EinMensch
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Hallo Leute, ich habe nun auf meinem Raspberry PI den Apache-Webserver eingerichtet. Jetzt wollte ich meine Seiten via SSL absichern. Nachdem ich bereits sowohl die CA als auch ein Zertifikat eingerichtet habe, musste ich feststellen, dass eine Verschlüsselung nicht möglich ist. Nach etlichen Suchen fand ich heraus, dass man dem CN weder einen internen Hostnamen noch eine private IP verpassen darf (https://www.digicert.com/internal-names.htm). Meinen Webserver habe ich allerdings nur zu reinen Testzwecken eingerichtet. Daher rufe ich diesen auch nur über die statische IP auf. Einen Aufruf über eine direkte Domain macht also für meine Zwecke keinen Sinn. Soviel zur Einleitung ☺. Meine Frage lautet nun ganz konkret: Habe ich denn überhaupt eine Möglichkeit, meinen privaten Server (192.168.0.3) via SSL abzusichern? Gibt es ggf. Alternativen, welche ich anwenden kann? Liebe Grüße, EinMensch P.S: Ich habe bewusst zunächst auf Code verzichtet. Solltet ihr ihn dennoch benötigen, einfach Bescheid sagen 😉
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Hi, du kannst dir mit folgendem Befehl ein selbstsigniertes Zertifikat erstellen, welches du dann in deinem Apache auf dem Raspberry Pi nutzen kannst:
| openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem
|
Die interaktiven Abfragen beantwortest du nach Belieben. Beim CommonName trägst du dann die IP-Adresse deines Raspberry Pi ein. MfG Tronde
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Danke für deine Antwort. Den CA und das Zertifikat habe ich schon fertig eingerichtet. Jetzt ist es so (habe ich vergessen zu erwähnen), dass der Raspberry lediglich als Server fungiert. Der Client ist momentan ein Windows-Rechner. Mein Problem ist, dass er die IP 192.168.0.3 (darauf läuft der Apache) nicht verschlüsselt. Beispielsweise teilt mir Opera mit, dass das Zertifikat nicht mit der URL übereinstimmt. Für den CN habe ich wie gesagt die IP vergeben. Da es sich um einen privaten IP-Block handelt, ist eine Verschlüsselung laut dem Link meines ersten Eintrags wohl seit einiger Zeit nicht mehr möglich (die Browser haben da was dagegen, da eine gTLD benötigt wird). Zumindest habe ich das so herausgelesen. Deshalb suche ich nun nach einer Möglichkeit, dass er mir meine IP auf dem Client trotzdem verschlüsselt. Liebe Grüße
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Wie genau lautet die Meldung, welche dein Browser ausgibt? Behauptet dieser evtl. dass dem Zertifikat nicht vertraut wird? Was steht in der Adresszeile deines Browsers? Beginnt die URL mit HTTPS://? Falls ja, so werden die übertragenen Daten auch verschlüsselt.
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Folgendes wird mir angezeigt, wenn ich https://192.168.0.3 eingebe: Das Serverzertifikat stimmt nicht mit der URL überein. Allerdings sagt mir der Zertifizierungsstatus, dass das Zertifikat gültig ist.
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
EinMensch schrieb: Allerdings sagt mir der Zertifizierungsstatus, dass das Zertifikat gültig ist.
Welcher Zertifizierungsstatus? Wo siehst du diesen bzw. wie überprüfst du das Zertifikat? Kannst du den Inhalt des Zertifikats hier mal als ASCII-Text posten?
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Nabend ☺
Welcher Zertifizierungsstatus? Wo siehst du diesen bzw. wie überprüfst du das Zertifikat?
Beispiel Opera: Du klickst einfach links neben der Adressleiste. Normalerweise taucht bei erfolgreicher Verschlüsselung das grüne Schlosssymbol auf (ist auch im Firefox so). Dort steht dann der Name des Zertifikats nach einem Klick auf Details. Wenn ich jetzt auf den Namen des Zertifikats klicke und auf die Registerkarte "Zertifizierungspfad" gehe, sehe ich unter Zertifizierungsstatus, dass das Zertifikat gültig ist.
Beginnt die URL mit HTTPS://? Falls ja, so werden die übertragenen Daten auch verschlüsselt.
Neuerdings zeigt Opera (Firefox auch) an, wenn Daten bei einem Login unverschlüsselt übermittelt werden. Diese Meldung kommt nicht mehr im Opera. Daher denke ich, dass er trotzdem die Website verschlüsselt, obwohl mir das grüne Schloss nicht angezeigt wird. Hier nochmal die ca-root.pem und cert-pub.pem: ca-root.pem: -----BEGIN CERTIFICATE-----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-----END CERTIFICATE----- cert-pub.pem: -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Dein Zertifikat sieht gut aus. Wenn Zertifikat und Private-Key auf dem Server korrekt hinterlegt sind, sollte da nichts schief gehen. Zumindest kann ich bei den vorliegenden Infos kein Problem erkennen. MfG Tronde
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
Kannst du das Zertifikat nicht auf einen gültigen FQDN https://de.wikipedia.org/wiki/Domain_(Internet)#Fully_Qualified_Domain_Name_.28FQDN.29 ausstellen? Dann lässt sich das intern mit einem internen DNS-Eintrag oder nach einem Eintrag in der hosts aufrufen.
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Salü,
Kannst du das Zertifikat nicht auf einen gültigen FQDN https://de.wikipedia.org/wiki/Domainame_.28FQDN.29 ausstellen?
Der Raspberry PI mit dem Webserver ist direkt mit meinem PC angeschlossen. Ich rufe ihn daher nur über die IP auf.
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
Das tut doch nichts zur Sache, du kannst trotzem eine FQDN im Netzwerk dafür verwenden.
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Ok, also FQDN vergeben, in hosts eintragen und dann kommen die Warnmeldungen nicht mehr?
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
EinMensch schrieb: Beispielsweise teilt mir Opera mit, dass das Zertifikat nicht mit der URL übereinstimmt.
Das jedenfalls sollte gelöst sein, wenn du das Zertifikat auf dieselbe FQDN ausstellst. Bitte nutze eine interne Domain dafür, (also z.B. XZ.intern oder XY.local). Bei weiteren Fragen dazu einfach nochmal hier posten. Das kriegen wir schon noch hin 😉
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Dann probiere ich das mal aus.
|
EinMensch
(Themenstarter)
Anmeldungsdatum: 26. August 2017
Beiträge: 89
Wohnort: Irgendwo im Nirgendwo
|
Ich habe das jetzt mal ausprobiert. Sowohl beim root-Zertifikat als auch beim Website-Zertifikat habe ich als FQDN den Namen piweb.local vergeben. in der /etc/hosts habe ich die IP-Adresse 192.168.0.3 und den Namen piweb.local eingetragen. Danach noch via pscp.exe das root-Zertifikat auf meinen Windows-Rechner übertragen und in Opera bekannt gemacht. Soweit ist auch alles richtig. Er leitet von http auf https weiter (mod_rewrite sei dank) und erkennt auch, dass es sich um eine SSL-Verbindung handelt. Apache/2.4.25 (Raspbian) Server at 192.168.0.3 Port 443 Dennoch gibt er mir bei Opera eine Warnung aus (siehe Anhang). Wie gesagt: Bis auf diese irritierende Anzeige funktioniert alles so, wie ich es wollte.
- Bilder
|