Probleme mit HTTPS und SSL

Begonnen von Burny4600, 20 März 2018, 14:06:52

Vorheriges Thema - Nächstes Thema

Burny4600

Ich habe mich jetzt wieder einmal mit dem offenen Punkten weiter gemacht um HTTPS und SSL endlich voll funktionsfähig zu nutzen.
Die Basis ist ein komplett neu aufgesetzte Jessie Stretch Lite mit allen notwendigen Tools für FHEM und die Nutzung mit HTTPS und SSL.
Folgende Anleitungen hab eich für die Installation verwendet.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle
https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS
FHEM selbst ist nur mit allen Updates versorgt und es gibt noch keine Programme oder Schnittstellen Verlinkungen.
Wenn ich FHEMWEB mit den Attributen einrichte
attr WEB sslVersion TLSv12:!SSLv3
attr WEB HTTPS 1

komme ich mit https://192.168.17.186:8083/fhem bzw. https://ccs-ht-rasp06:8083/fhem nicht mehr auf die FHEM Webseite.
Im Log befinden sich zudem diese Einträge.
2018.03.20 12:58:09.165 1: FHEMWEB SSL/HTTPS error: No such file or directory  (peer: 192.168.17.46)
2018.03.20 12:58:09.205 1: FHEMWEB SSL/HTTPS error: No such file or directory  (peer: 192.168.17.46)
2018.03.20 12:58:09.235 1: FHEMWEB SSL/HTTPS error: No such file or directory  (peer: 192.168.17.46)
2018.03.20 12:58:09.252 1: FHEMWEB SSL/HTTPS error: No such file or directory  (peer: 192.168.17.46)

Die nächste Ungereimtheit sind die Telnet Einträge im LOG.
2018.03.20 12:59:09.942 1: telnet SSL/HTTPS error: No such file or directory  (peer: 192.168.17.131)
2018.03.20 12:59:21.306 1: telnet SSL/HTTPS error: No such file or directory  (peer: 192.168.17.181)

Wie kann es sein wenn nur die Attribute
attr SSL 1
attr sslVersion TLSv12:!SSLv3

für Telnet definiert sind und es noch keine eingerichteten Verbindungen zu einem anderen System auf diesem System gibt.
Lediglich sind auf diesem System 3 ser2net Schnittstellen eingerichtet die mit dem System mit der IP Adresse  192.168.17.181 verbunden sind.
Dies hat aber nichts mit diesem lokalem FHEM zu tun.
Irgendwie komme ich einfach mit diesen HTTPS und SSL Einrichtungen unter FHEM zurecht.
Es ist das certs Verzeichnis vorhanden, es befinden sich in diesem Verzeichnis die notwendigen Dateien in diesem Verzeichnis die entweder mit der Vorgabe https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle oder der Vorgabe https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS eingerichtet wurden.

Entweder fehlt mir für die Installation noch etwas unter FHEM oder liegt es an den Dateibezeichnungen der Dateien unter opt/fhem/certs.
Jedenfalls ist diese OpenSSL installiert.
pi@ccs-ht-rasp06:~ $ apt-cache policy openssl
openssl:
  Installiert:           1.1.0f-3+deb9u1
  Installationskandidat: 1.1.0f-3+deb9u1
  Versionstabelle:
*** 1.1.0f-3+deb9u1 500
        500 http://mirrordirector.raspbian.org/raspbian stretch/main armhf Packages
        100 /var/lib/dpkg/status

Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

Wie genau heißen den Deine beiden Dateien unter /opt/fhem/certs/

Wenn Du von einer anderen Linuxkiste oder wegen meiner auch lokal auf dem fhem Server ein
entfernte Kiste:

openssl s_client -showcerts -connect ip:8083


oder lokal:

openssl s_client -showcerts -connect local:8083


machst was genau wird dann angezeigt? Bitte hier mal posten.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

Die Dateien heißen aktuell auf diesen Raspberry server-cert.pem und server-key.pem.
Die Ausgabe für
openssl s_client -showcerts -connect 192.168.17.181:8083
CONNECTED(00000003)

