SSL Verbindung zu Fhem mit Letsencrypt

golli · 07 Januar 2017, 18:50:58

Hallo,
würde gerne eine SSL Verbindung mit meinem Fhem auf einem Raspberry Pi 3 realisieren. Habe es nach diesem Video eingerichtet:
https://www.youtube.com/watch?v=WdQVeLY9OJI
Als Domain die von myFritz genommen. Wenn ich nun die Seite aufrufe, kann ich mich mit Benutzername und Passwort zwar authentifizieren, erhalte dann aber folgende Fehlermeldung.

Code Auswählen

[code]Fehlermeldung Fhem log:
FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

Code Auswählen

Fehlermeldung Browser: 
Proxy Error
The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET /fhem.
Reason: Error reading from remote server
Apache/2.4.10 (Raspbian) Server at xxxxxxxxxxxxxxxx.myfritz.net Port 443

rudolfkoenig · 07 Januar 2017, 18:58:21

Bis jemand speziell fuer FHEM eine Letsencrypt Anleitung baut, wuerde ich Apache davorschalten, und FHEM per Proxy Anweisung in der Apache Konfiguration verbinden. Apache mit einem letsencrypt Zertifikat zu versehen ist trivial (letsencrypt --apache -d mydomain.de).

golli · 07 Januar 2017, 20:01:10

Die Anleitung nimmt einen Apache davorgeschaltet. Aber ich bekomme die Fehlermeldung.

rudolfkoenig · 07 Januar 2017, 20:05:53

Die Apache -> FHEM Verbindung muss nicht verschluesselt laufen. Das geht z.Bsp. so

Code Auswählen

ProxyPass        /fhem  http://localhost:8083/fhem
ProxyPassReverse /fhem  http://localhost:8083/fhem

golli · 07 Januar 2017, 20:19:51

Ja habe ich so konfiguriert:

Code Auswählen


<Location /fhem>
        ProxyPass http://localhost:8083/fhem
        ProxyPassReverse http://localhost:8083/fhem
</Location>

raimundl · 07 Januar 2017, 20:20:15

Zitat von: rudolfkoenig am 07 Januar 2017, 18:58:21
Bis jemand speziell fuer FHEM eine Letsencrypt Anleitung baut, wuerde ich Apache davorschalten, und FHEM per Proxy Anweisung in der Apache Konfiguration verbinden. Apache mit einem letsencrypt Zertifikat zu versehen ist trivial (letsencrypt --apache -d mydomain.de).

Funktioniert Letsencrypt auch, wenn die oben angeführte "mydomain.de" eine DYNDNS Adresse ist?
LG

golli · 07 Januar 2017, 20:22:36

Zitat von: raimundl am 07 Januar 2017, 20:20:15
Funktioniert Letsencrypt auch, wenn die oben angeführte "mydomain.de" eine DYNDNS Adresse ist?
LG

DYNDNS wird leider nicht unterstützt.

eisler · 07 Januar 2017, 20:26:45

Sollte eigentlich funktionieren wenn die Domain in der Public Suffix List https://publicsuffix.org/list/public_suffix_list.dat steht.

raimundl · 07 Januar 2017, 20:35:13

Zitat von: eisler am 07 Januar 2017, 20:26:45
Sollte eigentlich funktionieren wenn die Domain in der Public Suffix List https://publicsuffix.org/list/public_suffix_list.dat steht.

Hallo Danke,

in genannter Liste gibt es den Eintrag "ddns.net" und meine NO-IP Adresse lautet "xxxxxxxxx.ddns.net". Also könnte es funktionieren. Hast du vielleicht noch ein paar Hinweise, Tipps.

LG

raimundl · 10 Januar 2017, 16:03:12

Hallo,

möchte gerne bestätigen, dass es mit einer dynamischen IP von NO-IP funktioniert!

Für jene die es noch installieren wollen, so hat meine Eingabe am Raspi3 gelautet:

sudo ./letsencrypt-auto -d (xxxNO-IP-Adressexxx) --apache -m (mailadresse@xxxxxxx.com) --redirect --agree-tos

ohne Klammern () mit den eigenen Daten ergänzen.

LG

raimundl · 10 Januar 2017, 17:18:47

Code Auswählen

<Location /fhem>
        ProxyPass http://localhost:8083/fhem
        ProxyPassReverse http://localhost:8083/fhem
</Location>

Auch dieser Eintrag funktioniert!

Wenn ich nun 2 Raspi's mit fhem im Heimnetz laufen habe und auf beide von außen über den Apache Server gesichert zugreifen will, wie müsste dann obiger Eintrag lauten.

Danke und LG

Bapt. Reverend Magersuppe · 11 Januar 2017, 12:52:57

Du musst dann 2 Locations angeben auf die Du im ProxyPass verweist.

ing.robby · 30 Januar 2017, 21:21:52

Hallo,

ich habe noch eine Frage dazu.

Wenn ich über den apache letsencrypt laufen lasse und über no-ip dyndns auf meinen RasPi zugreife. Ist das dann eine sichere Verbindung oder weißt diese Methode doch Sicherheitslücken auf?

Ich habe auch das eingangs erwähnte tutorial gesehen und versucht, nur leider gibt es kaum einen Anbieter, die subdomans mit dyndns anbieten und letsencrypt unterstützen...

Gruß Robby

drhirn · 31 Januar 2017, 13:15:57

Zitat von: robby_ing am 30 Januar 2017, 21:21:52Wenn ich über den apache letsencrypt laufen lasse und über no-ip dyndns auf meinen RasPi zugreife. Ist das dann eine sichere Verbindung oder weißt diese Methode doch Sicherheitslücken auf?

Der Verkehr von Client zu Server ist verschlüsselt. Unabhängig davon, ob da dyndns läuft, oder nicht. Ob die Methode Sicherheitlücken aufweist, hängt eher davon ab, wie du Apache konfiguriert hast.

ZitatIch habe auch das eingangs erwähnte tutorial gesehen und versucht, nur leider gibt es kaum einen Anbieter, die subdomans mit dyndns anbieten und letsencrypt unterstützen...

Du kannst ja auch selbst-signierte Zertifikate verwenden. Gibt zwar eine Browser-Warnung, ändert aber nichts an der Verschlüsselung des Traffics.

Wernieman · 31 Januar 2017, 14:12:31

Du solltest jetzt aber berücksichtigen, das Dein apache und fhem komplett aus dem Netz erreichbar ist. Ich würde Dir empfehlen, es zusätzlich mit einem Passwort zu schützen. Am besten beim apache, also so früh wie mögich

SSL Verbindung zu Fhem mit Letsencrypt

golli

golli

golli

golli