Hallo,
bräuchte dringend Hilfe.
Habe die gleiche Frage bereits hier https://forum.fhem.de/index.php?topic=92636.msg903627#msg903627 (https://forum.fhem.de/index.php?topic=92636.msg903627#msg903627) gestellt, da ich dachte es käme von diesem Modul. Ist aber wohl doch nicht so.
Mir wird grad das Log zugemüllt und ich weiß nicht wie ich es abstellen kann:
SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: IP von meinem PC)
Hat alles funktioniert bis ich auf rereadPhonebook geklickt hatte.
Wäre für Hilfe und Infos, was ich noch liefern muss, sehr dankbar.
VG Dieter
Ok, Problem etwas eingekränzt.
Ich nutze Chrome. (Version 73.0.3683.27 (Offizieller Build) beta (64-Bit))
Jetzt habe ich es mit IE versucht und siehe da, keine Log Einträge mehr.
Wechsele ich zurück auf Chrome erhalte ich sofort wieder etliche Log Einträge.
Muss ich im Chrome etwas bestimmtes einstellen?
Vielleicht in Chrome dein selbst-erstelltes Zertifikat bestätigen
Zitat von: amenomade am 09 Februar 2019, 19:19:09
Vielleicht in Chrome dein selbst-erstelltes Zertifikat bestätigen
Danke für deine Info.
Würdest du mir auch verraten wie ich das mache?
Google hat mich jetzt noch nicht wirklich weitergebracht.
Edit: Und warum brauche ich das beim IE nicht?
Würde es helfen wenn ich das mal ausführe:
openssl req -new -x509 -nodes -out server-cert.pem -days 3650 -keyout server-key.pem
Habe nur Bedenken, dass ich was zerschieße und nicht mehr per web drauf komme.
Hallo,
ich habe mich jetzt auch daran versucht:
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle (https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle)
Leider auch ohne Erfolg.
Mag mir keiner Hilfe leisten?
Ich erhalte bei jedem "Klick" den ich in Chrome mache diese Meldung:
SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: IP von meinem PC)
Zitat von: dk3572 am 09 Februar 2019, 20:16:04
Danke für deine Info.
Würdest du mir auch verraten wie ich das mache?
Google hat mich jetzt noch nicht wirklich weitergebracht.
Edit: Und warum brauche ich das beim IE nicht?
https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikate/chrome
Danke dir.
Genau so habe ich es gemacht.
Wenn ich mir die Website-Informationen (Nicht sicher) anzeigen lasse, ist immer noch ein altes Zertifikat vorhanden.
Dieses finde ich nirgendwo um es zu löschen.
Mein neu erstelltes und importiertes sehe ich in den Einstellungen.
Was steht in /opt/fhem/certs/ ? Das alte oder das neue?
dort habe ich nichts geändert.
Ich habe mich an das Wiki gehalten und alles in /opt/fhem/certs/ca installiert.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle
(https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle)
Wie müsste ich jetzt weiter vorgehen?
Erstmal prüfen, ob es noch gültig ist (wenn Du aber nach Wiki gemacht hast, sollte er 10 Jahre gültig sein)
sudo openssl x509 -enddate -noout -in /opt/fhem/certs/server-cert.pem
Wenn Du auf "nicht sicher" in der URL Leiste von Chrome klicks, siehst Du nicht das Zertifikat von Chrome, sondern das Zertifikat, dass die Webseite dir vorstellt. Dieses kommt in dem Fall von Fhem.
Zeig mal ein sudo ls -la /opt/fhem/certs und gucke, ob das Datum der Dateien mit dem Datum im Zertifikat stimmt.
Dann musst Du dieses Zertifikat in Chrome in "Vertrauenswürdige Stammzertifizierungsstellen" importieren, wenn es nicht da sondern in einem anderen Reitersteht, . Siehe hier: https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Nachwort, insbesondere "bekannte Probleme". Ggf. musst Du dein Zertifikat signieren, bzw. ein neues erstellen.
