FHEMWEB SSL/HTTPS error

[dk3572]

Hallo,

bräuchte dringend Hilfe.

Habe die gleiche Frage bereits hier https://forum.fhem.de/index.php?topic=92636.msg903627#msg903627 gestellt, da ich dachte es käme von diesem Modul. Ist aber wohl doch nicht so.

Mir wird grad das Log zugemüllt und ich weiß nicht wie ich es abstellen kann:

Code Auswählen Erweitern

SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: IP von meinem PC)

Hat alles funktioniert bis ich auf rereadPhonebook geklickt hatte.

Wäre für Hilfe und Infos, was ich noch liefern muss, sehr dankbar.

VG Dieter

[dk3572]

Ok, Problem etwas eingekränzt.

Ich nutze Chrome. (Version 73.0.3683.27 (Offizieller Build) beta (64-Bit))
Jetzt habe ich es mit IE versucht und siehe da, keine Log Einträge mehr.
Wechsele ich zurück auf Chrome erhalte ich sofort wieder etliche Log Einträge.

Muss ich im Chrome etwas bestimmtes einstellen?

[amenomade]

Vielleicht in Chrome dein selbst-erstelltes Zertifikat bestätigen

[dk3572]

Vielleicht in Chrome dein selbst-erstelltes Zertifikat bestätigen

Danke für deine Info.
Würdest du mir auch verraten wie ich das mache?
Google hat mich jetzt noch nicht wirklich weitergebracht.

Edit: Und warum brauche ich das beim IE nicht?

[dk3572]

Würde es helfen wenn ich das mal ausführe:

Code Auswählen Erweitern

openssl req -new -x509 -nodes -out server-cert.pem -days 3650 -keyout server-key.pem

Habe nur Bedenken, dass ich was zerschieße und nicht mehr per web drauf komme.

[dk3572]

Hallo,

ich habe mich jetzt auch daran versucht:

https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle

Leider auch ohne Erfolg.

Mag mir keiner Hilfe leisten?

Ich erhalte bei jedem "Klick" den ich in Chrome mache diese Meldung:

Code Auswählen Erweitern

SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: IP von meinem PC)

[amenomade]

Danke für deine Info.
Würdest du mir auch verraten wie ich das mache?
Google hat mich jetzt noch nicht wirklich weitergebracht.

Edit: Und warum brauche ich das beim IE nicht?

https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikate/chrome

[dk3572]

Danke dir.
Genau so habe ich es gemacht.
Wenn ich mir die Website-Informationen (Nicht sicher) anzeigen lasse, ist immer noch ein altes Zertifikat vorhanden.
Dieses finde ich nirgendwo um es zu löschen.
Mein neu erstelltes und importiertes sehe ich in den Einstellungen.

[amenomade]

Was steht in /opt/fhem/certs/ ? Das alte oder das neue?

[dk3572]

dort habe ich nichts geändert.
Ich habe mich an das Wiki gehalten und alles in /opt/fhem/certs/ca installiert.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle

Wie müsste ich jetzt weiter vorgehen?

[amenomade]

Erstmal prüfen, ob es noch gültig ist (wenn Du aber nach Wiki gemacht hast, sollte er 10 Jahre gültig sein)

Code Auswählen Erweitern

sudo openssl x509 -enddate -noout -in /opt/fhem/certs/server-cert.pem

Wenn Du auf "nicht sicher" in der URL Leiste von Chrome klicks, siehst Du nicht das Zertifikat von Chrome, sondern das Zertifikat, dass die Webseite dir vorstellt. Dieses kommt in dem Fall von Fhem.

Zeig mal ein

Code Auswählen Erweitern

sudo ls -la /opt/fhem/certs und gucke, ob das Datum der Dateien mit dem Datum im Zertifikat stimmt.

Dann musst Du dieses Zertifikat in Chrome in "Vertrauenswürdige Stammzertifizierungsstellen" importieren, wenn es nicht da sondern in einem anderen Reitersteht, . Siehe hier: https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Nachwort, insbesondere "bekannte Probleme". Ggf. musst Du dein Zertifikat signieren, bzw. ein neues erstellen.

[amenomade]

Ssl 3.0 im Browser deaktivieren könnte auch helfen.
http://lexisnexis.custhelp.com/app/answers/answer_view/a_id/1084176/~/enable-or-disable-ssl-in-most-common-internet-browsers#2

[dk3572]

Hallo,

musste eine kurze Zwangspause einlegen 

Ich habe jetzt nach dieser Anleitung alles Schritt für Schritt ausgeführt. Auch den Abschnitt "Bekannte Probleme".
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle#Bekannte_Probleme

Danach wie hier beschrieben die Dateien in den certs Ordner und Rechte entsprechen gesetzt.
https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

Im Anschluss die cacert.pem in Chrome importiert. Hier wird sie nun auch korrekt angezeigt.
In Chrome erhalte ich immer noch Zertifikat nicht gültig und in fhem bei jedem Klick

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed because of handshake problems error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.xxx.xxx.xx)
SSL 3.0 in Chrome hatte ich auch deaktiviert.

Was mache ich noch falsch bzw. was muss ich ändern?

Danke für Hilfe und VG
Dieter

[amenomade]

Da bin ich jetzt ratlos.

Das Client Zertifikat von deinem Browser wird nicht akzeptiert.
https://serverfault.com/questions/639837/openssl-s-client-shows-alert-certificate-unknown-but-all-server-certificates-app

Vielleicht musst Du irgendwelche Zertifizierungsstelle noch auf dem Server installieren... keine Ahnung.

Ist das Attribute modpath in der FHEMWEB Instanz richtig gesetzt? Hast Du vielleicht sslCertPrefix gesetzt? Ein "list" von der FHEMWEB Instanz würde vielleicht was zeigen.

[Wernieman]

Chrom ist mit den letzten Updates sehr hart im Bereich ssl geworden. Wenn Du wirklich ssl und CVhrome brauchst, würde ich Dir einen Proxy empfehlen, wie z.B. nginx. DANN kannst Du Dir erst sicher sein, das SSL und Zertifikate wirklich richtig implementiert sind.