Wiederholt wird durch einige Leser dieser Seite erklärt (in Kommentaren bzw. per Mail), dass der gesicherte Zugang (also per https) zur owncloud-Instanz auf der Synolgy-Diskstation nicht funktionieren würde. Eigentlich nicht meine Baustelle, denn ich greife ausschließlich per VPN auf meine Wolke zu. Eine permanente Synchronisation ist für mich nicht notwendig; es genügt mir, zu von mir selbst bestimmten Zeiten den Datenabgleich durchzuführen. Hauptgrund für diese Art und Weise des Zugriffs aber sind sicherheitsrelevante Fragen. Warum meine Entscheidung so gefallen ist, werde ich zu einem späteren Zeitpunkt erläutern. Immerhin habt ihr es geschafft, dass ich mich aus purer Neugier mit dem Problem https-Zugriff auseinandergesetzt habe 🙂 …
Grundsätzlich kann ich erst einmal folgende Aussage treffen: der Zugriff per https funktioniert absolut reibungslos!
Bei der Konfiguration gibt es einiges zu beachten, allerdings weniger bei owncloud. Der Knackpunkt ist vielmehr, wie ist der Zugriff auf die Synology-DS über das Internet überhaupt konfiguriert? Ein paar Kenntnisse über Firewall-Regeln, Port-Weiterleitungen usw. sind bei diesem Thema auf jeden Fall hilfreich. Hinzu kommt, dass die gegebenen Bedingungen von Fall zu Fall abweichen, also bei jedem von euch unterschiedlich sein können. Welcher Router wird verwendet? Verwendet ihr dynamisches DNS? Soll neben dem Zugriff auf die ownCloud-Instanz auf weitere Dienste der Synology-DS zugegriffen werden? Wie hoch ist das Sicherheitsbedürfnis? Verwendet ihr die DS-eigene Firewall, oder nutzt ihr ausschließlich die Firewallfunktionalitäten eures Routers? Eine Menge Fragen die ihr euch beantworten müsst und die eine sehr intensive Prüfung eurer Ansprüche und Möglichkeiten erfordern …
Es gibt also keine 08/15-Lösung für die Konfiguration, ich kann hier vielmehr nur auf einige Probleme hinweisen und ein paar Tipps geben. Konkrete Einstellungen und auftretende Probleme ergeben sich aus der bei euch vorhandenen Umgebung und vorgenommenen Konfigurationen.
Erster Punkt, welche Installationsart sollte ich auswählen?
ownCloud fragt ja bei der Installation ob die Standard-Installation (Port 80) oder die Secure-Variante (Port 443) durchgeführt werden soll. An sich ist es erst einmal völlig egal, was ihr hier auswählt, die Einstellung zur Erzwingung des ausschließlichen Zugriffs per https kann auch später noch vorgenommen werden. Zunächst einmal könnt ihr also die Standardinstallation wählen. Bei dieser Art der Installation ist dann der Zugriff auf die ownCloud-Instanz sowohl über Standardport 80 (http), als auch über des Secureport 443 (https) möglich. Nach erfolgter Installation solltet ihr den Zugriff von eurem internen Netzwerk über beide Ports prüfen, also
http://Server_IP/owncloud und
https://Server_IP/owncloud
Sollte der Zugriff in beiden Varianten klappen (und davon gehe ich aus), ist der Part von ownCloud erledigt: eure Instanz ist über beide Protokolle erreichbar. Wollt ihr den Zugriff ausschließlich per https zulassen, müsst ihre euch per https als Admin (wie auch immer ihr den genannt habt) bei owncloud anmelden, über das Menu den Punkt Administrator auswählen und auf der Seite den Haken bei „Erzwinge HTTPS“ setzen. Dieser Haken kann nur gesetzt werden, wenn ihr euch per HTTPS angemeldet habt. Solltet ihr per http angemeldet sein, ist der Haken nicht setzbar und owncloud gibt euch den Hinweis, dass ihr euch per https anmelden sollt, wie auf dem Bild zu sehen.
Nach der Änderung dieser Einstellung ist eure ownCloud-Instanz nur noch per https zu erreichen, auch im internen Netzwerk. Bei der secure-Installation wird lediglich dieser Haken bereits durch die Installations-Routine gesetzt, dass ist der einzige Unterschied zwischen den beiden Installationsvarianten.
Erreicht ihr nun die Weboberfläche in eurem Heimnetz per https ist die Konfiguration bei owncloud abgeschlossen. Solltet ihr ownCloud nicht über das Internet erreichen, im Heimnetz dagegen schon, dann liegt die Ursache nicht bei ownCloud, sondern in der Konfiguration eures Netzwerkes!
Einige Gedanken und Lösungsansätze zu diesem Problem werde ich in einem späteren Artikel veröffentlichen. Wie bereits geschrieben – eine Standardlösung gibt es dafür nicht, da die verschiedenen Umgebungen einfach zu unterschiedlich sind. Zu Problemen der Sicherheit und des Schutzes eurer Netze werde ich mich ebenfalls noch äussern …