WebUI mit SSL

Einrichtung, Nutzung und Hilfe zu RaspberryMatic (OCCU auf Raspberry Pi)

Moderatoren: jmaus, Co-Administratoren

Turnierkrokodil
Beiträge: 3
Registriert: 04.04.2020, 11:48
Hat sich bedankt: 1 Mal

Re: WebUI mit SSL

Beitrag von Turnierkrokodil » 06.04.2020, 08:54

@LibertyX:
* zu deinem Kommentar mit dem Hostnamen: ja, man muss entweder dem lokalen DNS "umbiegen" (ich hab opnsense, man kann aber auch bei einer Fritzbox statt fritz.box eine eigene domain setzen) oder einen A-Record für seine domain mit der lokalen IP bei seinem DNS-Provider setzen.
* um es noch genauer zu machen: ich erstelle mit certbot kein "wildcard" Zertifikat sondern tatsächlich explizit eines für den Host (option -d "homematic.domain.com" - aber im Prinzip hast du recht :-)

@jensm: wenn ich sowas mit einer kleinen webGUI umsetzen würde und nicht an dem eigentlichen raspimatic code rumpfuschen will: würde das am besten als ein Plugin realisiert werden? Ich meine so in der Art, wie das bei CuxD das realisiert wurde?

LibertyX
Beiträge: 719
Registriert: 10.11.2012, 19:47
System: Alternative CCU (RaspberryMatic etc.)
Wohnort: RP
Hat sich bedankt: 1 Mal
Danksagung erhalten: 17 Mal

Re: WebUI mit SSL

Beitrag von LibertyX » 06.04.2020, 09:05

Und wofür der ganze Aufwand?

Das über Let's Encrypt erzeugte Zertifikat ist nicht sicherer als das lokal erzeugte und die Sicherheitsmeldung lässt sich auch umgehen, indem man das Zertifikat exportiert und auf dem Client in den Zertifikats Store importiert.
RaspberryMatic (3.51.6.20200613) @RPI3 | 56 HM 1 HMIP Gerät(e) und 4 CUxD-Geräte (2.4.3) | iobroker.pro - CCU-Historian (2.4.0)

Benutzeravatar
jmaus
Beiträge: 5993
Registriert: 17.02.2015, 14:45
System: Alternative CCU (RaspberryMatic etc.)
Wohnort: Dresden
Hat sich bedankt: 16 Mal
Danksagung erhalten: 336 Mal
Kontaktdaten:

Re: WebUI mit SSL

Beitrag von jmaus » 06.04.2020, 16:32

LibertyX hat geschrieben:
06.04.2020, 09:05
Und wofür der ganze Aufwand?

Das über Let's Encrypt erzeugte Zertifikat ist nicht sicherer als das lokal erzeugte und die Sicherheitsmeldung lässt sich auch umgehen, indem man das Zertifikat exportiert und auf dem Client in den Zertifikats Store importiert.
So sehe ich das auch! Ich denke auch das der Aufwand hier schwer den Nutzen rechtfertigt bzw umgekehrt ;)
RaspberryMatic 3.51.6.20200621 @ ESXi mit ~180 HomeMatic Geräten + ioBroker – GitHubGitHub Sponsors / PayPalTwitter

Turnierkrokodil
Beiträge: 3
Registriert: 04.04.2020, 11:48
Hat sich bedankt: 1 Mal

Re: WebUI mit SSL

Beitrag von Turnierkrokodil » 06.04.2020, 18:26

OK, überzeugt - die Idee ist wohl nicht massentauglich. Aber zumindest ist sie mal hier dokumentiert, falls noch jemand ausser mir auf die verrückte Idee kommt ;-) :-D

Benutzeravatar
BusinessTux
Beiträge: 9
Registriert: 18.01.2020, 18:59
Hat sich bedankt: 1 Mal

Re: WebUI mit SSL

Beitrag von BusinessTux » 25.07.2020, 13:24

Hallo zusammen,

gibt es schon Neuigkeiten zum ToDo des Redirects auf SSL?

Ich setze bei mir eigene CA's ein (ich weiß, das ist nicht massentauglich) und würde gerne automatisch auf https umleiten lassen. Das SSL-Zertifikat inkl. Key und vollständiger Kette habe ich ganz normal über die WebUI hochgeladen. Das funktioniert alles ohne Probleme.

Der erste Eintrag, in dem die proxy.conf angepasst wird scheint für mich schon der richtige Weg zu sein, aber ich verstehe das so, dass dann alle Kommunikationen, die lighttpd anbietet auf SSL umgestellt werden. Dementsprechend wäre auch weitere angeschlossene Schnittstellen (bei mir OpenHAB) davon betroffen.

Code: Alles auswählen

$HTTP["scheme"] == "http" {
    # capture vhost name with regex conditiona -> %0 in redirect pattern
    # must be the most inner block to the redirect rule
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}
Im ersten Step würde ich es nur mit der WebUI versuchen.
jmaus hat geschrieben:
31.10.2019, 21:10
Das einzige was bisher gegenüber der hier beschriebenen Method fehlt ist eine automatische weiter/umleitung von http aus https. Aber das ist bereits auf der TODO Liste, benötigt aber noch ein paar zusätzlichen Veränderungen in der WebUI. So z.B. das vor aktiviert eine Warnung erscheint die auf den Umstand hinweist, das nach Aktivierung dann der Webbrowser einmalig (bis man das selbst-signierte Zertifikat als "sicher" akzeptiert) auf das selbst signierte Zertifikat hinweist bzw. warnt und man diese Warnung als dauerhaft akzeptieren muss.
Kann man diese Änderungen manuell testen?

Danke
Ulf

Antworten

Zurück zu „RaspberryMatic“