Let’s-Encrypt Zertifikat auf der Fritzbox 7490 ohne „MyFritz“ nutzen!

Der 1. Google-Treffer für die Suche nach Let’s Encrypt und der Fritzbox landet hier. Leider nutzt AVM dort wieder nur die Gelegenheit um ihren eigenen Clouddienst unnötigerweise weiter zu bewerben anstatt die Let’s Encrypt-Zertifikatserstellung in die Fritzbox einzubauen.

Um auch ohne datensammelnde(?) Cloudanbindung nicht auf ein gültiges Verschlüsselungszertifikat für die eigene DynDNS-Domain verzichten zu müssen geht man wie folgt vor:

  1. An einem an die Fritzbox angeschlossenen PC sichern wir zuerst die aktuellen Einstellungen (System -> Sicherung).
  2. Sofern der PC nicht bereits mit Linux läuft booten wir eine Live-Linux Distribution von CD oder USB-Stick und installieren „git“: apt-get install git
  3. Danach clonen wir das Let’s Encrypt Git-Repository: git clone https://github.com/letsencrypt/letsencrypt
  4. Mit cd letsencrypt wechseln wir ins repo-Verzeichnis und laden dann mit ./letsencrypt-auto –help alle Abhängigkeiten herunter.
  5. Bevor man nun das Zertifikat generieren kann müssen wir temporär Port 80 und ggf. 443 auf die IP des Linux-PC weiterleiten (Internet -> Freigaben -> Portfreigaben).
  6. Zum Erstellen des Zertifikats gibt man nun ./letsencrypt-auto certonly –standalone -d subdomain.dyndns.bla ein, entsprechend der DynDNS-Domain die man bei einem der diversen Anbieter registriert hat. Mehrere Subdomains kann man über weitere -d Befehle anhängen, machen aber in unserem Fall für die Fritzbox eher keinen Sinn.
  7. mit cd /etc/letsencrypt/live/<DynDNSdomain> wechseln wir ins Verzeichnis mit den Zertifikatsdateien. Achung: dieses Verzeichnis sollte nur mit dem user „root“ zugänglich sein. Mit anderen Benutzern sollte man vorher zu root wechseln: su root.
  8. Im Verzeichnis mit dem Namen der Dyndns-Domain finden sich drei Dateien: cert.pem, chain.pem, privkey.pem. Damit die Fritzbox diese nutzen kann muss daraus erst noch eine einzelne Keydatei gemacht werden, dies passiert mit cat cert.pem chain.pem privkey.pem > fritzboxkey.pem.
  9. Die fritzboxkey.pem kann dann unter Internet -> Freigaben -> Fritzbox-Dienste (ohne Angabe eines Passworts in dem dafür vorgesehenen Feld ) importiert werden.
  10. Zu guter letzte nicht vergessen die Portweiterleitungen für Port 443 und 80 wieder zu löschen.
  11. Nun kommt beim Aufruf der DynDNS-Domain die gesicherte Verbindung zur Fritzbox (https:// nicht vergessen!) und keine Fehlermeldung über ein ungültiges Zertifikat.