FHEMWEB SSL/HTTPS error

Wernieman · 20 Februar 2019, 07:56:05

Es ist "nicht sicher", da es nicht zertifiziert ist. Chrome (und auch Firefox) glauben einem zertifikat erst dann,. wenn es von einer Gegenstelle geprüft wurde. DAS ist natürlich bei einem self-sighned-Zertifikat nicht möglich.

dk3572 · 20 Februar 2019, 08:02:55

ok, das wäre dann schon mal gut.

Kannst du zu meinen Eintragungen auch was sagen?
Sind die so richtig? Oder muss ich die :8083 weg lassen?

dk3572 · 20 Februar 2019, 18:49:41

So, mittlerweile habe ich auch das gefunden.
https://forum.fhem.de/index.php/topic,88971.0.html

Ich rufe die Fhem Seite von diesem PC (192.xxx.xxx.xx) mit https://192.xxx.xxx.xx:8083 oder mit https://intelnuc:8083 auf.

Was mus hier genau eingetragen werden?

Code Auswählen

basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = https://192.xxx.xxx.xx:8083
DNS.2 = https://intelnuc:8083

Und was muss hier genau stehen?

Code Auswählen

Common Name (eg, YOUR name) []: fhem.local
Email Address []: admin.fhem.local

Ich wäre für eine genaue Angabe sehr dankbar.
Immerhin habe ich das Zertifikat schon x-mal in verschiedenen Konstellationen neu erstellt
und ich weiß langsam nicht mehr welche Möglichkeit ich noch versuchen soll.

Danke und VG
Dieter

amenomade · 20 Februar 2019, 20:41:10

Der Port spielt keine Rolle, es muss nur die IP oder die URL angetragen werden.
Common name ist egal.
Zertifikat nicht sicher bedeutet, Du hast dein cacert nicht als autorisierte Zertifizierungsstelle integriert.

Es funktioniert so: der Server stellt ein Zertifikat vor, der Browser guckt in diesem Zertifikat was die Zertifizierungsstelle ist, ob diese von ihm als Zertifizierungsstelle vertraut wird, wenn dann ist das Zertifikat als gültig erklärt.

Wobei ich in dem Fall die Meldung von fhem nicht ganz verstehe. Es sieht so aus, ob wie FHem (und nicht der Browser) das Zertifikat als unsicher erklären würde. Deswegen jetzt die Frage: was sagt dein Browser? Wird die Fhem "Webseite" als unischer erklärt oder nicht?

dk3572 · 20 Februar 2019, 20:52:14

Ja, wird als nicht sicher angezeigt.

amenomade · 20 Februar 2019, 21:36:46

OK, dann kann man doch daran arbeiten

dk3572 · 20 Februar 2019, 21:59:40

Zitat von: amenomade am 20 Februar 2019, 20:41:10
Der Port spielt keine Rolle, es muss nur die IP oder die URL angetragen werden.
Common name ist egal.
Zertifikat nicht sicher bedeutet, Du hast dein cacert nicht als autorisierte Zertifizierungsstelle integriert.

Es funktioniert so: der Server stellt ein Zertifikat vor, der Browser guckt in diesem Zertifikat was die Zertifizierungsstelle ist, ob diese von ihm als Zertifizierungsstelle vertraut wird, wenn dann ist das Zertifikat als gültig erklärt.

Wobei ich in dem Fall die Meldung von fhem nicht ganz verstehe. Es sieht so aus, ob wie FHem (und nicht der Browser) das Zertifikat als unsicher erklären würde. Deswegen jetzt die Frage: was sagt dein Browser? Wird die Fhem "Webseite" als unischer erklärt oder nicht?

Ich bin ja wirklich dankbar für die Hilfe. Aber so langsam wird es immer dubioser.

Der Common name ist egal?

Was soll dann das hier im wiki bedeuten?

Code Auswählen

ACHTUNG, jetzt kommt das Wichtige: Beim Serverzertifikat ist der Common Name von entscheidender Bedeutung. Hier muss der DNS-Name stehen, unter dem der Client den Server anspricht! Wird das Zertifikat für eine HTTPS-Verbindung zu fhem.local verwendet, so muss der Common Name eben genau fhem.local heißen. Anderfalls wird der Browser das Zertifikat nicht akzeptieren, da er davon ausgehen muss, auf dem falschen Server gelandet zu sein.

Common Name (eg, YOUR name) []: fhem.local
Email Address []: admin.fhem.local

Und ich habe doch die für mich unverständlichen Punkte dargestellt und mit Einträgen vorbelegt.

Was mus hier genau eingetragen werden?

Code Auswählen


Code: [Auswählen]
basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = https://192.xxx.xxx.xx    ==> stimmt das so?
DNS.2 = https://intelnuc     ==> stimmt das so?

