Was genau ist denn bitte an der Art&Weise wie die WebUI HTTPS Zertifikate usw. handelt unprofessionell? Selbst bei einer FritzBox, Unifi Controller, usw. wird das alles genau so gemacht/angeboten. Auch da werden rein selbst signierte Zertifikate erzeugt und standardmäßig installiert und dann muss man im Browser diese akzeptieren.
WebUI mit SSL
Moderatoren: jmaus, Co-Administratoren
- jmaus
- Beiträge: 9865
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 464 Mal
- Danksagung erhalten: 1883 Mal
- Kontaktdaten:
Re: WebUI mit SSL
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 272
- Registriert: 06.06.2018, 12:27
- Hat sich bedankt: 11 Mal
- Danksagung erhalten: 47 Mal
Re: WebUI mit SSL
Nochmal: mir geht es NICHT um die Art der Zertifikaterzeugung und deren Installation!! Es geht - platt gesprochen - darum, dass ich Zertifikate erzeugen kann, und dann trotzdem die WebUI ungesichert aufrufen kann … und das empfinde ich eben als verbesserungswürdig.jmaus hat geschrieben: ↑01.11.2019, 21:59Was genau ist denn bitte an der Art&Weise wie die WebUI HTTPS Zertifikate usw. handelt unprofessionell? Selbst bei einer FritzBox, Unifi Controller, usw. wird das alles genau so gemacht/angeboten. Auch da werden rein selbst signierte Zertifikate erzeugt und standardmäßig installiert und dann muss man im Browser diese akzeptieren.
-
- Beiträge: 767
- Registriert: 10.11.2012, 19:47
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: RP
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 19 Mal
Re: WebUI mit SSL
Das die WebUI HTTPS aktuell nicht erzwingt ist unschön, steht aber auch auf der ToDo liste.
Das hält einem aber nicht davon ab, die WebUI über HTTPS aufzururfen.
Das erzeugen einer CA samt signierter Client Zertifikate ist hierfür aber auch völlig überflüssig und viel zu aufwändig.
Das hält einem aber nicht davon ab, die WebUI über HTTPS aufzururfen.
Das erzeugen einer CA samt signierter Client Zertifikate ist hierfür aber auch völlig überflüssig und viel zu aufwändig.
RaspberryMatic (3.71.12.20231020) @RPI3 | 218 Kanäle in 53 Geräten und 72 CUxD-Kanäle in 8 CUxD-Geräten (2.11) | iobroker.pro - CCU-Historian (3.4.0)
-
- Beiträge: 14169
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 586 Mal
- Danksagung erhalten: 1501 Mal
Re: WebUI mit SSL
Was passiert eigentlich, wenn der HTTPS-Zwang umgesetzt wird mit dem Zugriff via Cloudmatic (2x https)? Welches Zertifikat ist dann für den Browser relevant? Ich sitze z.B. geschäftlich an einem restriktiven Rechner, dessen Browser keine selbst signierten Zertifikate akzeptiert. Das Cloudmatic-Zertifikat ist kein Problem - das wird akzeptiert. Alternativ muss der Proxy von Cloudmatic ja das kaskadierte HTTPS umsetzten.
Gruß Xel66
Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
-
- Beiträge: 767
- Registriert: 10.11.2012, 19:47
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: RP
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 19 Mal
Re: WebUI mit SSL
Der Client sieht immer nur das Zertifikat des Webservers zu dem er Verbindet.
Verbindest du also zu einem Webserver (Reverse Proxy) siehst dein Client nur dessen Zertifikat.
Das ist ähnlich wie bei mir, mein Zugriff läuft über Cloudflare zu meinem Reverse Proxy zur CCU, hier sieht der Client ausschließlich das Zertifikat von Cloudflare.
Verbindest du also zu einem Webserver (Reverse Proxy) siehst dein Client nur dessen Zertifikat.
Das ist ähnlich wie bei mir, mein Zugriff läuft über Cloudflare zu meinem Reverse Proxy zur CCU, hier sieht der Client ausschließlich das Zertifikat von Cloudflare.
