Hi,
folgendes sehe ich seit einiger Zeit im Log und wegen dieser Probleme werden die Zugriffe sehr verlangsamt im Browser durchgeführt.
FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems
ich habe versucht die https komplett neu zu machen lt Anleitung hier https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS jedoch beim Schritt
sudo chmod 644 /opt/fhem/certs/*.pem kommt die Fehlermeldung
chmod: Zugriff auf ,,/opt/fhem/certs/*.pem" nicht möglich: Datei oder Verzeichnis nicht gefunden
bin unter user pi eingeloggt.
ich vermute ein Rechte-Problem jedoch weiss ich nicht was nicht passt.
bitte um Hilfe!
Danke!
certs Inhalt
-rw-r--r-- 1 fhem dialout 1375 Jul 30 19:34 server-cert.pem
-rw-r--r-- 1 fhem dialout 1704 Jul 30 19:34 server-key.pem
Hi,
Das ist ja komisch, da Du durch sudo ja alle Rechtehaben solltest. Egal probiere mal:
sudo bash
cd /opt/fhem/certs
chmod 644 *.pem
chown fhem:dialout *.*
exit
Gruß Arnd
Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...
danke! es hat funktioniert, trotzdem besteht das Problem mit SSL
zusätzlich sehe ich dass https in Chrome in der Adressleiste durchgestrichen ist (Verbindung nicht sicher)
manche Links in Fhem funktionieren, manche lösen eine Überlastung aus, weil die Lese/Schreib LED des PIs leuchtet dann für 15-20 sek durchgehend grün und fhem ist nicht mehr erreichbar. Nach dieser Zeit ist Fhem für weitere 2-3 Linkclicks normal zu verwenden dann wieder die Blockade.
Im log erscheinen dann immer SSL Problemlogs
FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems
Siehe https://forum.fhem.de/index.php?topic=61511.0
und was soll die Lösung sein?
bei mir passiert das Ganze browserunabhängig. Als einzige Lösung sehe ich HTTPS OFF? kann aber nicht sein, oder?
warum hat das bisher funktioniert? und es scheint so aus, dass ich nicht der einzige bin.
Hast Du das Attribut sslVersion (für global und/oder FHEMWEB) gesetzt?
für FHEMWEB ja
sslVersion TLSv12:!SSLv3
für global nicht
Lösch das mal (testweise).
Zitatund was soll die Lösung sein?
Mit einer höhere Version von Perl, wie im verlinkten Thread erwähnt, hättest Du mindestens eine bessere Idee, was das Problem sein kann.
Hoi,
@ramses:
hast Du das Zertifikat unter Zertifikatsverwaltung (Computer) unter Windows importiert? Also die CA?
Wenn Du selbst eines erstellst, kann dein System immer noch nicht verifzieren ob das Zertifikat gültig ist. Solange eine CA fehlt, die dein System kennt.
Chrome, Edge und IE greifen auf den Windows-Zert-Speicher zurück, Firefox hat seinen eigenen Zert-Speicher.
Zudem müssen die X.509 Attribute für Alias/DNS und CA-Infos seit einigen Wochen(Monaten) in den meisten Browsern gesetzt sein.
Der common-name reicht nicht mehr.
Das liegt aber nicht an dem Handshake Thema. Das habe ich auch massiv gehabt und manchmal immer noch in fhem.
Ich untersuche das noch. Zwischendurch habe ich alle Zertifikate wegen dem x.509 Optionen neu erstellen müssen, seitdem kommt der Fehler nur noch selten.
Kann Dir nur empfehlen, lass die Finger von dem Linux-CLI Zertifikatserstellungen je System.
Schaue Dir mal XCA an, erstelle Dir eine eigene CA (alles Windows-basiert und hübsch beschrieben), erstelle je System darin deine signierten Zertifikate&Schlüssel.
XCA funktioniert wie Keypass (Passwort-Manager), eben nur für Zertifikate und Deine CA hast Du auch gleich und kannst alles in allen Formaten exportieren.
Dieses CA-Zertifikat importierst Du auf Deinen PCs und Du hast keine Probleme mit unsicheren Verbindungen mehr.
Und das ganze hübsch in einer GUI und zentralisiert! :)
Dann fällt es Dir auch leichter zu testen.
