt eingegeben?
  • Kann der Host, auf dem NGINX Proxy Manager läuft, den API-Dienst von Hetzner / IONOS erreichen?
  • Für Hetzner: Haben Sie Ihre Domain zuvor erfolgreich zur DNS-Konsole hinzugefügt und die Hetzner-Nameserver bei Ihrem Domainhoster eingestellt? Sie können dies testen, indem Sie manuell einen Eintrag in der DNS-Konsole von Hetzner hinzufügen und mit einem Online-DNS-Lookup-Tool überprüfen, ob der Eintrag erfolgreich registriert wurde.
torminal
Autor
torminal
IT enthusiast
Windows: gesperrte EFI Partition verschieben

Verwandte Artikel

Homelab-Management mit einem Telegram-Chatbot
598 Wörter·3 min· loading · loading
Dieses Projekt gibt Ihnen die Möglichkeit, Shell-Befehle auf einem Linux-Host von einem Telegramm-Bot aus auszuführen.
Windows: gesperrte EFI Partition verschieben
402 Wörter·2 min· loading · loading
Anleitung, wie die EFI Partition in Windows verschoben werden kann, wenn sie die Speicherplatzerweiterung einer anderen Partition blockiert.
Zabbix Template: Wordpress Updates mehrerer Websites monitoren
237 Wörter·2 min· loading · loading
Überwachung verfügbarer Wordpress-Updates (Core, Plugins und Themes) mit Zabbix.