Für die Ausgabe
root@ccs-ht-rasp06:/opt/fhem/certs# openssl s_client -showcerts -connect local:8083
1996105120:error:20087002:BIO routines:BIO_lookup:system lib:../crypto/bio/b_addr.c:693:Temporary failure in name resolution
connect:errno=110


Wenn ich die einfachere Variante nehme sind zumindest keine telnet Einträge vorhanden dafür aber für den Client mit dem ich auf FHEMWEB verbinden möchte bei aktivem HTTPS und sslVersion TLSv12:!SSLv3.
2018.03.20 14:48:50.707 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.17.46)
2018.03.20 14:48:53.858 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.17.46)
2018.03.20 14:49:05.283 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)
2018.03.20 14:49:07.364 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)

Das Atributt ist unter global auch mit sslVersion TLSv12:!SSLv3 eingetragen.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

openssl s_client -showcerts -connect 192.168.17.181:8083

Hier solltest Du eigentlich eine saubere Zertifikatsausgabe bekommen. Ich weiß allerdings nicht wie es sich verhält wenn FHEMWEB Passwortgeschützt ist.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

CoolTux

ok, gerade getestet. Passwort ist egal.

Gehe mal bitte direkt auf den FHEM Server und gebe dort ein

openssl s_client -showcerts -connect 192.168.17.181:8083

Ich gehe davon aus das 192.168.17.181 die IP Deines FHEM Servers ist.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

Auf dem Server ccs-ht-rasp01 (192.168.17.181) kommt der gleiche Ausgabewert.
Am Client ccs-ht-rasp06 (192.168.17.186) kam nach ewig langer Zeit doch noch etwas mehr heraus.
root@ccs-ht-rasp06:/opt/fhem/certs# openssl s_client -showcerts -connect 192.168.17.181:8083
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1521554562
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

Am Server warte ich jetzt schon 10 Minuten ohne Änderung des Ausgabewertes.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

rudolfkoenig

Bei mir schaut es so aus, wenn ich openssl gegen einem "normalen" (d.h. nicht HTTPS) Port teste.
Bei einer FHEMWEB Instanz mit "attr WEBS HTTPS" kommt sofort eine sinnvolle Ausgabe.

Eine deutlich kuerzere Anleitung fuer selbstsignierte Zertifikate gibt es uebrigens hier: https://fhem.de/commandref.html#HTTPS

Burny4600

Das ist genau die aktuelle Konfiguration an diesem Raspberry.
sudo apt-get update &&
sudo apt-get install libio-socket-ssl-perl &&
sudo apt-get install libwww-perl

cd /opt/fhem
sudo mkdir certs
cd /opt/fhem/certs
sudo openssl req -new -x509 -nodes -out server-cert.pem -days 3650 -keyout server-key.pem
sudo chmod 644 /opt/fhem/certs/*.pem
sudo chmod 711 /opt/fhem/certs
sudo chown -R fhem:dialout /opt/fhem/certs/
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

und du hast wirklich aktuell auch HTTPS aktiviert wie Du den openssl Aufruf gemacht hast?
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Frank_Huber

Also ich habe heute auch meine Instanzen auf HTTPS gehoben.
Nach ANleitung im Wiki: https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS
Hat tadellos und auf Anhieb funktioniert.
Raspbian und FHEM tagesaktuell.

Burny4600

#10
Alles nochmals gelöscht und neu eingerichtet und immer mit einem reboot ausgeführt.

