SSL Verbindung zu Fhem mit Letsencrypt

Begonnen von golli, 07 Januar 2017, 18:50:58

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2 3 4 5 Alle
Benutzer-Aktionen

miosch82

#15
29 August 2017, 22:35:01
Hallo,
ich bin Anfänger im Bereich FHEM.
Ich habe alles nach der Videoanleitung gemacht und nun das Problem dass ich eine Fehlermeldung beim aufrufen der Seite im Browser von extern bekomme.
Es heißt:
Proxy Error

The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET /fhem.

Reason: Error reading from remote server

Was muss ich tun, damit es funktioniert?
Vielen Dank schon mal für eure Hilfe :-)

dtavb

#16
30 August 2017, 10:33:11
Hoi,
bin jetzt kein apache-Profi aber er meckert /fhem an.
Hast Du in Deiner apache-site config (File in dem Du die Umleitung zu fhem konfigurierst, müsste ja in der Vid-Anleitung erwähnt worden sein) "/fhem" als URL Aufruf definiert?
Sonst versucht apache einen Zugriff auf fhem, den dieser nicht kennt oder gar nicht reagiert (Stichwort "webname" in fhemweb-Instanz).
Grüsse
fhem:pi3&kvm, z-wave, it-funk, milight, zigbee, wifi, bt & presence, geo-tracking, alexa, esp.
Monitoring: ELK(syslog), grafana (grafik), netdata (ermittlung)
Security: haproxy (access), ossec (überall), snort (access), opnsense (fw)
Geplant: KVM-Cluster

Amenophis86

#17
31 August 2017, 00:12:45
miosch wie sieht deine conf datei aus? (Passwörter aus xxxen)
Aktuell dabei unser neues Haus mit KNX am einrichten. Im nächsten Schritt dann KNX mit FHEM verbinden. Allein zwei Dinge sind dabei selten: Zeit und Geld...

fiedel

#18
31 August 2017, 04:32:51
Mal was Generelles dazu: Ich hatte mich beim Aufstzen von NGINX bewusst gegen Letsencrypt und für ein selbst signiertes Zert. entschieden.
Letsencrypt ist aufwändiger einzurichten und der Vorteil der wegfallenden Sicherheitswarnung im Browser für Seitenbesucher kommt bei einer vorwiegend selbsgenutzen Loginseite wie FHEM nicht zum Tragen. Außerdem ist das LE- Zert. zeitlich begrenzt und muss regelmäßig erneuert werden. Also Leute - macht es euch selbst...  :-X ;D
FeatureLevel: 6.1 auf Wyse N03D ; Deb. 11 ; Perl: v5.14.2 ; IO: HM-MOD-RPI-PCB + VCCU|CUL 868 V 1.66|LinkUSBi |TEK603
HM: SEC-SCO|SCI-3-FM|LC-SW4-PCB|ES-PMSW1-PL|RC-4-2|SEN-MDIR-O|SEC-WDS-2
CUL: HMS100TF|FS20 S4A-2 ; OWDevice: DS18S20|DS2401|DS2406|DS2423

Wernieman

#19
31 August 2017, 08:14:40
NEIN .. letsencrypt ist supereinfach, vor allem auch beim NGINX. Und das regelmäßige erneuern kann (und sollte man) automatisieren.
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

drhirn

#20
31 August 2017, 08:56:16
Erstellen neuere Versionen des LE-Clients nicht gleich automatisch einen Cron-Job? Ich kann mich nämlich nicht erinnern, einen eingerichtet zu haben.

Wernieman

#21
31 August 2017, 09:06:38
Mhhh .. auf den hier vorliegenden Ubuntu-Servern jedenfalls nicht .. aber es ist trivial (=einfach) einen einzurichten.
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

andies

#22
31 August 2017, 10:05:18
@fiedel Was kostet das selbst generierte Zertifikat?


Gesendet von iPad mit Tapatalk Pro
FHEM 6.3 auf RaspPi4 (Raspbian:  6.6.28+; Perl: v5.36.0)
SIGNALduino (433 MHz) und HM-UART (868 MHz), Sonoff, Blitzwolf, Somfy RTS, CAME-Gartentor, Volkszähler, Keyence-Sensor, Homematic-Sensoren und -thermostat, Ferraris-Zähler für Wasseruhr, Openlink-Nachbau Viessmann

drhirn

#23
31 August 2017, 10:09:21
EUR 0,00.-

Wernieman

#24
31 August 2017, 11:23:00
Dafür hast DU Probleme beim Handyzugriff ....
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

dev0

#25
31 August 2017, 11:34:47
Auch wenn man das CA Zertifikat importiert?

andies

#26
31 August 2017, 11:59:21
Könnt Ihr das mal näher erläutern? Beim googlen habe ich nur Preise >100€ pro Jahr gesehen.


Gesendet von iPhone mit Tapatalk Pro
FHEM 6.3 auf RaspPi4 (Raspbian:  6.6.28+; Perl: v5.36.0)
SIGNALduino (433 MHz) und HM-UART (868 MHz), Sonoff, Blitzwolf, Somfy RTS, CAME-Gartentor, Volkszähler, Keyence-Sensor, Homematic-Sensoren und -thermostat, Ferraris-Zähler für Wasseruhr, Openlink-Nachbau Viessmann

dev0

#27
31 August 2017, 12:31:07
Selbst signierte Zertifikate erstellt man selbst, zB. mit openssl

Wernieman

#28
31 August 2017, 12:33:15
Wenn Du eine CA importierst, könne jemand mit genau der CA auch andere Zertifikate erstellen. Nicht ohne Grund warnt ein Androidhandy nach dem Import dieser CA bei JEDEM booten, das dieses Handy kompromitiert sein kann.

@andies
Siehe Web, z.B. http://wiki.nefarius.at/linux/eigenes_ssl-zertifikat_erstellen

In Zeiten von Letsencrypt würde ich dieses Vorgehen nicht mehr empfehlen. Nicht ohne Grund wird es in Hackerkreisen als "Snakeoil" bezeichnet
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

dev0

#29
31 August 2017, 14:50:37
ZitatNicht ohne Grund warnt ein Androidhandy nach dem Import dieser CA bei JEDEM booten, das dieses Handy kompromitiert sein kann.
Wenn man dieses Verhalten nicht abstellen kann, dann wird es in Konzernen mMn bald keine Adroid Mobilles mehr geben ;) Aber lass uns das nicht weiter ausführen, da hier offtopic.
Drucken
Nach oben Seiten 1 2 3 4 5 Alle
Benutzer-Aktionen