Ssl 3.0 im Browser deaktivieren könnte auch helfen.
http://lexisnexis.custhelp.com/app/answers/answer_view/a_id/1084176/~/enable-or-disable-ssl-in-most-common-internet-browsers#2
Hallo,
musste eine kurze Zwangspause einlegen ;)
Ich habe jetzt nach dieser Anleitung alles Schritt für Schritt ausgeführt. Auch den Abschnitt "Bekannte Probleme".
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Bekannte_Probleme (https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Bekannte_Probleme)
Danach wie hier beschrieben die Dateien in den certs Ordner und Rechte entsprechen gesetzt.
https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS (https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS)
Im Anschluss die cacert.pem in Chrome importiert. Hier wird sie nun auch korrekt angezeigt.
In Chrome erhalte ich immer noch Zertifikat nicht gültig und in fhem bei jedem Klick
FHEMWEB SSL/HTTPS error: SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.xxx.xxx.xx)
SSL 3.0 in Chrome hatte ich auch deaktiviert.
Was mache ich noch falsch bzw. was muss ich ändern?
Danke für Hilfe und VG
Dieter
Da bin ich jetzt ratlos.
Das Client Zertifikat von deinem Browser wird nicht akzeptiert.
https://serverfault.com/questions/639837/openssl-s-client-shows-alert-certificate-unknown-but-all-server-certificates-app
Vielleicht musst Du irgendwelche Zertifizierungsstelle noch auf dem Server installieren... keine Ahnung.
Ist das Attribute modpath in der FHEMWEB Instanz richtig gesetzt? Hast Du vielleicht sslCertPrefix gesetzt? Ein "list" von der FHEMWEB Instanz würde vielleicht was zeigen.
Chrom ist mit den letzten Updates sehr hart im Bereich ssl geworden. Wenn Du wirklich ssl und CVhrome brauchst, würde ich Dir einen Proxy empfehlen, wie z.B. nginx. DANN kannst Du Dir erst sicher sein, das SSL und Zertifikate wirklich richtig implementiert sind.
Zitat von: amenomade am 19 Februar 2019, 18:59:53
Vielleicht musst Du irgendwelche Zertifizierungsstelle noch auf dem Server installieren... keine Ahnung.
Ist das Attribute modpath in der FHEMWEB Instanz richtig gesetzt? Hast Du vielleicht sslCertPrefix gesetzt? Ein "list" von der FHEMWEB Instanz würde vielleicht was zeigen.
Ist bereits installiert.
Wenn du modpath in global meinst, das ist gesetzt.
sslCertPrefix ist nicht gesetzt.
Zitat von: Wernieman am 19 Februar 2019, 19:02:54
Chrom ist mit den letzten Updates sehr hart im Bereich ssl geworden. Wenn Du wirklich ssl und CVhrome brauchst, würde ich Dir einen Proxy empfehlen, wie z.B. nginx. DANN kannst Du Dir erst sicher sein, das SSL und Zertifikate wirklich richtig implementiert sind.
Es wird doch immer zu ssl geraten ???
Proxy guck ich mir an. Zumindest von einem Reverseproxy wurde mir bereits abgeraten, da auf gleichen Server kein Sinn.
da auf gleichen Server kein Sinn.
Einspruch Euer Ehren ...
Und das heißt jetzt? Doch Reverseproxy?
Ich bin doch aber bestimmt nicht der Einzige der ssl mit Chrome verwendet.
Sollte also doch irgendwie möglich sein diese Meldungen weg zu bekommen.
Immer noch dankbar für Tipps
Dieter
Wegkriegen könnte man wahrscheinlich mit verbose level schaffen. Ich vermute, das ist ne level 3 Meldung?
So habe ich das jetzt auch wieder nicht gemeint ;)
Es muss doch eine Lösung geben?
Oder verwenden hier alle einen anderen Browser und kein ssl?
Ich benutze Firefox oder Chrome, mit ssl.
Ich habe die Meldung auch, die stört mich aber nicht...
Zumindest beruhigt mich das schon mal das ich nicht der Einzige bin und etwas falsch gemacht habe.
Schöner wäre allerdings eine Lösung des Problems ;)
Blöde Frage:
Wenn Du das gemacht hast: https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Bekannte_Probleme
was hast Du in my_subject_alt_names eingetragen?
