[gelöst] Offizielles Zertifikat für HTTPS einbinden

[drhirn]

Hi Elektrolurch,

eine Domain braucht eine fixe IP-Adresse! Anders kann es nicht funktionieren. Ausser du änderst die IP, die der Domain zugewiesen ist, jedes Mal, wenn sich deine IP ändert. Das ist etwas mühsam .

Und du kannst SSL Zertifikate nur für Domains erstellen, die dir gehören. Für osdddk.myfritz.net wirst du also leider keines bekommen.

Du kannst also nur ein selbstsigniertes Zertifikat für fhemserver.fritz.box erstellen (mit z.B. OpenSSL) und musst dann mit der Zertifikats-Warnung des Browsers leben.

Gruß
Stefan

[Agamemnon]

Dafür wird ein persönliches Zertifikat im Browser hinterlegt. Das sollte mit Vorsicht behandelt werden. Ansonsten kann jeder, der Zugriff auf den Browser hat, Zertifikate in deinem Namen ausstellen.

Das kann ich so nicht bestätigen!
Das Zertifikat wird im private store hinterlegt.
Das bedeutet, wenn mehrere Benutzer mit einem Computer arbeiten und diese auch wirklich unterschiedliche Benutzer am System sind (also alle einen eigenen Login haben), kann keiner auf die privaten Zertifikate des anderen zugreifen.

@Elektrolurch:
Wie Stefan schon schreibt, brauchst du eine eigenen Domänen Namen ("Domäne" war in meiner Anleitung wohl der falsche Ausdruck).
Auf dieses muss auch das zertifikat laufen.
Wenn du deine fhem Seite also zum Beispiel so aufrufst: das-ist-meine-domain.de:8083/fhem
Dann muss dein Zertifikat auf das-ist-meine-domain.de ausgestellt sein.

Für sowas wie osdddk.myfritz.net wird das in der Tat nicht gehen.

Statische IP ist nicht nötig. Habe auch keine, und der ddclient auf dem Raspi macht das sehr gut.

Gruß
Matze

[Elektrolurch]

Zitat:
Wenn du deine fhem Seite also zum Beispiel so aufrufst: das-ist-meine-domain.de:8083/fhem
Dann muss dein Zertifikat auf das-ist-meine-domain.de ausgestellt sein.

Wäre jetzt bei mir z.B. Speicherknecht:8083, aber für diesen Namen bekomme ich keine Mail.
Wenn ich das richtig verstanden habe, muss der Domänennamen über die Mailadresse verifiziert werden, oder?

Schon Mal Danke für die Info.

Elektrolurch

[herrmannj]

Wäre jetzt bei mir z.B. Speicherknecht:8083, aber für diesen Namen bekomme ich keine Mail

"Speicherknecht" ist keine domäne.

www.speicherknecht.de wäre eine.

vg
joerg

[drhirn]

Hi,

Wäre jetzt bei mir z.B. Speicherknecht:8083, aber für diesen Namen bekomme ich keine Mail.
Wenn ich das richtig verstanden habe, muss der Domänennamen über die Mailadresse verifiziert werden, oder?

Domains werden nicht zwingend über Mailadresse verifiziert. Es gibt z.B. auch die Möglichkeit, eine spezielle Datei auf dem Webserver zu hinterlegen, die dann von der Zertifizierungsstelle überprüft wird. Let's Encrypt wird das unter anderem so machen.

Grundsätzlich besteht eine gültige Domain aber zwingend aus einem Namen ("Second-Level-Domain" z.B. speicherknecht) und einer Top-Level-Domain (z.B. de). Und dann können noch Third-/Fourth-/etc.-Domains (Sub-Domains) hinzugefügt werden (z.B. www).
Auf Wikipedia ist das ganz gut erklärt: https://de.wikipedia.org/wiki/Domain_%28Internet%29

Auf diese Domain kannst du dir dann ein SSL-Zertifikat ausstellen lassen.

Gruß
Stefan

[drhirn]

Das kann ich so nicht bestätigen!
Das Zertifikat wird im private store hinterlegt.
Das bedeutet, wenn mehrere Benutzer mit einem Computer arbeiten und diese auch wirklich unterschiedliche Benutzer am System sind (also alle einen eigenen Login haben), kann keiner auf die privaten Zertifikate des anderen zugreifen.