System ccs-ht-rasp06
root@ccs-ht-rasp06:/opt/fhem/certs# openssl s_client -showcerts -connect local:8083
1996342688:error:20087002:BIO routines:BIO_lookup:system lib:../crypto/bio/b_addr.c:693:Temporary failure in name resolution
connect:errno=110

root@ccs-ht-rasp06:/opt/fhem/certs# openssl s_client -showcerts -connect 192.168.17.181:8083
CONNECTED(00000003)
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify return:1
---
Certificate chain
0 s:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
   i:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
issuer=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1752 bytes and written 302 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: E61D4409E3E10E87C1666646DA8B43A1FD48F5023DD35F6243CDAAFAF37ACE62
    Session-ID-ctx:
    Master-Key: C1B9BE077F3084A111F001D77600E691BCFCBC58DF161BDF10E48F476886496C36C83372E17EC505B38E707A08970800
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 58 80 ef c6 59 71 c9 8f-3d 84 81 99 62 ee b1 ec   X...Yq..=...b...
    0010 - fd 4f bd 3f 30 70 11 a2-9e eb aa 2b 31 8b de 00   .O.?0p.....+1...
    0020 - b4 41 20 46 b4 6c e9 3a-84 78 e9 f5 e1 69 6f d2   .A F.l.:.x...io.
    0030 - c0 d6 c6 ea 9a 74 f6 44-03 3e a0 31 6f f6 a1 10   .....t.D.>.1o...
    0040 - 25 58 41 a2 eb d0 42 1e-bd cf 59 97 b5 46 2b ce   %XA...B...Y..F+.
    0050 - 87 90 21 31 da 87 f1 1b-da 29 d8 bf 48 e8 bc 0f   ..!1.....)..H...
    0060 - 8a 68 a1 3c aa b7 eb fd-9a 75 dd 82 a9 dc bf 76   .h.<.....u.....v
    0070 - 52 7e 74 64 20 c6 d5 24-82 56 39 07 ad 02 3f cf   R~td ..$.V9...?.
    0080 - a6 5a 1f a4 9f 73 cc 17-8e da 2b c3 e0 20 f3 86   .Z...s....+.. ..
    0090 - 79 41 d6 00 61 ba ab 3b-f2 1c c5 db 0c 03 62 2c   yA..a..;......b,

    Start Time: 1521568712
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: yes
---

root@ccs-ht-rasp06:~# openssl s_client -showcerts -connect 192.168.17.186:8083
CONNECTED(00000003)
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify return:1
---
Certificate chain
0 s:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
   i:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
issuer=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1752 bytes and written 302 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 0013F23C66E04972160F7535FB23BB05AF8BCBDFA9691CA4F7B5FCD701F6833D
    Session-ID-ctx:
    Master-Key: 24F1B7941DFEAF8A4863C730E3ECADCFDDB86AD0137A42C84E722347148FE542919403C9339E2CEB2D516131747A7E69
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 27 a9 2e 2d 83 ed 2d 0b-44 ce 6c f8 c5 cf dd 5a   '..-..-.D.l....Z
    0010 - 30 74 7a 54 4d 1e 8c 5e-e2 7a 86 05 5c 9c b1 5f   0tzTM..^.z..\.._
    0020 - 99 a6 cd 0d 9f 00 c4 a0-e5 04 a8 a6 70 1d 3f 02   ............p.?.
    0030 - f6 e2 af 54 48 31 d0 6f-1d ed 57 34 1a 63 c4 7e   ...TH1.o..W4.c.~
    0040 - f1 55 38 ab ab a4 59 7d-49 d1 50 c7 2b 82 b2 b0   .U8...Y}I.P.+...
    0050 - 96 58 8b 5a 1e 90 ff 9f-c2 54 46 f7 ec ca df dd   .X.Z.....TF.....
    0060 - 2f bf 7c 3f 60 e5 e1 90-ef 58 55 c7 8f 8e 2c 8c   /.|?`....XU...,.
    0070 - b8 6d e3 c4 d5 c7 e2 6a-ab a1 8a b3 6d 76 47 eb   .m.....j....mvG.
    0080 - 6b ce ec 22 dc b0 d6 48-17 41 37 ae 01 dc b0 59   k.."...H.A7....Y
    0090 - 15 99 b3 87 70 7c 93 2d-4b 0e ee ad a6 e5 24 43   ....p|.-K.....$C

    Start Time: 1521569518
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: yes
---


