WebUI mit SSL

[wolwin]

Hi,
hier mal für alle, die sich für SSL in der WebUI in der RaspberryMatic interessieren … nachdem mich der SSL Dialog in der WebUI in die Irre geleitet hat (…das erzeugte Zertifikat wollte einfach nicht zum Download auftauchen ), bin ich dann hier im Forum darauf gekommen, dass das Serverzertifikat automatisch in /etc/config/Server.pem abgelegt wird. Man muss dann damit leben, dass der Browser immer bei einer https Verbindung mit der WebUI darauf aufmerksam macht, dass das Zertifikat unbekannt ist - ein zugehöriges Client-Zertifikat wird meines Wissens nicht angeboten. Weiter gibt es kein http Redirect auf https - d.h. eigentlich ist das Zertifikatangebot m.E. 'wertlos' …
Ich habe es jetzt so für mich geregelt, dass nun der Aufruf der WebUI im Heimnetz grundsätzlich über https läuft (auch bei http Aufruf) - so habe ich es auch auf meinen anderen RPIs angelegt (Mosquitto Server, etc.).

Dazu wurde zuerst mit openssl ein (individuelles) signiertes Serverzertifikat mit einem zugehörigen Clientzertifikat (Laufzeit 20 Jahre ) generiert - die Zertifikate server-key.pem und server-cert.pem werden mit einem Editor zusammenkopiert und dann unter /etc/config/Server.pem abgespeichert. Bei allen Browser Clients im Heimnetzwerk wird die zugehörige Client-Zertifikatdatei cacert.pem eingespielt. Der gesamte Vorgang entspricht im Prinzip dem der RaspberryMatic (man darf nun natürlich nicht mehr über die WebUI ein Zertifikat anfordern !!).

Bleibt noch der http Redirect: hier habe ich die Konfigurationsdatei /etc/lighttpd/conf.d/proxy.conf gefunden, in der unterschiedliche WebUI Webserver Konfigurationen abgelegt sind - dort habe ich einfach zu Anfang folgende Zeilen eingefügt:

Code: Alles auswählen

$HTTP["scheme"] == "http" {
    # capture vhost name with regex conditiona -> %0 in redirect pattern
    # must be the most inner block to the redirect rule
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

siehe auch: https://redmine.lighttpd.net/projects/1 ... ttpToHttps

Das ganze führt jetzt dazu, dass grundsätzlich alle Client-Browser eine http Anforderung in eine gesicherte https Verbindung zur WebUI aufbauen.

Anregung: vielleicht kann Jens ja mal einen Blick darauf werfen - ich halte eine http Verbindung - auch / gerade im Heimnetz - für nicht mehr zeitgemäß.

Gruß
Wolfram

[roe1974]

Hallo Wolfram

Hast du für die openssl zert erstellung einen link zu einer anleitung ?

lg Richard

[wolwin]

Hallo Richard,

Hast du für die openssl zert erstellung einen link zu einer anleitung ?

Schwieriges Thema … gestartet bin ich unter FHEM:

https://wiki.fhem.de/wiki/FHEM_mit_HTTP ... ungsstelle
Es gibt auch
https://sommer-huenxe.de/wordpress1/web ... tallieren/

Ich habe die certs auf einem RPI unter dem user pi über SSH erzeugt (alle Befehlzeilen mit sudo ….) mit
cd /etc/ssl
sudo mkdir local
wird in das Startverzeichnis gewechselt - dort landen dann alle Dateien...

Ich habe mir einen Ablaufplan (entsprechend der Vorlagen) in eine TXT-Datei geschrieben. Den Ablauf habe ich verifiziert und erweitert - damit habe ich alle meine RPIs mit Zertifikaten ausgestattet … kann ich leider nicht veröffentlichen, da sich dort einige Angaben befinden, die ich nicht veröffentlichen möchte ….

Aber fang einfach mal an ….

Gruß
Wolfram

[jmaus]

Entschuldigung, aber was genau unterscheidet bitte die hier beschriebene Methode von der Art&Weise wie die RaspberryMatic völlig selbstständig beim drücken auf "Zertifikat erstellen" unter "Systemsteuerung => Netzwerkeinstellungen" das selbst erledigt? Denn soweit ich das überblicke macht RaspberryMatic genau das was hier beschrieben wird. Es generiert ein selbst signiertes Zertifikat und installiert das automatisch unter /etc/config/server.pem.

