FHEMWEB SSL/HTTPS error

[dk3572]

Vielleicht musst Du irgendwelche Zertifizierungsstelle noch auf dem Server installieren... keine Ahnung.

Ist das Attribute modpath in der FHEMWEB Instanz richtig gesetzt? Hast Du vielleicht sslCertPrefix gesetzt? Ein "list" von der FHEMWEB Instanz würde vielleicht was zeigen.

Ist bereits installiert.

Wenn du modpath in global meinst, das ist gesetzt.
sslCertPrefix ist nicht gesetzt.

[dk3572]

Chrom ist mit den letzten Updates sehr hart im Bereich ssl geworden. Wenn Du wirklich ssl und CVhrome brauchst, würde ich Dir einen Proxy empfehlen, wie z.B. nginx. DANN kannst Du Dir erst sicher sein, das SSL und Zertifikate wirklich richtig implementiert sind.

Es wird doch immer zu ssl geraten 

Proxy guck ich mir an. Zumindest von einem Reverseproxy wurde mir bereits abgeraten, da auf gleichen Server kein Sinn.

[Wernieman]

Code Auswählen Erweitern

da auf gleichen Server kein Sinn.

Einspruch Euer Ehren ...

[dk3572]

Und das heißt jetzt? Doch Reverseproxy?

Ich bin doch aber bestimmt nicht der Einzige der ssl mit Chrome verwendet.
Sollte also doch irgendwie möglich sein diese Meldungen weg zu bekommen.

Immer noch dankbar für Tipps
Dieter

[amenomade]

Wegkriegen könnte man wahrscheinlich mit verbose level schaffen. Ich vermute, das ist ne level 3 Meldung?

[dk3572]

So habe ich das jetzt auch wieder nicht gemeint 

Es muss doch eine Lösung geben?
Oder verwenden hier alle einen anderen Browser und kein ssl?

[amenomade]

Ich benutze Firefox oder Chrome, mit ssl.
Ich habe die Meldung auch, die stört mich aber nicht...

[dk3572]

Zumindest beruhigt mich das schon mal das ich nicht der Einzige bin und etwas falsch gemacht habe.
Schöner wäre allerdings eine Lösung des Problems 

[amenomade]

Blöde Frage:

Wenn Du das gemacht hast: https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Bekannte_Probleme
was hast Du in my_subject_alt_names eingetragen?

[dk3572]

Genau das. Ich habe den Inhalt 1:1 übernommen. Ist das etwa falsch?

[amenomade]

Genau das. Ich habe den Inhalt 1:1 übernommen. Ist das etwa falsch?

Eh... eigentlich ja. Wie rufst Du dein Fhem auf? Mit https://fhem01.tuxnet.local ?
Subject Alternative Names sind dafür gemeint, dass das Zertifikat auch für diese Namen gültig ist. Man kann auch IP Adressen dort eintragen.

Siehe https://www.digicert.com/subject-alternative-name.htm

[amenomade]

Bevor Du das ganze wiederholst, kannst Du evtl testen. Wenn Du Fhem durch die IP Adresse aufrufst, mach einfach einen Eintrag in deiner hosts Datei (unter Windows c:\windows\system32\drivers\etc\hosts, unter Linux nw. /etc/hosts):

Code Auswählen Erweitern

1.2.3.4    fhem01.tuxnet.local
1.2.3.4 natürlich durch die IP deines Fhem Servers ersetzen.
Dann versuch  Fhem über diesen Name zu rufen, und guck, ob Du immer noch die Meldung hasts.

[dk3572]

Ok, ich werde morgen testen.
Aber wenn das dann die Lösung sein sollte, warum hast du dann auch noch die Fehler Meldung?
Angenehme Nacht, melde mich Morgen wieder.
Dieter

Und danke für die Hilfe!

[amenomade]

Weil ich mir den ganzen Kram bei der Erstellung des Zertifikats gespart habe

Habe jetzt einen Hinweis im Wiki geschrieben...

[dk3572]

Hallo und guten Morgen.

Ich habe alles neu angelegt.

Hier habe ich folgendes eingetragen:

Code Auswählen Erweitern

Common Name (eg, YOUR name) []: 192.168.xxx.xx:8083
Email Address []: admin.fhem.local
Ist das auch richtig?

Die oats.extensions.cnf sieht so aus:

Code Auswählen Erweitern

basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = 192.168.xxx.xx:8083

Das Zertifikat wird in chrome als "Nicht sicher" angezeigt.
Allerdings steht im Zertifizierungspfad unter Zertifizierungsstatus "Dieses Zertifikat ist gültig"

Die Fehlermeldungen kommen natürlich nach wie vor.

Noch was übersehen oder falsch eingetragen?

Danke und VG
Dieter