Zitat von: dev0 am 31 Juli 2017, 21:08:18
Lösch das mal (testweise).
habe ich, keine Besserung
wie mache ich das richtig? Ich habe mit
$ sudo apt-get upgradeversucht, hat eine Menge an Updates unter anderem auch die Perl Version aber beim Booten von pi kommt nach dem Update und Reboot
fhem.pl:14634/2017-07-03 perl:5.020002habe auch
perl -vausgeführt und die Antwort war
This is perl 5, version 20, subversion 2 (v5.20.2)sollte passen, oder?
jedoch keine Besserung, eigentlich eine Verschlechterung: im FHEM web wird das FHEM Logo nicht mehr angezeigt :-(
@dtavb: klingt nachvollziehbar, aber warum hat vorher funktioniert, bzw. was hat dazu geführt nicht zu funktionieren. Klar, ich möchte es reparieren, aber auch verstehen warum/was anders ist.
Zitatsollte passen, oder?
jedoch keine Besserung, eigentlich eine Verschlechterung: im FHEM web wird das FHEM Logo nicht mehr angezeigt :-(
Ja, sollte passen.
Aber die Verschlechterung verstehe ich nicht. Ich habe auch die 5.20.2 aber das Logo auch.
Und wie sieht jetzt die SSL Fehlermeldung aus?
@amenomade: leider unverändert
ich versuche jetzt den Vorschlag von @dtavb, einzig steht nirgendwo in was für Format das Zertifikat und Key aus XCA exportiert werden soll.
Auf dem pi ist der Server Zertifikat und Key separat. Ist die Key verschlüsselt oder nicht?
Komisch.. der sollte sagen wo der Fehler passiert. Gibt es keinen anderen SSL Error in der Log?
ich habe es!!
ich habe die Zertifikate aus /opt/fhem/certs im Firefox importiert nachdem die alten gelöscht wurden. Cache gelöscht, Browser neu gestartet, authentifiziert und tada Icon wieder da und keine Fehler mehr.
danke schön!
Hoi ramses,
in XCA: rechtsklicken auf key/cert export als pem-File.
Dabei spielt es keine rolle ob Dateiendung .crt oder .pem, Hauptsache im pem-Format.
Manche Anwendungen (fhem weis ich grad nicht) wollen manchmal eine statisch programmierte Dateiendung haben,
dann halt so benennen wie die Anwendung es möchte.
In fhem halt dann nur richtig referenzieren/benennen.
Ja, Firefox hat eine eigene Zertifikatsdatenbank.
Für Chrome&IE (vllt. auch Opera) via Windows Zert-Speicher: seit Win10 fliegen bei mir ab und an eigene Zertifikate aus dem Win Zert-Speicher...
Hallo,
auch wenn der Thread hier schon ein paar Tage älter ist, probiere ich es mal.
Ich habe FHEM auf meinen Raspberry Pi genau nach Anleitung ssl verschlüsselt. Mein Chrome akzeptiert auch das Zertifikat was ich über Einstellungen - Erweitert - Vertrauenswürdige Stammzertifizierungsstellen importiert habe. Cache und alles gelöscht - Chrome ist jedoch noch immer der Meinung, dass es nicht sicher ist. Vor allem auf dem Smartphone nervt das doch ziemlich. Was genaue mache ich falsch, in der Theorie wäre das doch gar nicht so verkehrt, oder? ???
Danke für eure Hinweise!
Zitat von: ChHerrm am 02 Juni 2018, 12:33:09
Hallo,
auch wenn der Thread hier schon ein paar Tage älter ist, probiere ich es mal.
Ich habe FHEM auf meinen Raspberry Pi genau nach Anleitung ssl verschlüsselt. Mein Chrome akzeptiert auch das Zertifikat was ich über Einstellungen - Erweitert - Vertrauenswürdige Stammzertifizierungsstellen importiert habe. Cache und alles gelöscht - Chrome ist jedoch noch immer der Meinung, dass es nicht sicher ist. Vor allem auf dem Smartphone nervt das doch ziemlich. Was genaue mache ich falsch, in der Theorie wäre das doch gar nicht so verkehrt, oder? ???
Danke für eure Hinweise!
Ich suche auch nach wie vor nach einer Lösung. Das importieren hat bei mir leider nicht so ganz geklappt...