System  ccs-ht-rasp01
pi@ccs-ht-rasp01:~ $ openssl s_client -showcerts -connect local:8083
gethostbyname failure
connect:errno=11

pi@ccs-ht-rasp01:~ $ openssl s_client -showcerts -connect 192.168.17.181:8083
CONNECTED(00000003)
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify return:1
---
Certificate chain
0 s:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
   i:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
issuer=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1748 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 3AD04A114EAB5D4FB327F74D93058FD4B8BB5D9B5FA46A8E1DD1257A13E2695A
    Session-ID-ctx:
    Master-Key: 3BB5FF13E9783D84AFAECB73B28B95FC0D341609FE95F09AE4E54826E358C065FC807879C06C81C2C6AE0BA665E3384A
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - b5 24 72 70 71 33 04 5e-7d c2 49 3f b6 5e e3 24   .$rpq3.^}.I?.^.$
    0010 - aa 4c 7f 1e d3 4c da dc-be 3a 18 7f 83 6d 80 a8   .L...L...:...m..
    0020 - 4c 13 a1 94 5f 46 42 7d-79 6d 7b e7 09 a1 b9 3d   L..._FB}ym{....=
    0030 - 72 8f 03 0f 66 56 9a e3-61 91 20 b4 51 3a 64 34   r...fV..a. .Q:d4
    0040 - 04 b2 15 46 eb d8 4e 74-24 5a 5f 1b be 82 34 02   ...F..Nt$Z_...4.
    0050 - 88 cd 83 8f 07 bf 0a b1-18 a7 68 68 9d 83 ae 03   ..........hh....
    0060 - fe d8 ee e5 9c 6c 09 35-b3 1e 82 bf 92 3b 64 b3   .....l.5.....;d.
    0070 - 56 2c 33 fb 0c 24 f5 24-e7 5b 5a b6 49 ce d0 47   V,3..$.$.[Z.I..G
    0080 - f4 ed 04 dc 90 ce f1 5e-87 78 37 87 76 40 35 c7   .......^.x7.v@5.
    0090 - 74 a0 cc c8 8c 32 dd d7-7c df 20 c0 80 b8 f5 81   t....2..|. .....

    Start Time: 1521568811
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---

pi@ccs-ht-rasp01:~ $ openssl s_client -showcerts -connect 192.168.17.186:8083
CONNECTED(00000003)
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, L = Wels, O = CCS-Media Daten und Kommunikationstechnik, OU = EDV, CN = ccs-ht-rasp06, emailAddress = fhem@ccs-media.local
verify return:1
---
Certificate chain
0 s:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
   i:/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
issuer=/C=AT/ST=OberOesterreich/L=Wels/O=CCS-Media Daten und Kommunikationstechnik/OU=EDV/CN=ccs-ht-rasp06/emailAddress=fhem@ccs-media.local
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1748 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 986AB6D3F411A7B7239EF9469F4B93CDA9AD4B0DF11608F570345B96E598A9A5
    Session-ID-ctx:
    Master-Key: 1C2C231380703872BE851AA0470E9FC8228FF51022C9F30B3A3F86C5E5922A9ACD5176515B32F846126A28D0BA0E489A
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - e1 dd cf 0d 97 e8 d1 c4-03 aa 9a 7d 4a 89 d5 7f   ...........}J...
    0010 - 2e 28 a4 9c 82 ad 45 cb-90 fe 21 7b 05 54 21 4f   .(....E...!{.T!O
    0020 - 3e 4f 21 af 18 1d 78 c0-70 af 5f 7d 62 f2 1c c4   >O!...x.p._}b...
    0030 - ce ca 4a 06 04 37 11 ca-ba 74 9a 3d 04 52 fe ad   ..J..7...t.=.R..
    0040 - 3a fc 66 53 4b fb e7 ee-b4 c6 bc 95 d2 10 ef a0   :.fSK...........
    0050 - 39 54 c0 79 b4 9c df 95-87 2f 00 07 ac 43 96 32   9T.y...../...C.2
    0060 - f7 b4 51 fe 87 35 85 24-1d ba 8c 70 29 a9 99 b3   ..Q..5.$...p)...
    0070 - 66 f1 d9 35 22 10 08 b1-86 c6 78 44 5f 9f 51 8b   f..5".....xD_.Q.
    0080 - 7a 24 af 9c 88 ea b7 4d-73 7c a3 b6 a1 68 f4 df   z$.....Ms|...h..
    0090 - 1e c9 26 5d 23 5d 3c fd-08 37 76 ef 2e b8 3c 70   ..&]#]<..7v...<p

