Hallo Zusammen,
mein FHEM hat mehrere FHEMWEB Instanzen.
Nun ist es so, das ich für das Intranet eine andere TLD verwende als mein Squid Reverse Proxy in der DMZ ausliefert.
Ist es möglich je FHEMWEB ein anderes Zertifikat auszuliefern ?
Gruß,
JudgeDredd
Gib dem Reverse Proxy ein gültiges Zertifikat für seinen FQDN. Das FHEM Zertifikat spielt dann doch keine Rolle mehr für den Client.
Naja keine Rolle ist ja Definitionssache ;)
Aber Du hast natürlich Recht, im Squid habe ich die interne Zertifikatsprüfung disabled.
Da sich aber meine DMZ Domain von meiner Intranet Domain unterscheidet, wäre es es hilfreich wenn es ein solches Feature gäben würde.
Schade finde ich auch, das die KEY/CRT Dateinamen fest vorgegeben sind. Ich habe auf meinen Servern eine andere Namenslogik. Ja sicher kann man einen Symlink machen, aber ein
Attribut ins FHEMWEB für den Dateinamen wäre doch nicht so aufwendig, oder ?
ZitatDa sich aber meine DMZ Domain von meiner Intranet Domain unterscheidet, wäre es es hilfreich wenn es ein solches Feature gäben würde.
Dann scheint aus meiner Sicht Deine DNS Auflösung (views) nicht ok, bzw. inkonsistent zu sein. Das muss der rev. Proxy so hinbekommen, auch ohne das Deaktivieren der Zertifikatsprüfung (zur Not via /etc/hosts). Zumindest ich (ich bin nicht der Maintainer), sehe keinen Handlungsbedarf seitens FHEM.
was spricht denn gegen einen weiteren DNS alternativer name ?
Es ist ja nicht so, das irgendetwas nicht funktionieren würde. Es war lediglich die Frage ob jedes FHEMWEB ein eigenes Zertifikat kann.
Der Zugriff aus dem Internet funktioniert reibungslos.
Da ich aber über meinen DC hier eine lokale CA-Root verteile, wäre es halt schön (für mich) wenn in FHEMWEB Zertifikatsabhängigkeiten hinterlegt werden könnten.
ZitatDann scheint aus meiner Sicht Deine DNS Auflösung (views) nicht ok, bzw. inkonsistent zu sein. Das muss der rev. Proxy so hinbekommen, auch ohne das Deaktivieren der Zertifikatsprüfung
Doch doch, der DNS rennt einwandfrei. Es ist nur so, das in der DMZ andere Domainnamen zum Einsatz kommen als auf den einzelnen Servern im Intranet.
Es scheint ja wohl tatsächlich so zu sein, das es mit FHEMWEB nicht möglich ist. Macht aus Eurer Sicht ein Featurerequest bei rudolfkoenig Sinn oder bin ich eher alleine mit meinem Wunsch ?
Ich würde sagen eher alleine. Jeder Instanz ein eigenes Zertifikat ist nicht wirklich nötig.
Ich habe ein eigene rootCA und habe meine Serverzertifikate gegen die rootCA gegengezeichnet. Das klappt super, egal ob von innen oder von aussen.
Wenn man schon mit rootCA arbeitest kannst auch eine komplette saubere PKI auf bauen. Meine persönliche Meinung
ZitatIch würde sagen eher alleine.
:'( :'(
Nagut, dann werde ich mal nicht weiter nachboren ;)
Danke für Deine Einschätzung.
Ich nehme das auf meine TODO Liste, da SSL zunehmend wichtig wird, und z.Zt. mind. 3 Netzwerk-Server-Module mit SSL Unterstuetzung gibt (FHEMWEB, telnet, MQTT2_SERVER).
Log2Syslog im Servermode wäre auch noch so ein Modul was SSL bzw. TLS unterstützt
Hey super wenn ich da Dein Entwicklerinteresse geweckt habe. :)
Aber bitte nicht nur wegen mir ne Sonderlocke stricken.
Hat ja auch keine hohe Prio.
Aber Danke auf jedenfall für Dein Feedback.
TcpServerUtils.pm fragt ab sofort das Attribut sslCertPrefix ab, die Voreinstellung ist certs/server-
Und die Module FHEMWEB, telnet und MQTT2_SERVER akzeptieren diese Parameter.
ZitatUnd die Module FHEMWEB, telnet und MQTT2_SERVER akzeptieren diese Parameter.
Finden ambitionierte Entwickler das auch in einem/dem Wiki oder muss man sich das merken bzw. im Quellcode finden. Die Frage ist ernst gemeint und nicht polemisch.
Fuer Modulautoren, die TcpServerUtils verwenden, reicht es die Attribute hinzuzufuegen.
Einen Wiki Eintrag habe ich nicht gemacht.
Hallo,
Kurzes Feedback:
Habe soeben bei mir die FHEMWEB Module um das sslCertPrefix Attribut ergänzt.
Funktioniert wunderbar. Es können nun unterschiedliche Zertifikate ausgegeben werden.
Dann herzlichen Dank für die doch so prompte Umsetzung.
Gruß,
JudgeDredd