RaspberryMatic (3.71.12.20231020) @RPI3 | 218 Kanäle in 53 Geräten und 72 CUxD-Kanäle in 8 CUxD-Geräten (2.11) | iobroker.pro - CCU-Historian (3.4.0)
-
- Beiträge: 14169
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 586 Mal
- Danksagung erhalten: 1501 Mal
Re: WebUI mit SSL
Ok, danke für die Info. Sitze gerade (als Passagier) im Stau auf der A7 und konnte keine eigenen Tests machen, aber das mit dem Zertifikat für den Browser ist bei näherem Nachdenken eigentlich logisch. Diesbezüglich sollte ich also kein Problem bekommen. Jetzt muss nur noch der Proxy bei Cloudmatic mit dieser anziehenden Änderung klarkommen. Mein eigener Reverse-Proxy ist derzeit außer Betrieb, weil ich den Raspi für andere Zwecke brauchte. Kann also derzeit nicht selbst probieren. Danke erst mal.
Gruß Xel66
Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
-
- Beiträge: 5
- Registriert: 04.04.2020, 11:48
- Hat sich bedankt: 3 Mal
Re: WebUI mit SSL
Eine weitere Möglichkeit: sehr einfach geht das Erzeugen eines validen Zertifikats mit Letsencrypt's certbot,
Vorraussetzung ist, das man eine eigene domain hat und beim Provider per API oder manuell TXT records erzeugen kann (ich habe z.B. bei Cloudflare eine .com domain für 8$/Jahr und mache das per API, bei Strato ging das nur manuell)
die von certbot erzeugten files auf die CCU nach /usr/local/etc/config kopieren und kombinieren:
Code: Alles auswählen
cat private.key cert.pem > server.pem
Code: Alles auswählen
/etc/init.d/S50lighttpd restart
-
- Beiträge: 767
- Registriert: 10.11.2012, 19:47
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: RP
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 19 Mal
Re: WebUI mit SSL
Bringt dir nur rein gar nichts, wenn du die WebUI über den Hostnamen oder private IP aufrufst, dann erhälst du die gleiche Fehlermeldung.
Es sei denn du biegst deinen internen DNS Server so um, das er den FQDN deiner öffentlichen Domain auf die interne IP auflöst.
Es sei denn du biegst deinen internen DNS Server so um, das er den FQDN deiner öffentlichen Domain auf die interne IP auflöst.
RaspberryMatic (3.71.12.20231020) @RPI3 | 218 Kanäle in 53 Geräten und 72 CUxD-Kanäle in 8 CUxD-Geräten (2.11) | iobroker.pro - CCU-Historian (3.4.0)
- jmaus
- Beiträge: 9865
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 464 Mal
- Danksagung erhalten: 1883 Mal
- Kontaktdaten:
Re: WebUI mit SSL
... und die Nutzung von certbot direkt auf der RaspberryMatic setzt noch voraus, das die CCU/RaspberryMatic dann direkt vom Internet erreichbar ist damit die letsencrypt server aus der ferne die validität überprüfen kann. Und das die Bereitstellung einer CCu/RaspberryMatic direkt im Internet (via port forwarding) auch mit https nicht anzuraten ist, wissen wir ba auch nicht erst seit gestern! Ergo, ergibt es wenig bis keinerlei sinn certbot direkt unter RaspberryMatic/CCu zur Verfügung zu stellen.
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 767
- Registriert: 10.11.2012, 19:47
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: RP
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 19 Mal
Re: WebUI mit SSL
In dem von Ihm genutzten API (wildcard) Verfahren erfolgt die Verifizierung über DNS TXT Records, hier müsste die CCU nicht erreichbar sein, dass setzt aber voraus dass man eine eigene Domain besitzt und hier in der Lage ist DNS Records mittels API zu setzten.
RaspberryMatic (3.71.12.20231020) @RPI3 | 218 Kanäle in 53 Geräten und 72 CUxD-Kanäle in 8 CUxD-Geräten (2.11) | iobroker.pro - CCU-Historian (3.4.0)