    Start Time: 1521569083
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---


Nach wie vor komme ich mit den Browsern nicht auf FHEM.
https://192.168.17.181:8083/fhem
Fehler: Gesicherte Verbindung fehlgeschlagen

Die Verbindung zu 192.168.17.181:8083 wurde unterbrochen, während die Seite geladen wurde.

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Weitere Informationen...

Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen

https://192.168.17.186:8083/fhem
Browser FireFox 59.0.1 64Bit
Internet Explorer 11.0.9600.18952
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

Was steht unmittelbar des Webzugriffs im FHEM Log?
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

#12
Solche Einträge befinden sich im LOG
2018.03.20 19:18:58.950 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.17.46)
2018.03.20 19:18:58.998 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.17.46)
2018.03.20 19:21:14.096 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)
2018.03.20 19:21:14.157 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)
2018.03.20 19:21:14.249 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

Burny4600

#13
Ich habe bei allen Systemen, was die HTTPS/SSL Verbindungen betrifft, nochmals alles zurückgesetzt, neu eingerichtet und folgende Feststellungen gemacht was als Leitfaden verwendet werden kann.

1. Setzen des Host- und Domainnamens
Zunächst sollte der Host- und Domainnamen richtig gesetzt sein. Dazu muss die Konfigurationsdatei
sudo nano /etc/resolv.conf
angepasst werden.
In dem von mir verwendeten Szenario hat diese die folgende Form
### Generated by resolvconf
domain ccs-media.local
search ccs-media.local

nameserver 192.168.17.1
nameserver 192.168.17.2
nameserver fd00192168171
nameserver fd00192168172
nameserver fd009ec7a6fffe7181f

Anschließend wird der Hostnamen in der Konfigurationsdatei sudo nano /etc/hostname angepasst, sofern nicht schon in der raspi-config geschehen.
Hier sollte lediglich der Hostname als solcher eingetragen werden und nicht der FQDN (Full Qualified Domain Name).
ccs-ht-rasp06

2. Als nächstes setzen wir sowohl den FQDN als auch den reinen Hostnamen in der Konfigurationsdatei
sudo nano /etc/hosts
127.0.0.1       localhost.localdomain           localhost

# <IP-Adresse>  <FQDN>                          <Rechnername>
192.168.17.186  ccs-ht-rasp06.ccs-media.local   ccs-ht-rasp06

# The following lines are desirable for IPv6 capable hosts
::1             localhost ip6-localhost ip6-loopback
ff02::1         ip6-allnodes
ff02::2         ip6-allrouters

127.0.1.1       ccs-ht-rasp06


3. HTTPS Server Zugriff einrichten:
Für jeden Server ist dieser Vorgang separat zu machen und darauf zu achten das jeder Server seinen eigenen Host Namen erhält.
Der Host Name ist bei den Jessie Betriebssystemen des Raspberrys mit sudo nano /etc/hostname zu überprüfen bzw. anzupassen sofern notwendig, wie eingangs schon beschrieben.
Der Hostname ist bei Verwendung mehrere Raspberrys so abzuändern, dass ein jedes Gerät seinen eigenen Namen erhält bevor die Konfiguration mit OpenSSL begonnen wird.
Dieser Hostname ist bei der Generierung des OpenSSL Server Zertifikates unter Common Name []: einzutragen.
Nach der Änderung des Geräte (Host) Namens ist ein Neustart durchzuführen.

