[gelöst] Offizielles Zertifikat für HTTPS einbinden

Begonnen von Agamemnon, 01 November 2015, 11:41:09

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2 3 Alle
Benutzer-Aktionen

Lafarik

#30
06 Dezember 2015, 13:05:25
Hallo zusammen!

Letsencrypt hat ja schon die öffentliche Beta gestartet (https://goo.gl/Havj5R).
Hat es einer zufällig schon ausprobiert?
Gruß,
Lafarik
FHEM,FritzDECT,Z-Wave,LaCrosse,MQTT2,ConBeeII,ZigBee,EnOcean,Sonoff 4CH,NanoLeaf,LD382A,Sonos,Synology,IPCam,eBus3.0

drhirn

#31
07 Dezember 2015, 13:45:33
Hi,

ja, gerade eben auf einem Debian System mit nginx. Für nginx muss man's zwar derzeit noch manuell machen, funktioniert aber trotzdem wunderbar.
Wenn man sich hier eine SSL Konfiguration erstellen lässt bekommt man bei den SSL Labs sogar ein schönes A+
Wie das mit dem automatischen Renew funktioniert, kann ich dann in drei Monaten berichten ;).

Gruß
Stefan

harvey1988

#32
09 August 2016, 20:59:20
Hallo zusammen,

habe gerade die Anleitung mit StartSSL befolgt.
FHEM startet auch wieder, aber leider greift das Zertifikat nicht.
Ich bekomme immer noch eine Warnung.
Hat sich hier in der Zwischenzeit noch etwas verändert?

Vielen Dank im vorraus.

herrmannj

#33
10 August 2016, 00:56:58
welche Warnung ?
welche adresse genau rufst Du im browser auf ?

vg
joerg

harvey1988

#34
10 August 2016, 09:07:43
Also meine Konstellation:
FritzBox -> Raspberry mit FHEM
Öffentliche Domain über INWX, updatet sich automatisch übe die XML Schnittstelle.
Zertifikat über StartSSL regisitiert und wie hier beschrieben eingespielt.

SSLlabs.com sagt: This server's certificate is not trusted, see below for details.
Grund: Common Names: Mismatch
Er zeigt hier nur die IP an, und keinen Namen an.

Im Browser rufe ich https://fhem.domainname.tech:Port
Wobei Domainname meine Domain ist.

Vielen Dank

Wuppi68

#35
10 August 2016, 17:11:45
das kannst Du über einen Umweg machen :-)

Du definiert bei United Domains einen CNAME Eintrag, der auf Deinen Eintrag zb. meineFritte.myfritz.org oder irgendwinandererpc.noip.org und diese A-Einträge kannst Du dann entsprechend mit dem Dyndns Client dynamisch anpassen lassen.
Wichtig ist nur für das Zertikat, dass dein Server mit dem Namen antwortet auf den es angestellt ist

Beispiel: (rein fakultativ)

FHEM Rechner: speicherknecht
Domain: Elektrolurch.de

dann definiert Du bei UD in den DNS Einstellungen einen CNAME Eintrag für speicherknecht.elektrolurch.de der auf Elektrolurch.noip.org zeigt
Elektrolurch.noip.org wird dann durch den ddnsclient aktualisiert
Jetzt noch eine Mailadresse webmaster oder postmaster@elektrolurch zur Verfügung stellen
und Du kannst bei StartSSL ein Zertifikat für speicherknecht.elektrolurch.de ausstellen und bei Dir auf dem FHEM Rechner installieren
Wenn Du eine Portweiterleitung auf deinen Router eingerichtet hast, dann kannst Du es mit https://speicherknecht.elektrolurch.de:8083/ mit fhem testen

der FHEM Rechner sollte dann auch als FQDN speicherknecht.elektrolurch.de haben

viel Erfolg

Ralf
FHEM unter Proxmox als VM

harvey1988

#36
11 August 2016, 11:56:24
Hallo,

ich habe ja schon eine inwx domain die dynamisch auf meine "FritzBox WANIP" geupdatet wird.
Hierfür lasse ich alle 5 Minuten einen crontab am Raspberry laufen, der dieses Update dann durchführt.

Nun habe ich mir bei start ssl für meine Domain ein Zertifikat erstellt und auch auf der Fritzbox die Portweiterleitung aktiviert.
Ich habe jetzt einen A Eintrag in den DNS Einstellungen erstellt, der nach oben genannter Methode immer auf die richtige IP verweist.
Dieser lautet FHEM.Domain.de:port
Nur das Zertifikat greift leider nicht. Der Balken im Browser bleibt rot.

Vielen Dank im voraus

herrmannj

#37
11 August 2016, 16:32:58
überprüfe ob Dein Zertifikat auch auch exakt FHEM.Domain.de ausgestellt ist.
Wenn Du die Seite aufrufst dann musst Du FHEM.Domain.de:port eintippen.

ansonsten Servertest via https://www.ssllabs.com/ssltest/index.html und Ergebnis posten.

vg
joerg

Agamemnon

#38
23 Dezember 2016, 09:27:42
Hallo zusammen,
da ich gerade per privater Nachricht eine Frage erhalten habe, hier die Antwort für alle:
StartSSL hat seit meiner Anleitung wohl das Vorgehen etwas geändert.
Die benötigte pem Datei kann man sich nun aus der Liste der Zertifikate herunter laden (siehe Anhang).

