Verschiedene SSL Zertifikate

Begonnen von JudgeDredd, 13 Oktober 2018, 10:05:06

Vorheriges Thema - Nächstes Thema

JudgeDredd

Hallo Zusammen,

mein FHEM hat mehrere FHEMWEB Instanzen.
Nun ist es so, das ich für das Intranet eine andere TLD verwende als mein Squid Reverse Proxy in der DMZ ausliefert.

Ist es möglich je FHEMWEB ein anderes Zertifikat auszuliefern ?

Gruß,
JudgeDredd
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

dev0

Gib dem Reverse Proxy ein gültiges Zertifikat für seinen FQDN. Das FHEM Zertifikat spielt dann doch keine Rolle mehr für den Client.

JudgeDredd

#2
Naja keine Rolle ist ja Definitionssache ;)
Aber Du hast natürlich Recht, im Squid habe ich die interne Zertifikatsprüfung disabled.

Da sich aber meine DMZ Domain von meiner Intranet Domain unterscheidet, wäre es es hilfreich wenn es ein solches Feature gäben würde.

Schade finde ich auch, das die KEY/CRT Dateinamen fest vorgegeben sind. Ich habe auf meinen Servern eine andere Namenslogik. Ja sicher kann man einen Symlink machen, aber ein
Attribut ins FHEMWEB für den Dateinamen wäre doch nicht so aufwendig, oder ?
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

dev0

ZitatDa sich aber meine DMZ Domain von meiner Intranet Domain unterscheidet, wäre es es hilfreich wenn es ein solches Feature gäben würde.

Dann scheint aus meiner Sicht Deine DNS Auflösung (views) nicht ok, bzw. inkonsistent zu sein. Das muss der rev. Proxy so hinbekommen, auch ohne das Deaktivieren der Zertifikatsprüfung (zur Not via /etc/hosts). Zumindest ich (ich bin nicht der Maintainer), sehe keinen Handlungsbedarf seitens FHEM.

CoolTux

was spricht denn gegen einen weiteren DNS alternativer name ?
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

JudgeDredd

Es ist ja nicht so, das irgendetwas nicht funktionieren würde. Es war lediglich die Frage ob jedes FHEMWEB ein eigenes Zertifikat kann.

Der Zugriff aus dem Internet funktioniert reibungslos.
Da ich aber über meinen DC hier eine lokale CA-Root verteile, wäre es halt schön (für mich) wenn in FHEMWEB Zertifikatsabhängigkeiten hinterlegt werden könnten.

ZitatDann scheint aus meiner Sicht Deine DNS Auflösung (views) nicht ok, bzw. inkonsistent zu sein. Das muss der rev. Proxy so hinbekommen, auch ohne das Deaktivieren der Zertifikatsprüfung
Doch doch, der DNS rennt einwandfrei. Es ist nur so, das in der DMZ andere Domainnamen zum Einsatz kommen als auf den einzelnen Servern im Intranet.

Es scheint ja wohl tatsächlich so zu sein, das es mit FHEMWEB nicht möglich ist. Macht aus Eurer Sicht ein Featurerequest bei rudolfkoenig Sinn oder bin ich eher alleine mit meinem Wunsch ?
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

CoolTux

Ich würde sagen eher alleine. Jeder Instanz ein eigenes Zertifikat ist nicht wirklich nötig.

Ich habe ein eigene rootCA und habe meine Serverzertifikate gegen die rootCA gegengezeichnet. Das klappt super, egal ob von innen oder von aussen.
Wenn man schon mit rootCA arbeitest kannst auch eine komplette saubere PKI auf bauen. Meine persönliche Meinung
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

JudgeDredd

ZitatIch würde sagen eher alleine.
:'( :'(

Nagut, dann werde ich mal nicht weiter nachboren  ;)
Danke für Deine Einschätzung.
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

rudolfkoenig

Ich nehme das auf meine TODO Liste, da SSL zunehmend wichtig wird, und z.Zt. mind. 3 Netzwerk-Server-Module mit SSL Unterstuetzung gibt (FHEMWEB, telnet, MQTT2_SERVER).

DS_Starter

Log2Syslog im Servermode wäre auch noch so ein Modul was SSL bzw. TLS unterstützt
ESXi@NUC+Debian+MariaDB, PV: SMA, Victron MPII+Pylontech+CerboGX
Maintainer: SSCam, SSChatBot, SSCal, SSFile, DbLog/DbRep, Log2Syslog, SolarForecast,Watches, Dashboard, PylonLowVoltage
Kaffeekasse: https://www.paypal.me/HMaaz
Contrib: https://svn.fhem.de/trac/browser/trunk/fhem/contrib/DS_Starter

JudgeDredd

Hey super wenn ich da Dein Entwicklerinteresse geweckt habe.  :)
Aber bitte nicht nur wegen mir ne Sonderlocke stricken.
Hat ja auch keine hohe Prio.
Aber Danke auf jedenfall für Dein Feedback.
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

rudolfkoenig

TcpServerUtils.pm fragt ab sofort das Attribut sslCertPrefix ab, die Voreinstellung ist certs/server-
Und die Module FHEMWEB, telnet und MQTT2_SERVER akzeptieren diese Parameter.

dev0

ZitatUnd die Module FHEMWEB, telnet und MQTT2_SERVER akzeptieren diese Parameter.
Finden ambitionierte Entwickler das auch in einem/dem Wiki oder muss man sich das merken bzw. im Quellcode finden. Die Frage ist ernst gemeint und nicht polemisch.

rudolfkoenig

Fuer Modulautoren, die TcpServerUtils verwenden, reicht es die Attribute hinzuzufuegen.
Einen Wiki Eintrag habe ich nicht gemacht.

JudgeDredd

Hallo,

Kurzes Feedback:
Habe soeben bei mir die FHEMWEB Module um das sslCertPrefix Attribut ergänzt.
Funktioniert wunderbar. Es können nun unterschiedliche Zertifikate ausgegeben werden.

Dann herzlichen Dank für die doch so prompte Umsetzung.

Gruß,
JudgeDredd
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)