HTTPS - beliebiger Pfad für Zertifikat u. Key angeben

drhirn · 11 Oktober 2023, 15:15:38

Hallo,

wäre es unter Umständen möglich, dass man in FHEMWEB zwei verschiedene Attribute für Zertifikat und PrivateKey haben könnte (statt sslCertPrefix)? Und die Pfade und Dateinamen frei wählbar sind? Wenn nichts gesetzt ist, läuft's wie gehabt.

Dann wäre nämlich die Einbindung von Let's Encrypt Zertifikaten super einfach. Glaub ich.

Gruß
Stefan

PatrickR · 11 Oktober 2023, 15:19:36

Hi!

Auch wenn Deine Frage in eine andere Richtung geht: Helfen Dir ggf. auch Symlinks?

Patrick

rudolfkoenig · 11 Oktober 2023, 15:20:10

ZitatDann wäre nämlich die Einbindung von Let's Encrypt Zertifikaten super einfach.

Wenn ich dafuer ein HOWTO sehe, koennen wir darueber reden

drhirn · 11 Oktober 2023, 16:25:26

Zitat von: PatrickR am 11 Oktober 2023, 15:19:36Auch wenn Deine Frage in eine andere Richtung geht: Helfen Dir ggf. auch Symlinks?

Habe ich versucht und noch Lese-Rechte für den Key gesetzt, hat aber nicht geklappt.

Zitat von: rudolfkoenig am 11 Oktober 2023, 15:20:10Wenn ich dafuer ein HOWTO sehe, koennen wir darueber reden

Wir sind sowas von im Geschäft!

Dummerweise setzt Let's Encrypt die Rechte auf den Key so, dass nur root lesen darf. Aber das kann man ja lösen, wird nur komplizierter.

ZitatFor historical reasons, the containing directories are created with permissions of 0700 meaning that certificates are accessible only to servers that run as the root user. If you will never downgrade to an older version of Certbot, then you can safely fix this using chmod 0755 /etc/letsencrypt/{live,archive}.

For servers that drop root privileges before attempting to read the private key file, you will also need to use chgrp and chmod 0640 to allow the server to read /etc/letsencrypt/live/$domain/privkey.pem.

drhirn · 11 Oktober 2023, 16:33:37

Moment mal. Kommando zurück!

Das mit den Symlinks geht doch. Wenn man nämlich die Rechte so ändert, wie ich oben zitiert habe. Ich weiß jetzt nur nicht, wie schlau das ist, wenn jeder den Key lesen kann.

Ich schreib morgen mal zusammen, was ich gemacht habe (Debian/Ubuntu), dann können das andere auch testen. Und wenn's passt, gibt's ein HOWTO.

betateilchen · 11 Oktober 2023, 16:48:58

Nur mal interessehalber:

Was ist denn so speziell an letsencrypt Zertifikaten, dass man da solche Kopfstände veranstalten möchte?

Meine FHEM Installationen laufen alle als subdomains mittels reverse proxy auf einem Apache, da sind die letsencrypt Zertifikate wie üblich in den vhosts eingebunden und funktionieren problemlos - und einfach.

drhirn · 11 Oktober 2023, 17:26:15

Naja. Zum einen laufen bei mir auch etliche Services hinter einem Reverse-Proxy (Traefik). Aber FHEM zickt da hin und wieder (Readings werden in FHEMWEB nicht aktualisiert, FTUI verliert die Verbindung, etc.). Ich wollte daher ausprobieren, ob das bei einer direkten Verbindung auch so ist.

Zum anderen ist das Aufsetzen eines Reverse-Proxies jetzt auch nicht was, was man als Linux-Unwissender schnell mal macht. Gibt ja immer wieder genug Probleme hier im Forum zu betrachten.

Zum dritten: Je einfacher die Verwendung/Einrichtung von HTTPS wird, desto eher wird's verwendet. Das hat Let's Encrypt ja eindrucksvoll bewiesen.

betateilchen · 11 Oktober 2023, 17:31:20

Zitat von: drhirn am 11 Oktober 2023, 17:26:15Zum dritten: Je einfacher die Verwendung/Einrichtung von HTTPS wird, desto eher wird's verwendet.

Durch die Einführung neuer Attribut und die Notwendigkeit, Pfade anzugeben, Symlinks zu verwenden und Rechte anzupassen wird aber nicht wirklich etwas einfacher. Es werden einfach zusätzliche, für mich überflüssige, Fehlerquellen geschaffen, die User verwirren und hier im Forum zusätzlich supported werden müssen.

Zitat von: drhirn am 11 Oktober 2023, 17:26:15Zum anderen ist das Aufsetzen eines Reverse-Proxies jetzt auch nicht was, was man als Linux-Unwissender schnell mal macht.

Einem Linux-Unwissenden werden auch neue Attribute und zusätzliche Pfadangaben nix einfacher machen.
Für das Aufsetzen eines Reverse Proxy kann man einfach eine Vorlage verwenden, dann ist das relativ schnell erledigt.

Zitat von: drhirn am 11 Oktober 2023, 17:26:15Aber FHEM zickt da hin und wieder (Readings werden in FHEMWEB nicht aktualisiert, FTUI verliert die Verbindung, etc.)

Solche Effekte kann ich hier nicht bestätigen.

drhirn · 11 Oktober 2023, 17:45:00

Zitat von: betateilchen am 11 Oktober 2023, 17:31:20Durch die Einführung neuer Attribut und die Notwendigkeit, Pfade anzugeben, Symlinks zu verwenden und Rechte anzupassen wird aber nicht wirklich etwas einfacher.

Muss man ja nicht. Wenn nichts angegeben wird, wird's wie bisher automatisch in /opt/fhem/certs gemacht. Hab ich ja geschrieben.
Aber wenn das mit den Symlinks wirklich klappt, ist's eh hinfällig.

Zitat von: betateilchen am 11 Oktober 2023, 17:31:20Solche Effekte kann ich hier nicht bestätigen.

Das freut mich für dich

drhirn · 12 Oktober 2023, 15:55:54

Zitat von: rudolfkoenig am 11 Oktober 2023, 15:20:10Wenn ich dafuer ein HOWTO sehe, koennen wir darueber reden

Wie schon erwähnt, Änderung ist nicht nötig.
Entwurf eines HOWTOs ist trotzdem da: https://wiki.fhem.de/wiki/Benutzer:Drhirn

Ich bin halt schon ein bisschen betriebsblind. Kann also gut sein, dass das alles nicht sonderlich verständlich ist. Aber ist ja nur ein Entwurf.

Wäre natürlich auch praktisch, wenn ein paar Leute ausprobieren könnten, ob das bei ihnen auch so funktioniert. Dazu müsste das dann aber wohl in einen anderen Thread.