SSL Zertifikat für alexa-fhem abgelaufen

Begonnen von cseuss, 04 April 2018, 21:00:11

Vorheriges Thema - Nächstes Thema

cseuss

Hallo zusammen,

habt Ihr auch schon das Problem gehabt, dass das mit openssl generierte Zertifikat nun nach einem Jahr abgelaufen ist.

Da ich einen Reverse-Proxy im Apache for alexa geschaltet haben und zufällig genau zeitgleich gerade auch den Apache aktualisiert habe, habe ich mir den Wolf gesucht.

Hier die Meldungen im Apache error.log:

[Wed Apr 04 13:32:57.336120 2018] [proxy:error] [pid 7359:tid 1840247856] (502)Unknown error 502: [client 34.244.178.231:53766] AH01084: pass request body failed to 127.0.0.1:3000 (127.0.0.1)
[Wed Apr 04 13:32:57.336403 2018] [proxy:error] [pid 7359:tid 1840247856] [client 34.244.178.231:53766] AH00898: Error during SSL Handshake with remote server returned by /alexa
[Wed Apr 04 13:32:57.336447 2018] [proxy_http:error] [pid 7359:tid 1840247856] [client 34.244.178.231:53766] AH01097: pass request body failed to 127.0.0.1:3000 (127.0.0.1) from 34.244.178.231 (ec2-34-244-178-231.eu-west-1.compute.amazonaws.com)


Ich habe verschiedene Optimierungen in der Apache-SSL-Config ausprobiert. Letztendlich war das cert.pem aber von alexa-pem abgelaufen. Eine Loglevel-Debug-Session auf dem Apache hat es aufgezeigt.

Erstellt Ihr dann immer einfach per "createKey.sh" ein neues Schlüssel- und Cert-Pärchen oder verlängert Ihr das Zertifikat? (Wie?)

Gruß

Christian

somebody101

Hi,

habe eine ähnliche Konfiguration und mir heute auch einen Wolf gesucht (am Reverse Proxy), bis ich gemerkt hatte, dass lediglich das Zertifikat abgelaufen war.
Um die Frage zu beantworten: ich habe einfach ein neues Paar generiert und nach einem restart von alexa-fhem lief das Ganze wieder.

Gruß
rob.

Amenophis86

Kann mir mal jemand helfen und sagen was genau ich machen muss (mit entsprechenden Befehlen :) )? Laufe seit heute in den gleichen Fehler.
Aktuell dabei unser neues Haus mit KNX am einrichten. Im nächsten Schritt dann KNX mit FHEM verbinden. Allein zwei Dinge sind dabei selten: Zeit und Geld...

amenomade

Pi 3B, Alexa, CUL868+Selbstbau 1/2λ-Dipol-Antenne, USB Optolink / Vitotronic, Debmatic und HM / HmIP Komponenten, Rademacher Duofern Jalousien, Fritz!Dect Thermostaten, Proteus

amenomade

Natürlich kann man auch in createkey.sh schauen, und "days" ändern.
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 11499
openssl rsa -in key.pem -out newkey.pem && mv newkey.pem key.pem

11499 ist der max. Wert... das macht um die 31 Jahre... Allerdings ist es aus Sicherheitsgründe nicht zu empfehlen
Pi 3B, Alexa, CUL868+Selbstbau 1/2λ-Dipol-Antenne, USB Optolink / Vitotronic, Debmatic und HM / HmIP Komponenten, Rademacher Duofern Jalousien, Fritz!Dect Thermostaten, Proteus

Amenophis86

einfach das Zertifikat neu generien und die alten Dateien ersetzen. War wirklich einfach :D Danke für die Info, jetzt geht alles wieder.  Danke auch für den Hinweis im Wiki. Denke das dürfte bald einige Leute treffen.

Als Tipp:
Habe mir ein reading im Alexa Device gesetzt, welches mir anzeigt bis wann die key.pem gültig ist. Werde mir jetzt noch eine Erinnerung bauen, wenn das abgelaufen ist. Dann muss ich in einem Jahr net wieder suchen, woran es liegt ;)
Aktuell dabei unser neues Haus mit KNX am einrichten. Im nächsten Schritt dann KNX mit FHEM verbinden. Allein zwei Dinge sind dabei selten: Zeit und Geld...

amenomade

#6
Zitat von: Amenophis86 am 04 Juni 2018, 20:29:15
Danke auch für den Hinweis im Wiki. Denke das dürfte bald einige Leute treffen.

Naja, anscheinend werden die Hinweise im Wiki nicht gelesen. Der Hinweis ist vom 6. Mai 2018, 18:56 Uhr ;)

Hast Du dein Reading manuell erstellt, oder mit irgendwelchem openssl Kommando?
openssl x509 -enddate -noout -in cert.pem
Pi 3B, Alexa, CUL868+Selbstbau 1/2λ-Dipol-Antenne, USB Optolink / Vitotronic, Debmatic und HM / HmIP Komponenten, Rademacher Duofern Jalousien, Fritz!Dect Thermostaten, Proteus

Amenophis86

Ich bin heute nach 1h suchen erst Mal auf die Idee gekommen, dass es das sein könnte. Daher hatte ich im Wiki an der Stelle nicht geschaut. Vielleicht sollte man es auch bei den Troubleshooting mit aufnehmen ;)

Habe es manuell erstellen. Für die Befehle fehlt mir das Wissen.
Aktuell dabei unser neues Haus mit KNX am einrichten. Im nächsten Schritt dann KNX mit FHEM verbinden. Allein zwei Dinge sind dabei selten: Zeit und Geld...

MadMax-FHEM

Hmm, eigenartig.

Meines ist seit November abgelaufen aber ich habe erst letzte Woche fleißig Skills angelegt (payLoad V3) und auch Geräte gelöscht und neu angelegt...

Es geht schon um das hier: alexa-fhem/cert.pem bzw. alexa-fhem/key.pem !? (laut dem Link auf's Wiki wohl ja)

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

Amenophis86

Ja genau um das geht es. Das Problem war, dass bei mir Alexa keine SmartHome Geräte mehr gefunden hat bzw. die Geräte als offline angezeigt wurden. Habe es gemerkt, als ich gestern den TV einschalten wollte und als antwort kam "Fernseher reagiert gerade nicht".
Aktuell dabei unser neues Haus mit KNX am einrichten. Im nächsten Schritt dann KNX mit FHEM verbinden. Allein zwei Dinge sind dabei selten: Zeit und Geld...