Und was muss hier genau stehen?

Code Auswählen

Code: [Auswählen]
Common Name (eg, YOUR name) []: fhem.local     ==> stimmt das so?
Email Address []: admin.fhem.local            ==> stimmt das so?

amenomade · 21 Februar 2019, 16:30:53

Also...

Common Name ist normalerweise der FQDN wofür das Zertifikat gültig ist. Normalerweise ist da keine IP erlaubt (kann aber funktionieren)
Subject Alternative Names sind so zu sagen "Aliasse" für diesen FQDN und da sind IPs erlaubt.

Grunsätzlich solltest Du dann in Commonname den Namen des Fhem Rechners haben, wenn er tatsächlich einen Namen hat. Da die DNS Lösung zuerst local, dann auf der Box, und dann im Internet gemacht wird, hatte ich vorgeschlagen, deine hosts Datei zu ändern und dort deinem Fhem Rechner einen Namen mit der IP zu verbinden.

Das kann aber sein, dass deine Box selbst irgendwas wie "pi.fritz.box" oder "pi.speedport.ip" schon erkennt. Mach einfach auf deinem Client Rechner ein

Code Auswählen

nslookup 192.168.x.xmit der IP des Fhem Rechners. Wenn ein Name zurückkommt, dann trage den als Common Name ein (keine "https", kein ":port", NUR der Name). Und rufe Fhem durch "https://pi.fritz.box:8083". Wenn Du immer Fhem durch diesen Namen aufrufst, brauchst Du die Subject Alternative Names gar nicht.
Wenn Du willst kannst Du aber doch als alt. Name die IP immer noch eintragen. Dann wenn Du immer durch die IP gehst, ist es dann egal, was Du im Common Name hast.

Vorschlag: common name

Code Auswählen

pi.fritz.box oder

Code Auswählen

ist.uns.egal

und oats.extensions:

Code Auswählen

basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = pi.fritz.box
DNS.2 = 192.168.x.x

dk3572 · 21 Februar 2019, 19:24:55

Hallo,

sehr ausführlich und nun auch für mich als Laie halbwegs verständlich

Und was soll ich sagen, nach deinen Angaben hat es jetzt tatsächlich funktioniert.
Kein "Nicht sicher" mehr im Browser, Zertifikat wird akzeptiert und vor Allem, Fehlermeldungen in fhem weg.
Nur über die IP klappt es nicht, obwohl ich sie als 3. Alternative eingetragen habe.

Sollte man evtl. im Wiki auch so beschreiben. Dann wäre es verständlicher.

Einzig beim Neustart von fhem bekomme ich noch diese 2 Meldungen:

Code Auswählen

FHEMWEB SSL/HTTPS error: SSL accept attempt failed (peer: 192.xxx.xxx.xx) ==> mein Windows PC

Code Auswählen

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.xxx.xxx.xx) ==> der Intel Nuc auf dem fhem läuft

Also dann noch mal vielen Dank für deine Geduld und die Hilfe.

VG Dieter

amenomade · 21 Februar 2019, 19:40:01

Mein Schuld
IP sollte man nicht als DNS.x eintragen, sondern (natürlich - pff) als IP.x

Also:

Code Auswählen

[ my_subject_alt_names ]
DNS.1 = pi.fritz.box
DNS.2 = name.2
DNS.3 = 3.name
...
IP.1 = 192.x.x.x
IP.2 = 10.x.x.x
...

In deinem Fall dann nur DNS.1 und IP.1

dk3572 · 21 Februar 2019, 19:44:44

Ok, probiere ich evtl. aus. Geht ja auch so wunderbar.

Zu den beiden verbleibenden Fehlermeldungen keine Idee?

amenomade · 21 Februar 2019, 19:46:37

Wenn Du dabei bist, nimm doch noch IP.2 = 127.0.0.1
Kann hilfreich werden, wenn intern auf dem Nuc Fhem gerufen werden muss

amenomade · 21 Februar 2019, 19:48:48

Zitat von: dk3572 am 21 Februar 2019, 19:44:44
Ok, probiere ich evtl. aus. Geht ja auch so wunderbar.

Zu den beiden verbleibenden Fehlermeldungen keine Idee?

Kommt vielleicht vom fehlenden IP.1 oder IP.2

dk3572 · 21 Februar 2019, 20:26:01

Nö, IP funktioniert jetzt auch, Fehlermeldungen beim Start kommen weiterhin.

amenomade · 21 Februar 2019, 20:52:53

Zitat
Code Auswählen Erweitern
FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.xxx.xxx.xx) ==> der Intel Nuc auf dem fhem läuft

Diese kommt wahrscheinlich von etwas oder jemandem, der versucht, sich per http (nicht "s") zu verbinden. Hast Du eine UI Seite wie FTUI o.ä?