4. Versionsprüfung OpenSSL
apt-cache policy openssl

5. Installation oder Update OpenSS
sudo apt-get update &&
sudo apt-get install libio-socket-ssl-perl &&
sudo apt-get install libwww-perl


6. Einrichten des Serverzertifikates
cd /opt/fhem &&
sudo mkdir certs &&
cd /opt/fhem/certs &&
sudo openssl req -new -x509 -nodes -out server-cert.pem -days 3650 -keyout server-key.pem
Country Name (2 letter code) [AU]: <Landeskennung>
State or Province Name [Some-State]: <Bundesland>
Locality Name []:<Stadt>
Organization Name [Internet Widgits Pty Ltd]: <Name , Firma oder nach was einem beliebt>
Organizational Unit Name []:<zb. EDV oder nach was einem beliebt>
Common Name []:<Hostname zb. wie in diesem Fall ccs-ht-rasp06>
Email Address []:<zb. E-Mail Adresse des Host fhem@ccs-media.local>

Grundsätzlich kann hier alles beliebig bis auf den Hostnamen gesetzt werden der mit dem Raspberry übereinstimmen muss wenn mehrer Geräte zum Einsatz kommen sollen.
Der Browser fragt eine Bestätigung beim ersten Start an und akzeptiert dieses Zertivikat.
Dies ist beim Browser zb. FireFox mit einem grünen Schloß ersichtlich.

7. HTTPS Server Berechtigungen definieren
sudo chmod 644 /opt/fhem/certs/*.pem
sudo chmod 711 /opt/fhem/certs
sudo chown -R fhem:dialout /opt/fhem/certs/
sudo shutdown -r now


8.   FHEM anpassen
Zu generierendes Passwort für die HTTPS/SSL Verbindungen
echo -n Name:Passwort | base64
Daraus wird ein Passwort generiert <geheimes Passwort>
Es ist dabei zu beachten dass keine Umlaute oder Sonderzeichen für den Benutzer und das Passwort verwendet werden. Zu beachten ist bei der Generierung des Passwortes <geheimes Passwort> das das Passwort nicht mehr als 20 Zeichen besitzen darf.

Folgende Attribute sind unter FHEM zu definieren.
attr global sslVersion TLSv12:!SSLv3

attr telnetPort SSL 1
attr telnetPort sslVersion TLSv12:!SSLv3
attr allowed_telnetPort password <geheimes Passwort>

attr WEB HTTPS 1
attr WEB sslVersion TLSv12:!SSLv3
attr allowed_WEB basicAuth <geheimes Passwort>

attr WEBphone HTTPS 1
attr WEBphone sslVersion TLSv12:!SSLv3
attr allowed_WEBphone basicAuth <geheimes Passwort>

attr WEBtablet HTTPS 1
attr WEBtablet sslVersion TLSv12:!SSLv3
attr allowed_WEBtablet basicAuth <geheimes Passwort>


9. Funktionsprüfung der HTTPS/SSL Verbindungen
openssl s_client -showcerts -connect <IP Adresse>:8083
openssl s_client -showcerts -connect local:8083


10. FHEM Zugriff mit dem Browser
Nach diesen Änderungen im FHEM, ist FHEM nur mehr in dieser Form mit dem Browser erreichbar.
https://ccs-ht-rasp06:8083/fhem
Vor dieser Änderung war FHEM sowohl über http://192.168.17.186:8083/fhem als auch über http://ccs-ht-rasp06:8083/fhem erreichbar.
Die Änderung auf HTTPS/SSL gelten nur für Browserzugriffe und Telnet Verbindungen.
Bei den Telnet Verbindungen kann aber nur die IP Adresse des Remote Teilnehmers eingetragen werden.
define F2F_Rasp02 FHEM2FHEM 192.168.17.182:7072:SSL LOG:Device.* <geheimes Passwort>
Verwendet man den Hostnamen funktionieren die Telnet Verbindungen nicht.
2018.03.21 10:56:02.180 3: FHEM2FHEM opening F2F_Rasp02 at ccs-ht-rasp06:7072
2018.03.21 10:56:02.211 3: Can't connect to ccs-ht-rasp02:7072: Connection timed out
2018.03.21 10:56:04.586 3: FHEM2FHEM opening F2F_Rasp02 at ccs-ht-rasp06:7072
2018.03.21 10:56:04.597 3: Can't connect to ccs-ht-rasp02:7072: Connection timed out