Ist natürlich korrekt. Und jetzt mal ehrlich: Wie viele Familien kennst du, die (unter Windows) unterschiedliche Benutzeraccounts für einen gemeinsam genutzten PC verwenden?

[ManfredC]

Statische IP ist nicht nötig. Habe auch keine, und der ddclient auf dem Raspi macht das sehr gut.

Wie löst man das wenn dyndns und Konsorten nicht funktionieren?

Grüße,

Manfred

[drhirn]

ddclient

Kannte den bis zu dem Hinweis von Matze auch nicht. Wäre aber wohl einen Versuch wert.

[ManfredC]

ddclient

Kannte den bis zu dem Hinweis von Matze auch nicht. Wäre aber wohl einen Versuch wert.

Hm, das ist doch nur der Client für dyndns und Konsorten.

DDclient is a Perl client used to update dynamic DNS entries for accounts on Dynamic DNS Network Service Provider. It was originally written by Paul Burry and is now mostly by wimpunk. It has the capability to update more than just dyndns and it can fetch your WAN-ipaddress in a few different ways. Check the configuration pages to find how to do this.

den braucht man falls man keinen Router hat der das schon eingebaut hat. Aber welcher Nameserver-Dienst hostet denn Domains mit dynamischen IPs und funktioniert mit startssl?

-Manfred

[Agamemnon]

Hallo,
erstmal sorry, das ich mich so lang hier nicht mehr gemeldet habe...

Hier wird irgendwie einiges durcheinander geworfen:
Meine Domäne wird nirgends "gehostet". Die Daten liegen alle auf meinem Raspi bei mir im Keller.
Das einzige was ich offiziell habe ist der Domänen Name. Den habe ich für kleines Geld bei Strato erworben.
Mein ddclient aktualisiert meine IP bei Strato. Das ist nicht weiter schwierig.
Ja, ein ordentlicher Router kann das selber machen, aber mein misst Vodafon Ding kann das leider nicht.

Für diese ganz offizielle Second-Level-Domain habe ich mir bei StartSSL ein Zertifikat ausstellen lassen und wie beschrieben eingebunden.

Ist natürlich korrekt. Und jetzt mal ehrlich: Wie viele Familien kennst du, die (unter Windows) unterschiedliche Benutzeraccounts für einen gemeinsam genutzten PC verwenden?

Ich kenne das nur so! Ansonsten herscht doch bei mehreren Anwendern sofort Chaos auf dem Rechner. 

Gruß
Matze

[Nepumuk4321]

Hallo,
Eine Frage habe ich noch: ich habe eine Subdomain auf meine Heim-ip umgeleitet ( auch bei Strato). Welche Domain gebe ich jetzt bei Startssl an, die Hauptdomain oder die Subdomain ?



Gruß
Frank

[drhirn]

Das ist jetzt eine gute Frage, deren Antwort länger werden könnte

Kurz: Nimm die Subdomain

[ManfredC]

Moin,

Hier wird irgendwie einiges durcheinander geworfen:
Meine Domäne wird nirgends "gehostet". Die Daten liegen alle auf meinem Raspi bei mir im Keller.
Das einzige was ich offiziell habe ist der Domänen Name. Den habe ich für kleines Geld bei Strato erworben.

"gehostet" ist sicher der falsche Ausdruck. Man braucht einen Nameserver der die IP der Domäne auflösen kann. Ich kenne das so dass man dazu eben dyndns, myip etc. pp. benutzt. Und dafür geht startssl nicht. Ich habe noch Domains bei United Domains registriert, die derzeit nicht in Verwendung sind. Dann muss ich mal schauen ob es dort eine Möglichkeit gibt den Nameserver mit ddclient upzudaten und das Update dann auch in akzeptabler Zeit erfolgt.

-Manfred

[Nepumuk4321]

Das ist jetzt eine gute Frage, deren Antwort länger werden könnte

Kurz: Nimm die Subdomain

Danke! Wenn doch nur alle Antworten so einfach und verständlich wären 

Gruß
Frank

[drhirn]

Ich habe noch Domains bei United Domains registriert, die derzeit nicht in Verwendung sind. Dann muss ich mal schauen ob es dort eine Möglichkeit gibt den Nameserver mit ddclient upzudaten und das Update dann auch in akzeptabler Zeit erfolgt.

Ich hab auf die Schnelle nichts bzgl. United Domains und ddclient gefunden. Im schlimmsten Falle kannst du ja einen Domain Transfer in Betracht ziehen.