[Gelöst] Wiki: FHEM mit SSL-Zertifizierungsstelle

[ChHerrm]

Hallo zusammen,
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle

Erstmal vorab mein Problem:
Ich verstehe an diesem Wiki den letzten Eintrag bzgl. der anderen Herangehensweise bei Chrome nicht. Was genau muss ich in die oats.extensions.cnf eintragen?

Code Auswählen Erweitern


basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names --> den "Common name" wie es in den Abfragen bei der Zertifizierung heißt?
subjectKeyIdentifier = hash --> Keine Ahnung was hier hin soll

[ my_subject_alt_names ] --> die eckigen Klammern sollen genau so bleiben oder sind das hier nur Platzhalter?
DNS.1 = fhem01.tuxnet.local --> die IP-Adresse meines FHEMs?
DNS.2 = fhem02.tuxnet.local --> kann das entfallen?
DNS.3 = fhem01-vpn.tuxnet.local --> kann das entfallen?



Hier noch ein paar Randinfos:
Ich habe, gemäß der Anleitung am Ende die Dateien serverkey servercert cacert und cakey. Von dem Zertifizierungs-Gebastel-Ordner habe ich die serverkey.pem und servercert.pem in den Ordner /opt/fhem/certs/ kopiert und in server-key.pem und server-cert.pem umbenannt.
In FHEM habe ich die folgenden Zeilen hinzugefügt:

Code Auswählen Erweitern


attr WEB sslVersion TLSv12:!SSLv3
attr WEB HTTPS 1


Firefox ist damit zufrieden und setzt das grüne Schloß nach dem Import. Bei Chrome sieht es aber deutlich schlechter aus. Problem: siehe oben.


Ich hoffe, dass mir jemand auf die Sprünge helfen kann Firefox nutze ich normalerweise nicht, daher bin ich schon auf den letzten Schritt des Wikis angewiesen. Bitte um Hilfe!

[CoolTux]

Code Auswählen Erweitern


subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

Das einfach so lassen. Du fäst bitte nur den unteren Teil an.

Code Auswählen Erweitern




[ my_subject_alt_names ] --> natürlich lässt Du das so
DNS.1 = fhem01.tuxnet.local --> die IP-Adresse meines FHEMs? Nein der DNS Name, steht ja auch so da.
DNS.2 = fhem02.tuxnet.local --> kann das entfallen? Ja wenn du nur einen DNS für das Server Cert hast.
DNS.3 = fhem01-vpn.tuxnet.local --> kann das entfallen? Siehe oben


[ChHerrm]

Danke für deine Antwort, ich bin gerade erst zum Ausprobieren gekommen.
Ich habe den letzten Versuch gelöscht und deine Anleitung nochmal von vorne abgearbeitet - Chrome ist aber noch immer nicht einverstanden. Als DNS habe ich nur drin "DNS.1=MeinName". Chrome erkennt meine FHEM-Seite aber nicht an. Ich importiere in Chrome unter "Zwischenzertifizierungsstellen" die server-cert.pem in die /opt/fhem/certs liegt, richtig?
Was kann dort denn noch falsch gelaufen sein? Der Vorgang an sich lief gut, keine Fehlermeldungen o.Ä.

[CoolTux]

Du musst das CA Zertifikat File in Chrome importieren, nicht das Server Zertifikat. Probier mal.

[rudolfkoenig]

Du musst das CA Zertifikat File in Chrome importieren, nicht das Server Zertifikat.

Wenn meine begrenzten Kenntnisse mich nicht taeuschen, dann sollte das egal sein.

Als DNS habe ich nur drin "DNS.1=MeinName".

Wichtig ist, im Browser https://MeinName:<port>/... anzugeben.

[CoolTux]

Jein. Wenn es nur um den einen Server geht hast du Recht. Aber wenn du 2-3 ansurfst mit unterschiedlichen Server Zertifikaten dann nimmst du das CA File in die Zertifizierungsliste

[CoolTux]

Was Du machen kannst

Code Auswählen Erweitern


openssl s_client -connect meinserver:443 -CAfile rootCA.pem


Entweder lokal auf dem server direkt oder von einem Client aus (Notebook) der openssl hat.

[ChHerrm]

Also auf meinem Raspberry Pi kann ich es in Chromium öffnen mit dem cacert.pem.
Auf meinem Windows-Rechner mit Chrome noch immer nicht. Im Firefox geht das gleiche Zertifikat auf dem Windows-Rechner. Bei Chromium und Firefox habe ich ausgewählt, dass ich es nur zur Authentifizierung von Websites nutzen will. Bei Chrome gibt's ja unübersichtliche 100 Möglichkeiten.
Ich habe dort in den Erweiterten Einstellungen bei den Zwischenzertifizierungsstellen defaultmäßig alle Haken drin außer Clientauthentifizierung und Mails. Ist das richtig?

[CoolTux]

Ist richtig. Das passt.
Ich denke es liegt an den alternativ names. Zeig Mal bitte deine oats.extensions.cnf

[my-engel]

Hallo,

ich verstehe noch nicht so richtig was du erreichen willst...
Stand jetzt ist doch vermutlich das FHEM mit SSL auf Port 443 läuft und
du mit einem Browser mit https aus dem LAN drauf gehst. Richtig?
Dein Browser zeigt aber an dass dein Zertifikat unsicher ist und nicht geprüft werden kann. Richtig?
Willst du jetzt nur in deinem lokalen LAN per SSL auf FHEM drauf oder auch vom Internet aus?

MfG Uwe

[ChHerrm]

Hier meine oats.extensions.cnf:

Code Auswählen Erweitern


basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier=hash

[ my_subject_alt_names ]
DNS.1 = PI3

Der Aufruf ist dann https://PI3:8083/fhem...
Findet er auch, sagt halt nur, dass die Seite unsicher ist.
Die Versuche sind erstmal nur im gleichen Netzwerk.

[CoolTux]

Mach mal F12 beim Chrome und gehe da auf Sicherheit. Lass Dir dann mal das Zertifikat anzeigen.

Ich denke er meckert weil Du nur den Hostnamen ohne Domain inalr alternative Name hast. Du musst den FQDN angeben. Also Host plus Domain.

[ChHerrm]

Im Zertifikat steht folgendes:

Reiter Allgemein:
Ausgestellt von uns ausgestellt für sind jeweils PI3.
Dieses Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden.

Reiter Zertifizierungspfad:
PI3
Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

Darunter ist nochmal PI3:
Dieses Zertifikat ist gültig.

[CoolTux]

Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.


Na da steht es doch.Wo hast Du das CA Zertifikat denn im Browser installiert? Siehe Bildanhang

[my-engel]

Hallo,
Ich frag nochmal....
Willst du jetzt nur in deinem lokalen LAN per SSL auf FHEM drauf oder auch vom Internet aus?

MfG Uwe