Bei den Telnet Verbindungen gibt es beim Start von FHEM Probleme, wenn hier mehrere Verbindungen via FHEM2FHEM definiert wurden und aufgebaut werden.
2018.03.21 10:55:41.099 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.182)
2018.03.21 10:55:41.444 1: Perfmon: possible freeze starting at 10:55:39, delay is 2.443
..............
2018.03.21 10:55:41.490 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.190)
2018.03.21 10:55:46.493 1: Perfmon: possible freeze starting at 10:55:43, delay is 3.493

Nach ungefähr 15 Sekunden werden die Telnet Verbindung aber dennoch erfolgreich aufgebaut.

Hier sehe ich jedenfalls noch Handlungsbedarf, was die Telnet Verbindungen betrifft, weil nur die IP Adresse verwendet werden kann und beim Start von FHEM zeitlich bedingte Fehler Einträge im LOG von FHEM auftauchen.

Ser2net oder ähnliche Remoteverbindungen Verbindungen werden von dieser HTTPS/SSL Konfiguration nicht beinflusst.

Ich hoffe das diese Erläuterung für jeden soweit verständlich sind.
Nach einem Check der Prozedur sollten die Erläuertungen in die Commandref, FHEM Wiki usw. in dieser zusammengefassten Form übernommen werden um ein besseres Verständnis der Absicherung von FHEM für jeden zu gewähren.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

rudolfkoenig

ZitatHier sehe ich jedenfalls noch Handlungsbedarf, was die Telnet Verbindungen betrifft, weil nur die IP Adresse verwendet werden kann und beim Start von FHEM zeitlich bedingte Fehler Einträge im LOG von FHEM auftauchen.
Ich kann das nicht nachvollziehen, ich gehe davon aus, dass das nur in deinem Netzwerk gilt. Ich habe es bei mir mit folgenden Konfigurationen getestet:

Server:
attr global logfile -
attr global modpath .
attr global motd none
define ts telnet 7443 global
attr ts SSL
define d dummy


Client:
attr global logfile -
attr global modpath .
attr global motd none
attr global mseclog
define telnet telnet 7173 global
define F2 FHEM2FHEM localhost:7443:SSL LOG:.*


Protokoll des Client-Startups:
2018.03.22 09:57:32 1: Including cfg/fhem.cfg.F2F2
2018.03.22 09:57:32.527 3: telnet: port 7173 opened
2018.03.22 09:57:32.538 3: FHEM2FHEM opening F2 at localhost:7443
2018.03.22 09:57:32.596 0: Featurelevel: 5.8
2018.03.22 09:57:32.596 0: Server started with 3 defined entities (fhem.pl:16453/2018-03-20 perl:5.016002 os:darwin user:rudi pid:12230)
2018.03.22 09:57:32.624 3: FHEM2FHEM device opened (F2)

Wie man sieht, dauert das Verbinden mit Name (keine IP-Adresse) 28ms, Fehlermeldungen gibt es auch keine.
Btw. laeuft das Verbinden ueberwiegend Hintergrund, nur die Namensaufloesung kann blockieren, falls kein dnsServer gesetzt ist. Ich vermute bei dir deswegen Probleme mit der OS-eigenen Namensaufloesung.

ZitatNach einem Check der Prozedur sollten die Erläuertungen in die Commandref, FHEM Wiki usw. in dieser zusammengefassten Form übernommen werden um ein besseres Verständnis der Absicherung von FHEM für jeden zu gewähren.
Sowas gehoert nicht ins commandref, fuer eine Erklaerung was/wie ins commandref reingehoert, lief eine Diskussion vor paar Tagen hier. Ins Wiki gerne, allerdings sollte man vorher das Problem mit der Namensaufloesung klaeren.