@ctrlaltdelete hatte ich hier und dort schon mal erwähnt: Ich verwende
SWAG. Das ist im Kern ein Nginx mit zusätzlicher 2FA-Anbindung, Fail2ban, Certbot und anderer Spielereien.
Mal exemplarisch wie ich vorgegangen bin, wenn ich das noch so zusammenbekomme...
1. Subdomain im Anwendungsportal für Drive registriert (share.domain.tld)
2. Zertifikat erstellt und Drive zugewiesen
3. Zertifikat von der DS exportiert und im Nginx unter
keys
abgelegt
4. Im Nginx unter
proxy-confs
eine File
share.subdomain.conf
erstellt.
5. Im Nginx eine INDIVIDUELLE.conf erstellt. (# Certificates berücksichtigen)
Beispiele:
share.subdomain.conf
## Version 2022/01/06
# make sure that your dns has a cname set for share
server {
listen 80;
listen 443 ssl;
listen [::]:443 ssl;
server_name share.*;
include /config/nginx/INDIVIDUELLE.conf;
client_max_body_size 0;
# enable for ldap auth, fill in ldap details in ldap.conf
#include /config/nginx/ldap.conf;
# enable for Authelia
#include /config/nginx/authelia-server.conf;
location / {
# enable the next two lines for http auth
#auth_basic "Restricted";
#auth_basic_user_file /config/nginx/.htpasswd;
# enable the next two lines for ldap auth
#auth_request /auth;
#error_page 401 =200 /ldaplogin;
# enable for Authelia
#include /config/nginx/authelia-location.conf;
include /config/nginx/proxy.conf;
resolver 127.0.0.11 valid=30s;
proxy_pass https://192.168.1.21:5001;
}
}
INDIVIDUELLE.conf
## Version 2020/10/29 - Changelog: https://github.com/linuxserver/docker-swag/commits/master/root/defaults/ssl.conf
### Mozilla Recommendations
# generated 2020-06-17, Mozilla Guideline v5.4, nginx 1.18.0-r0, OpenSSL 1.1.1g-r0, intermediate configuration
# https://ssl-config.mozilla.org/#server=nginx&version=1.18.0-r0&config=intermediate&openssl=1.1.1g-r0&guideline=5.4
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # about 40000 sessions
ssl_session_tickets off;
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# OCSP stapling
ssl_stapling off;
ssl_stapling_verify off;
### Linuxserver.io Defaults
# Certificates
ssl_certificate /config/keys/DEIN-ZERTIFIKAT.crt;
ssl_certificate_key /config/keys/DEIN-SCHLUESSEL.key;
# verify chain of trust of OCSP response using Root CA and Intermediate certs
#ssl_trusted_certificate /config/keys/letsencrypt/fullchain.pem;
# Diffie-Hellman Parameters
ssl_dhparam /config/nginx/dhparams.pem;
# Resolver
resolver 127.0.0.11 valid=30s; # Docker DNS Server
# Enable TLS 1.3 early data
ssl_early_data on;
# HSTS, remove # from the line below to enable HSTS
#add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
# Optional additional headers
#add_header Cache-Control "no-transform" always;
#add_header Content-Security-Policy "upgrade-insecure-requests; frame-ancestors 'self'";
#add_header Referrer-Policy "same-origin" always;
#add_header X-Content-Type-Options "nosniff" always;
#add_header X-Frame-Options "SAMEORIGIN" always;
#add_header X-UA-Compatible "IE=Edge" always;
#add_header X-XSS-Protection "1; mode=block" always;
Vielleicht hilft es dir.