Problem mit Let's Encrypt - kein Zugriff
-
Systemdata Bitte Ausfüllen Hardwaresystem: Proxmox VM Arbeitsspeicher: 4GB Festplattenart: SSD Betriebssystem: Ubuntu Nodejs-Version: v12.20.2 NPM-Version: 6.x.x Installationsart: Manuell Admin Version 5.1.23
IoBroker Version 3.3.15Hi,
ich habe ein Problem beim Aktivieren des Let's Encrypt Zertifikat.
In den Systemeinstellungen habe ich E-Mail-Adresse, Domain und Pfad vergeben.
HTTPS ist bereits aktiviert aber ohne Zertifikat.
Sobald ich den hacken hier reinmache und Speichen drücke bekomme ich nur noch das lade Zeichen.
Ich komme dann nicht mehr mit https://ipadresse:8081 auf die Admin-Oberfläche und muss ein Rollback meiner VM machen.Was kann ich machen? Wie bekomme ich das ans laufen ?
Muss ich noch irgendwelche Ports öffnen.
Muss ich die Webseite mit Port 80 neu aufrufen?Some random key will be created as password for the account.
After the account is created the system starts on port 80 the small website to confirm the domain.
Let's encrypt use always port 80 to check the domain.Gruß
HDM -
@spitfire4all Bist Du mit Ipad oder IPhone unterwegs? Dann ist das bekannt. Gib mal in Suche Ipad ein.
Gruß, Jürgen
-
@wildbill sagte in Problem mit Let's Encrypt - kein Zugriff:
@spitfire4all Bist Du mit Ipad oder IPhone unterwegs? Dann ist das bekannt. Gib mal in Suche Ipad ein.
Gruß, Jürgen
Leider nein,
ich mache das direkt an meinem PC über die IP Adresse. -
@spitfire4all OK, das hätte es erklärt. Dann weiss ich leier auch nichts weiter. Ich verwene https nicht in meinen privaten Netzen, sondern nur bei Geräten, die Dienste im Internet bereitstellen.
Bist Du auf https angewiesen für iobroker? Du wirst Ihn ja hoffentlich nicht direkt per Portfreigabe ins Internet stellen wollen? Und auch sonst fällt mir kein Grund ein, warum man für iobroker https braucht. Man handelt sich damit nur mehr Fehlerquellen ein, wie man sieht.
Gruss, Jürgen -
@wildbill sagte in Problem mit Let's Encrypt - kein Zugriff:
@spitfire4all OK, das hätte es erklärt. Dann weiss ich leier auch nichts weiter. Ich verwene https nicht in meinen privaten Netzen, sondern nur bei Geräten, die Dienste im Internet bereitstellen.
Bist Du auf https angewiesen für iobroker? Du wirst Ihn ja hoffentlich nicht direkt per Portfreigabe ins Internet stellen wollen? Und auch sonst fällt mir kein Grund ein, warum man für iobroker https braucht. Man handelt sich damit nur mehr Fehlerquellen ein, wie man sieht.
Gruss, JürgenNein, Nein, ich habe einen reverse Proxy für den zweiten Faktor und ein Kennwort auf dem Iobroker.
Das Standard http soll nicht wirklich sicher sein. Bin mir aber gerade nicht sicher, ob das Zertifikat im Reverse Proxy das nicht wegmacht.Von Manuel:
Leider absolute Pseudosicherheit, darauf wird sogar in der iobroker Doku hingewiesen:
„Hier ist die zentrale Stelle für die Zertifikate, die für die SSL/HTTPS Kommunikation benutzt werden. Die Zertifikate werden von admin, web, simple-api, socketio benutzt. Defaultmäßig sind Standardzertifikate installiert.Damit kann man nichts verifizieren <<<.
Sie dienen nur der SSL-Kommunikation.
Weil die Zertifikate offen liegen sollte man eigene (self-signed) Zertifikate benutzen, richtige Zertifikate kaufen oder auf Let’s Encrypt umsteigen. Die Kommunikation mit default Zertifikaten ist nicht sicher und falls jemand das Ziel hat den Traffic mitzulesen, könnte dies gemacht werden. Unbedingt eigene Zertifikate installieren. Z.b. unter linux."Gruß
Hans-Dieter -
@spitfire4all Wenn Du den reverse proxy korrekt eingerichtet hast, also mit passenden Zertifikat, dann kannst Du auf die dahinter liegenden Geräte direkt per http (ohne s) weiterleiten. Also direkt auf http://Ip_des_IoBroker. Die wichtige Zertifikat-Kette läuft eh nur bis zum reverse proxy. Iobroker würde ich aber dennoch nicht damit freigeben, erst recht nicht ohne Benutzeranmeldung und Passwort.
Wenn Du auf bestimmte Dienste / Datenpunkte Zugriff von außen brauchst, böte sich eher einer der Fernzugriffs-Adapter an. Oder per VPN. Reverse proxy mit Zertifikat ist ja ja nur ein Schutz, dass die Sicherheitskette stimmt und sich niemand unbemerkt dazwischen hängt (mitm) aber jeder, der die Adresse kennt (oder errät) hat dann Zugriff.
Gruß, JürgenEDIT: Ergänzung zu oben: Das Zertifikat des reverse proxy muss dann natürlich für alle Subdomains, unter denen er erreichbar ist bzw. die er durchleiten soll, eingerichtet sein.
-
@wildbill
soweit hast du recht, Danke für die Information.
Auf dem Reverse Proxy und dem IoBroker ist natürlich noch einmal eine unterschiedliche Anmeldung notwendig, diese habe ich aktiviert.
VPN ist sicherlich die bessere Methode aber da ich auf wechselnden Rechnern unterwegs bin ist das dauernde installieren und löschen der VPN Software recht hinderlich oder wird auch mal vergessen. Gut, hier muss man natürlich auch mit Kennwörtern arbeiten.Soweit ich das jetzt verstanden habe muss auch der Port 80 zur Aktualisierung für die Zertifikate weiter geleitet werden. Der wird aber wahrscheinlich schon durch ein anderes Zertifikat im Router verwendet. Da die HTTPS: Verbindung durch den Reverse Proxy abgesichert ist scheint mir das erst einmal ausreichend zu sein.
Gruß
HDMGruß
Hans Dieter
