Hauptmenü

SSL

Begonnen von frober, 16 September 2021, 12:09:05

Vorheriges Thema - Nächstes Thema

frober

SSL
Zitat von: Tueftler1983 am 16 September 2021, 10:07:42
Ich habe mein Fhem web mit Password und selbst signierten Zertifikat geschützt. Diese Kombi würde ich gerne auch für die websocket Connection nutzen um auch von unterwegs ohne VPN Zugriff zu haben.

Geht das und wenn ja was muss ich wie und wo einstellen?

Wenn du Fhem ins Inet lässt, solltest du einen Reverseproxy benutzen (Apache/Nginx). Fhem ist nicht auf Sicherheitslücken getestet!!
Fürs Internet empfehle ich dir ein Zertifikat von Letsencypt (kostenos), selbstsignierte werden immer weniger akzeptiert.

Trotz allem, das Zertifikat musst du auf Betriebssystemebene installieren (Inetsuche), in Fhemnativ brauchst du, ausser Benutzerdaten und SSL, nichts einzustellen.
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?

frober

Zitat von: Tueftler1983 am 16 September 2021, 13:52:33
Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?

Ich habe Fhemweb auf websocket stehen.
Das websocketdevice kenne ich nicht, vermutlich brauchst du dazu ein alloweddevice...
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.

frober

Zitat von: Tueftler1983 am 16 September 2021, 17:51:09
So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.

Es müsste ein Attribut SSL im websocketdevice geben.
Hast du Mal ein help Websocket in der Befehlszeile eingegeben?
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket

Deswegen, finde leider wenig Doku dazu.


frober

Zitat von: Tueftler1983 am 16 September 2021, 21:09:32
Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket

Deswegen, finde leider wenig Doku dazu.

Versuche es analog zu Fhemweb und setzte das Attr auf 1.
Im Modulcode ist am Ende eine Hilfe, daher bin ich davon ausgegangen, dass sie mit Help angezeigt wird.
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.

Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.

frober

Zitat von: Tueftler1983 am 16 September 2021, 22:11:29
Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.

Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.
Laut Doku von Websocket braucht SSL kein Argument.
Kannst du vom Betriebssystem (Fhemnativ) mit dem Browser auf Fhemweb mit dem Zertifikat zugreifen und wird dieses dann vom Browser akzeptiert oder gibt es eine Warnung?
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.

frober

Zitat von: Tueftler1983 am 17 September 2021, 08:44:12
Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.

Das könnte schon das Problem sein...mein selbstsigniertes wird anerkannt ( ohne Warnmeldung).
Wenn du es im Inet benutzt, muss auch deine Zertifizierungsstelle entsprechend erreichbar sein.
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Syrex-o

Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten  ;)

frober

Zitat von: Syrex-o am 17 September 2021, 10:45:52
Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten  ;)
OK, passt.

Verweise aber bitte im ursprünglichen Thread darauf. Ich hatte schon vermutet dass du die Posts gelöscht hast....
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Ich dachte auch das es gelöscht wurde,

Also ich benutze für Fhem ein selbst signiertes SSL Zertifikat, in Chrome wird immer gesagt das das Zertifikat nicht geprüft werden könnte und ob ich die Webseite trotzdem öffnen möchte.

Das selbige Zertifikat würde ich jetzt gerne für die FhemNativ websocket Verbindung nutzen.


frober

Mache es dir einfacher und benutze Letsencrypt. Beim Zertifikat geht es um Sicherheit, gerade wenn du ins Internet gehst!

Ein selbstsignierts Zertifikat zu erstellen, das akzeptiert wird, ist nicht einfach und, wie geschrieben, deine Zertifizierungsstelle muss auch erreichbar sein!
Raspi 3b mit Raspbian Buster und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...