Das einzige was bisher gegenüber der hier beschriebenen Method fehlt ist eine automatische weiter/umleitung von http aus https. Aber das ist bereits auf der TODO Liste, benötigt aber noch ein paar zusätzlichen Veränderungen in der WebUI. So z.B. das vor aktiviert eine Warnung erscheint die auf den Umstand hinweist, das nach Aktivierung dann der Webbrowser einmalig (bis man das selbst-signierte Zertifikat als "sicher" akzeptiert) auf das selbst signierte Zertifikat hinweist bzw. warnt und man diese Warnung als dauerhaft akzeptieren muss.

[LibertyX]

Er hat ein root CA erstellt (Zertifizierungsstelle) welches er auf seine Clients verteilt hat und in der CA hat er für jeden Server ein durch die CA signiertes Zertifikat generiert, somit wird dieses Zertifikat vom Browser als "Vertrauenswürdig" eingestuft und man erhält keine Meldung das es sich um ein Self signed Zertifikat handelt.

Kann man machen, macht das ganze aber nicht sicherer, dass einzige was man sich dadurch erspart ist das wegdrücken der Meldung im Browser.

[jmaus]

Er hat ein root CA erstellt (Zertifizierungsstelle) welches er auf seine Clients verteilt hat und in der CA hat er für jeden Server ein durch die CA signiertes Zertifikat generiert, somit wird dieses Zertifikat vom Browser als "Vertrauenswürdig" eingestuft und man erhält keine Meldung das es sich um ein Self signed Zertifikat handelt.

Kann man machen, macht das ganze aber nicht sicherer, dass einzige was man sich dadurch erspart ist das wegdrücken der Meldung im Browser.

Und was er damit noch dazu gewinnt ist eine IMHO unnötige Komplexität im Management der Zertifikate und server keys. Wie du schon korrekt sagtest macht dieser zusätzliche Aufwand die HTTPS Verschlüsselung kein bit sicherer. Und IMHO muss man eben somit unnötigerweise all seinen Webbrowsern bzw. Systemen die Zertifikate seiner eigenen root CA erst unterjubeln und hat damit auch mehr oder weniger den selben Aufwand als einfach bei der ersten HTTPS Verbindung das Zertifikat als dauerhaft akzeptiert zu registrieren. Ergo, same same, but different

[strohfeuer]

Hallo RaspberryMatic Freunde,

gibt es in der RaspberryMatic ein "Protokoll" woraus ersichtlich ist, wer per I-Net oder auch intern auf den Raspi zugegriffen hat ?
oder kann man sowas per Zusatzsoftware realisieren?
Vielen Dank für Eure Bemühungen und einen schönen Feiertag.

Strohfeuer

[jp112sdl]

gibt es in der RaspberryMatic ein "Protokoll" woraus ersichtlich ist, wer per I-Net oder auch intern auf den Raspi zugegriffen hat ?

Passt zwar nicht zum eigentlichen Thema hier, aber kurz und knapp:
schau mal in die /var/log/lighttpd-access.log

[strohfeuer]

hallo jp112sdl,
wie komme ich dahin? (/var/log/lighttpd-access.log)
LG Strohfeuer

[wolwin]

Ergo, same same, but different

Hallo Jens,
hatte ich ja auch schon so in meinem ersten Beitrag geschrieben … letztlich bin ich als raspberrymatic Neueinsteiger über das SSL-Thema bei der Erstkonfiguration gestolpert … ich wollte nur auf die 'Inkonsistenz' zwischen lokaler SSL Zertifikatserzeugung und einem trotzdem möglichen http Browseraufruf hinweisen, den ich von einer professionellen Anwendung (Homematic) so nicht erwarten würde. Mein Ansatz sollte lediglich dazu dienen, zu checken, ob es eine Möglichkeit gibt, dass die Zentrale 'grundsätzlich nur per https aufrufbar' ist.
Gruß
Wolfram