Gruß
Matze
Raspberry Pi / CULV3 und JeeLinkLaCrosse
MAX Thermostat
LaCrosse TX29DTH

drhirn

#39
23 Dezember 2016, 10:18:47
StartSSL wurde inzwischen von WoSign (China) übernommen. Beide haben Zertifikate ausgestellt, die sie nicht ausstellen hätten dürfen. Die CAs sind also nicht mehr als vertrauenswürdig einzustufen. Ich würde daher auf einen Einsatz verzichten und nur noch Let's Encrypt verwenden.

dk3572

#40
27 März 2017, 20:08:03
Hallo,
ich habe bei Strato eine Domain. In der Fritz Box habe ich bei Dyndns die Strato Daten eingetragen. Ich möchte per letsencrypt ein Zertifikat erstellen und auf Ubuntu einen Reverse Proxy einrichten. Was muss ich bei Strato alles eintragen /einstellen? SSL? DNS-Einstellungen? A-Rekord?
Habe jetzt schon Tage damit verbracht und Anleitungen gelesen, raffe's aber nicht.
Wäre für Hilfe dankbar.
Gruß Dieter

Nepumuk4321

#41
15 April 2017, 20:10:08
Soweit ich weiß, wird Strato von letsencrypt noch nicht unterstützt. Strato wird da wohl wenig Interesse haben, weil sie lieber ihre eigenen Zertifikate verkaufen.

Gesendet von meinem Redmi Note 3 mit Tapatalk

FHEM@RPI2, HMUSB; Keymatic;Thermostate (HM-CC-RT-DN); Rolladenaktoren(HM-LC-BI1PBU-FM); 2xConfig-Firmata@ArduinoUno mit Relaisausgängen und DS18B20;Schaltaktor(HM-LC-SW1-BA-PCB); Rauchmelder(HM-SEC-SD); ArduinoNano+ nRF24L01 MySensors;   FHEM@RPI1 als Teststation mit RF1101se@ArduinoNano.....

Nepumuk4321

#42
26 Februar 2018, 15:46:27
Hallo,

falls es noch jemanden interessiert. Hier die Lösung zur Verwendung von Letsencrypt und Strato als DynDNS Dienst.

Im Strato User Account unter Domains-Domainverwaltung die (Sub-) Domain auswählen die man umleiten möchte. auf Verwalten klicken->DNS-Verwaltung -Dynamic DNS -Verwalten
dann nur "DynDNS aktiviert" häckchen setzen- fertig.   
Unter Sicherheit-Passwörter das "Dynamic DNS Passwort" festlegen.   Es sind keine weiteren Änderungen notwendig.

In der Fritzbox als DynDNS dienst Strato wählen und Domainnamen und StratoDynDNS-Passwort angeben.
Port 80 und Port 443 extern an Port 80 und 443 intern des Rechners weiterleiten, auf dem Letsencrypt laufen soll. Das ist wichtig, weil im Laufe der Registrierung bei letsencrypt die Erreichbarkeit der (umgeleiteten) Domain geprüft wird. Das heißt der Rechner muss über Port 80 und 443 erreichbar sein.

Zur Einrichtung von Letsencrypt mit Nginx ReverseProxy auf einem RaspberryPi ist diese Anleitung ganz hilfreich: https://blog.doenselmann.com/nginx-und-lets-encrypt-auf-raspberry-pi/


Es geht auch ohne Reverse Proxy, dann muss man allerdings die von letsncrypt ereugten Zertifikate von Hand in den Ordner /opt/fhem/certs kopieren und auch umbenennen.

Gruß
Frank
FHEM@RPI2, HMUSB; Keymatic;Thermostate (HM-CC-RT-DN); Rolladenaktoren(HM-LC-BI1PBU-FM); 2xConfig-Firmata@ArduinoUno mit Relaisausgängen und DS18B20;Schaltaktor(HM-LC-SW1-BA-PCB); Rauchmelder(HM-SEC-SD); ArduinoNano+ nRF24L01 MySensors;   FHEM@RPI1 als Teststation mit RF1101se@ArduinoNano.....

Morgennebel

#43
26 Februar 2018, 15:52:22
Ihr macht das aber alle umständlich... :)

https://certbot.eff.org/ - OS und WebServer auswählen (geht sogar für Devuan), die apt-Quelle hinzufügen, certbot installieren.

Der Rest geht eigentlich alleine. Certbot modifiziert die Apache/NGINX/... Konfig, testet die Erreichbarkeit via Port 80/443 und bei Erfolg wird ein Zertifikat erstellt und HTTP auf HTTPS umgeschubst. Das ganze dauert keine 3 Minuten. Und die automatische Erneuerung des Zertifkates erledigt der mitinstallierte Cronjob...

Ciao, -MN
Einziger Spender an FHEM e.V. mit Dauerauftrag seit >= 24 Monaten

FHEM: MacMini/ESXi, 2-3 FHEM Instanzen produktiv
In-Use: STELLMOTOR, VALVES, PWM-PWMR, Xiaomi, Allergy, Proplanta, UWZ, MQTT,  Homematic, Luftsensor.info, ESP8266, ESERA
Drucken
Nach oben Seiten 1 2 3 Alle
Benutzer-Aktionen