Genau das. Ich habe den Inhalt 1:1 übernommen. Ist das etwa falsch?
Zitat von: dk3572 am 19 Februar 2019, 21:47:16
Genau das. Ich habe den Inhalt 1:1 übernommen. Ist das etwa falsch?
Eh... eigentlich ja. Wie rufst Du dein Fhem auf? Mit https://fhem01.tuxnet.local ?
Subject Alternative Names sind dafür gemeint, dass das Zertifikat auch für diese Namen gültig ist. Man kann auch IP Adressen dort eintragen.
Siehe https://www.digicert.com/subject-alternative-name.htm
Bevor Du das ganze wiederholst, kannst Du evtl testen. Wenn Du Fhem durch die IP Adresse aufrufst, mach einfach einen Eintrag in deiner hosts Datei (unter Windows c:\windows\system32\drivers\etc\hosts, unter Linux nw. /etc/hosts):
1.2.3.4 fhem01.tuxnet.local
1.2.3.4 natürlich durch die IP deines Fhem Servers ersetzen.
Dann versuch Fhem über diesen Name zu rufen, und guck, ob Du immer noch die Meldung hasts.
Ok, ich werde morgen testen.
Aber wenn das dann die Lösung sein sollte, warum hast du dann auch noch die Fehler Meldung?
Angenehme Nacht, melde mich Morgen wieder.
Dieter
Und danke für die Hilfe!
Weil ich mir den ganzen Kram bei der Erstellung des Zertifikats gespart habe ;)
Habe jetzt einen Hinweis im Wiki geschrieben...
Hallo und guten Morgen.
Ich habe alles neu angelegt.
Hier habe ich folgendes eingetragen:
Common Name (eg, YOUR name) []: 192.168.xxx.xx:8083
Email Address []: admin.fhem.local
Ist das auch richtig?
Die oats.extensions.cnf sieht so aus:
basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash
[ my_subject_alt_names ]
DNS.1 = 192.168.xxx.xx:8083
Das Zertifikat wird in chrome als "Nicht sicher" angezeigt.
Allerdings steht im Zertifizierungspfad unter Zertifizierungsstatus "Dieses Zertifikat ist gültig"
Die Fehlermeldungen kommen natürlich nach wie vor.
Noch was übersehen oder falsch eingetragen?
Danke und VG
Dieter
Es ist "nicht sicher", da es nicht zertifiziert ist. Chrome (und auch Firefox) glauben einem zertifikat erst dann,. wenn es von einer Gegenstelle geprüft wurde. DAS ist natürlich bei einem self-sighned-Zertifikat nicht möglich.
ok, das wäre dann schon mal gut.
Kannst du zu meinen Eintragungen auch was sagen?
Sind die so richtig? Oder muss ich die :8083 weg lassen?
So, mittlerweile habe ich auch das gefunden.
https://forum.fhem.de/index.php/topic,88971.0.html (https://forum.fhem.de/index.php/topic,88971.0.html)
Ich rufe die Fhem Seite von diesem PC (192.xxx.xxx.xx) mit https://192.xxx.xxx.xx:8083 oder mit https://intelnuc:8083 auf.
Was mus hier genau eingetragen werden?
basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash
[ my_subject_alt_names ]
DNS.1 = https://192.xxx.xxx.xx:8083
DNS.2 = https://intelnuc:8083
Und was muss hier genau stehen?
Common Name (eg, YOUR name) []: fhem.local
Email Address []: admin.fhem.local
Ich wäre für eine genaue Angabe sehr dankbar.
Immerhin habe ich das Zertifikat schon x-mal in verschiedenen Konstellationen neu erstellt
und ich weiß langsam nicht mehr welche Möglichkeit ich noch versuchen soll.
Danke und VG
Dieter
Der Port spielt keine Rolle, es muss nur die IP oder die URL angetragen werden.
Common name ist egal.
Zertifikat nicht sicher bedeutet, Du hast dein cacert nicht als autorisierte Zertifizierungsstelle integriert.
Es funktioniert so: der Server stellt ein Zertifikat vor, der Browser guckt in diesem Zertifikat was die Zertifizierungsstelle ist, ob diese von ihm als Zertifizierungsstelle vertraut wird, wenn dann ist das Zertifikat als gültig erklärt.
