hier mal für alle, die sich für SSL in der WebUI in der RaspberryMatic interessieren … nachdem mich der SSL Dialog in der WebUI in die Irre geleitet hat (…das erzeugte Zertifikat wollte einfach nicht zum Download auftauchen ), bin ich dann hier im Forum darauf gekommen, dass das Serverzertifikat automatisch in /etc/config/Server.pem abgelegt wird. Man muss dann damit leben, dass der Browser immer bei einer https Verbindung mit der WebUI darauf aufmerksam macht, dass das Zertifikat unbekannt ist - ein zugehöriges Client-Zertifikat wird meines Wissens nicht angeboten. Weiter gibt es kein http Redirect auf https - d.h. eigentlich ist das Zertifikatangebot m.E. 'wertlos' …
Ich habe es jetzt so für mich geregelt, dass nun der Aufruf der WebUI im Heimnetz grundsätzlich über https läuft (auch bei http Aufruf) - so habe ich es auch auf meinen anderen RPIs angelegt (Mosquitto Server, etc.).
Dazu wurde zuerst mit openssl ein (individuelles) signiertes Serverzertifikat mit einem zugehörigen Clientzertifikat (Laufzeit 20 Jahre ) generiert - die Zertifikate server-key.pem und server-cert.pem werden mit einem Editor zusammenkopiert und dann unter /etc/config/Server.pem abgespeichert. Bei allen Browser Clients im Heimnetzwerk wird die zugehörige Client-Zertifikatdatei cacert.pem eingespielt. Der gesamte Vorgang entspricht im Prinzip dem der RaspberryMatic (man darf nun natürlich nicht mehr über die WebUI ein Zertifikat anfordern !!).
Bleibt noch der http Redirect: hier habe ich die Konfigurationsdatei /etc/lighttpd/conf.d/proxy.conf gefunden, in der unterschiedliche WebUI Webserver Konfigurationen abgelegt sind - dort habe ich einfach zu Anfang folgende Zeilen eingefügt:
Code: Alles auswählen
$HTTP["scheme"] == "http" {
# capture vhost name with regex conditiona -> %0 in redirect pattern
# must be the most inner block to the redirect rule
$HTTP["host"] =~ ".*" {
url.redirect = (".*" => "https://%0$0")
}
}
Das ganze führt jetzt dazu, dass grundsätzlich alle Client-Browser eine http Anforderung in eine gesicherte https Verbindung zur WebUI aufbauen.
Anregung: vielleicht kann Jens ja mal einen Blick darauf werfen - ich halte eine http Verbindung - auch / gerade im Heimnetz - für nicht mehr zeitgemäß.
Gruß
Wolfram