Wobei ich in dem Fall die Meldung von fhem nicht ganz verstehe. Es sieht so aus, ob wie FHem (und nicht der Browser) das Zertifikat als unsicher erklären würde. Deswegen jetzt die Frage: was sagt dein Browser? Wird die Fhem "Webseite" als unischer erklärt oder nicht?
Ja, wird als nicht sicher angezeigt.
OK, dann kann man doch daran arbeiten
Zitat von: amenomade am 20 Februar 2019, 20:41:10
Der Port spielt keine Rolle, es muss nur die IP oder die URL angetragen werden.
Common name ist egal.
Zertifikat nicht sicher bedeutet, Du hast dein cacert nicht als autorisierte Zertifizierungsstelle integriert.
Es funktioniert so: der Server stellt ein Zertifikat vor, der Browser guckt in diesem Zertifikat was die Zertifizierungsstelle ist, ob diese von ihm als Zertifizierungsstelle vertraut wird, wenn dann ist das Zertifikat als gültig erklärt.
Wobei ich in dem Fall die Meldung von fhem nicht ganz verstehe. Es sieht so aus, ob wie FHem (und nicht der Browser) das Zertifikat als unsicher erklären würde. Deswegen jetzt die Frage: was sagt dein Browser? Wird die Fhem "Webseite" als unischer erklärt oder nicht?
Ich bin ja wirklich dankbar für die Hilfe. Aber so langsam wird es immer dubioser.
Der Common name ist egal???? Was soll dann das hier im wiki bedeuten?
ACHTUNG, jetzt kommt das Wichtige: Beim Serverzertifikat ist der Common Name von entscheidender Bedeutung. Hier muss der DNS-Name stehen, unter dem der Client den Server anspricht! Wird das Zertifikat für eine HTTPS-Verbindung zu fhem.local verwendet, so muss der Common Name eben genau fhem.local heißen. Anderfalls wird der Browser das Zertifikat nicht akzeptieren, da er davon ausgehen muss, auf dem falschen Server gelandet zu sein.
Common Name (eg, YOUR name) []: fhem.local
Email Address []: admin.fhem.localUnd ich habe doch die für mich unverständlichen Punkte dargestellt und mit Einträgen vorbelegt.
Was mus hier genau eingetragen werden?
Code: [Auswählen]
basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash
[ my_subject_alt_names ]
DNS.1 = https://192.xxx.xxx.xx ==> stimmt das so?
DNS.2 = https://intelnuc ==> stimmt das so?Code: [Auswählen]
Common Name (eg, YOUR name) []: fhem.local ==> stimmt das so?
Email Address []: admin.fhem.local ==> stimmt das so?
Also...
Common Name ist normalerweise der FQDN wofür das Zertifikat gültig ist. Normalerweise ist da keine IP erlaubt (kann aber funktionieren)
Subject Alternative Names sind so zu sagen "Aliasse" für diesen FQDN und da sind IPs erlaubt.
Grunsätzlich solltest Du dann in Commonname den Namen des Fhem Rechners haben, wenn er tatsächlich einen Namen hat. Da die DNS Lösung zuerst local, dann auf der Box, und dann im Internet gemacht wird, hatte ich vorgeschlagen, deine hosts Datei zu ändern und dort deinem Fhem Rechner einen Namen mit der IP zu verbinden.
Das kann aber sein, dass deine Box selbst irgendwas wie "pi.fritz.box" oder "pi.speedport.ip" schon erkennt. Mach einfach auf deinem Client Rechner ein
nslookup 192.168.x.xmit der IP des Fhem Rechners. Wenn ein Name zurückkommt, dann trage den als Common Name ein (keine "https", kein ":port", NUR der Name). Und rufe Fhem durch "https://pi.fritz.box:8083". Wenn Du immer Fhem durch diesen Namen aufrufst, brauchst Du die Subject Alternative Names gar nicht.
Wenn Du willst kannst Du aber doch als alt. Name die IP immer noch eintragen. Dann wenn Du immer durch die IP gehst, ist es dann egal, was Du im Common Name hast.
Vorschlag: common name
pi.fritz.box oder ist.uns.egal
und oats.extensions:
basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash
[ my_subject_alt_names ]
DNS.1 = pi.fritz.box
DNS.2 = 192.168.x.x
Hallo,
sehr ausführlich und nun auch für mich als Laie halbwegs verständlich ;)
Und was soll ich sagen, nach deinen Angaben hat es jetzt tatsächlich funktioniert.
Kein "Nicht sicher" mehr im Browser, Zertifikat wird akzeptiert und vor Allem, Fehlermeldungen in fhem weg.
Nur über die IP klappt es nicht, obwohl ich sie als 3. Alternative eingetragen habe.
Sollte man evtl. im Wiki auch so beschreiben. Dann wäre es verständlicher.
Einzig beim Neustart von fhem bekomme ich noch diese 2 Meldungen:
FHEMWEB SSL/HTTPS error: SSL accept attempt failed (peer: 192.xxx.xxx.xx) ==> mein Windows PC
FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.xxx.xxx.xx) ==> der Intel Nuc auf dem fhem läuft
Also dann noch mal vielen Dank für deine Geduld und die Hilfe.
VG Dieter
Mein Schuld
IP sollte man nicht als DNS.x eintragen, sondern (natürlich - pff) als IP.x
Also:[ my_subject_alt_names ]
DNS.1 = pi.fritz.box
DNS.2 = name.2
DNS.3 = 3.name
...
IP.1 = 192.x.x.x
IP.2 = 10.x.x.x
...
In deinem Fall dann nur DNS.1 und IP.1
Ok, probiere ich evtl. aus. Geht ja auch so wunderbar.
Zu den beiden verbleibenden Fehlermeldungen keine Idee?
Wenn Du dabei bist, nimm doch noch IP.2 = 127.0.0.1
Kann hilfreich werden, wenn intern auf dem Nuc Fhem gerufen werden muss
Zitat von: dk3572 am 21 Februar 2019, 19:44:44
Ok, probiere ich evtl. aus. Geht ja auch so wunderbar.
Zu den beiden verbleibenden Fehlermeldungen keine Idee?
Kommt vielleicht vom fehlenden IP.1 oder IP.2
Nö, IP funktioniert jetzt auch, Fehlermeldungen beim Start kommen weiterhin.
ZitatFHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.xxx.xxx.xx) ==> der Intel Nuc auf dem fhem läuft
Diese kommt wahrscheinlich von etwas oder jemandem, der versucht, sich per http (nicht "s") zu verbinden. Hast Du eine UI Seite wie FTUI o.ä?
ja, FTUI habe ich.
Hast Du longpoll 1 oder websocket? Glaube, ich habe gelesen, dass websocket besser für Chrome wäre, aber das ist schon lange her.
Nutzt Du ein FTUISRV Device oder ein HTTPSRV Device in Fhem, um die FTUI Seiten zu zeigen?
Kriegst Du die Fehlermeldung wenn Du irgendwas in der UI änderst?
Irgendwo in der FTUI Umgebung könnte das Problem sein. Das kann aber andere Devices sein, oder ein externes Komponent, der mit http versucht... Keine Ahnung und ich bin bald am Ende meines Lateins ;)
Zitat von: amenomade am 21 Februar 2019, 21:49:40
Hast Du longpoll 1 oder websocket? Glaube, ich habe gelesen, dass websocket besser für Chrome wäre, aber das ist schon lange her. longpoll 1
Nutzt Du ein FTUISRV Device oder ein HTTPSRV Device in Fhem, um die FTUI Seiten zu zeigen? HTTPSRV
Kriegst Du die Fehlermeldung wenn Du irgendwas in der UI änderst? Nein
Irgendwo in der FTUI Umgebung könnte das Problem sein. Das kann aber andere Devices sein, oder ein externes Komponent, der mit http versucht... Keine Ahnung und ich bin bald am Ende meines Lateins ;)
Bald am Ende deines Lateins bedeutet, es wäre noch Luft ;D
Spaß beiseite. Vielleicht liest ja noch jemand mit der eine Idee hat.
Oder besser ein extra Thema eröffnen?
VG Dieter