UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

Zertifikat auf Android-Tablet

Hier tauschen wir uns über alles aus, was das System selbst betrifft und kein eigenes Unterforum hat. Also Login, Nutzerverwaltung, Bedienung, Menüstruktur, OS-Updates usw.
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
jockele
Reactions:
Beiträge: 187
Registriert: Mo Aug 13, 2018 8:40 pm
Wohnort: Steisslingen
Hat sich bedankt: 27 Mal
Danksagung erhalten: 39 Mal

Zertifikat auf Android-Tablet

#1

Beitrag von jockele »

Hallo zusammen,

ich würde gerne in Edomi Grafiken aus Grafana anzeigen lassen.
Edomi läuft als Docker auf einem 2500er, die Visu auf einem Android-Tablet.

Leider schaffe ich es nicht die Grafiken anzeigen zu lassen, es scheint Probleme bei der Namensauflösung zu geben ("ERR_NAME_NOT_RESOLVED").
Wie ist auf Android (Version 8.1.0) das Zertifikat denn zu installieren, ich bekomme es leider nicht hin.

Hat mir jemand einen Tipp bzw. hat es schon hinbekommen???

Vielen Dank und Grüße
Timberwolf Server 2500, ID:142 + PBM
VPN offen, Reboot nach Absprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Hallo ?

(bitte den Namen drunter schreiben, eine persönliche Ansprache empfinde ich als angenehmer)

Namensauflösung und Zertifikat sind zwei verschiedene paart Stiefel, aber ohne Screenshot ist das schwer zu beurteilen, weil mit nicht klar ist, wer was wann wo anzeigt.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Ersteller
jockele
Reactions:
Beiträge: 187
Registriert: Mo Aug 13, 2018 8:40 pm
Wohnort: Steisslingen
Hat sich bedankt: 27 Mal
Danksagung erhalten: 39 Mal

#3

Beitrag von jockele »

sorry, hab ich glatt vergessen.

Was ich noch nicht verstehe, benötige ich das Zertifikat denn überhaupt mit der neuen Möglichkeit des Grafana-Zugriffs oder sollte das auch ohne funktionieren? Falls es ohne gehen sollte, was genau muss ich dann einstellen?

Bezüglich Zertifikat anbei meine bisherige Vorgehensweise:

1. Aufruf von Update.Timberwolf.Io auf dem Tablet
2. Klick auf den Link Timberwolf_Web_CA
3. Folgendes Menü öffnet sich (habs nur abfotografiert, die antike Version des Screenshots)
IMG_3889.jpg
4. Unter dem Reiter Verwendet für gibt es noch den Punkt WLAN.
Habe hier mal rumprobiert aber ohne Erfolg, was mich gewundert hat, er installiert das Zertifikat dann zwar mit einem entsprechend vergebenen
Namen, will dann aber eine Sicherheitseingabe (Pin, Muster, oder Passwort). Macht für ein Visu-Tablet natürlich keinen Sinn

Viele Grüße Jochen
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von jockele am Sa Dez 12, 2020 8:05 am, insgesamt 1-mal geändert.
Timberwolf Server 2500, ID:142 + PBM
VPN offen, Reboot nach Absprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#4

Beitrag von StefanW »

Guten Morgen Jochen,
jockele hat geschrieben: Sa Dez 12, 2020 8:04 amWas ich noch nicht verstehe, benötige ich das Zertifikat denn überhaupt mit der neuen Möglichkeit des Grafana-Zugriffs oder sollte das auch ohne funktionieren?
Der anonyme Zugriff auf Grafana hat nichts mit der TLS-Verschlüsselung der Webseite zu tun.

Kurze Erklärung:

- Ein Webserver mit aktivem TLS (früher als SSl bezeichnet, das ist die Browser-Verschlüsselung) liefert beim ersten Verbindungsaufbau SEIN INDIVIDUELLES EIGENES Zertifikat aus, mit dem sich DER SERVER gegenüber dem Browser authentifiziert.

- Browser prüfen dieses individuelle SERVER-ZERTIFIKAT ob es gültig und von einer vertrauenswürdigen Stelle ausgestellt wurde. Hierzu prüft der Browser, ob er ein STAMM-ZERTIFIKAT einer vertrauenswürdigen Stelle (das ist die ausstellende CA bzw. eines in der Kette darüber) im Speicher hat. Die Browser Hersteller liefern solche voreingestellten STAMM-ZERTIFIKATE von vertrauenswürdigen (nach deren Geschmack) CAs mit.

- Als eine nicht vom Internet aus erreichbare Appliance (Timberwolf Server) können wir keine SERVER-ZERTFIKATE von einer der bekannten Stellen mit voreingestellter "Vertrauenswürdigkeit" beziehen. Deshalb stellen wir die individuellen SERVER-ZERTIFIKATE für jeden Timberwolf selbst mit usnerer privaten CA aus.

- Ein Browser wird ein solches SERVER-ZERTIFIKAT eines TWS daher beanstanden, weil er dieser standardmäßig nicht vertraut. Die verschiedenen Möglichkeiten hängen nun vom jeweiligen Browser ab. Bei Firefox kann man "Ausnahmeregel erstellen" anklicken und man kann dann mit diesem SERVER-ZERTIFIKAT arbeiten. Andere Browser verlangen, dass das STAMM-ZERTIFIKAT der ausstellenden CA importiert wurde. Apple verlangt darüber hinaus die besondere Bestätigung der Vertrauenswüdigkeit. Was welcher Browser wie wann unterstützt ändert sich alle paar Monate.

- Was alle Browser unterstützen (sollten) ist, dass man das STAMM-ZERTIFIKAT der ausstellenden CA importieren kann. Damit wird meist die Vertrauensstellung eingerichtet. Manche OS / Browser - wie Apple - verlangen zusätzliche Bestätigungen & Freischaltungen

==> Damit ist dann nur die Authentifizierung des Servers gegenüber dem Browser erfolgt. Erst auf Basis dieser Server-Authentifizierung wird vom Browser dann eine verschlüsselter Tunnel aufgebaut.


Das ganze hat nun gar nichts mit der "Anonym"-Einstellung für Grafana zu tun. Weil hier geht es um die (umgekehrte) Authentifizierung des Browers (genauer des Benutzers) gegenüber dem Reverse-Proxy. Durch Aktivieren des neuen Leistungsmerkmales wird nur auf diese Authentifizierung verzichtet (sofern sich kein Admin-Cookie im Browser-Speicher einer vormaligen administrativen Anmeldung befindet).

Die TLS-Verschlüsselung der Web-Verbindung, dessen Voraussetzung die erfolgreiche Prüfung des SERVER-ZERTIFIKATES anhand mehrerer Parameter (wie Übereinstimmung der URL und Vertrauensstellung) hat NICHTS zu tun, das mit der neuen Option keine Benutzeranmeldung am Server erforderlich ist. Weil es sind zwei gegenseitige Authentifizierungen auf unterschiedlicher technischer Basis.


Das Erfordernis für TLS können wir auch nicht fallweise abschalten, weil die Browser es nicht mitmachen, dass man einmal mit TLS und ein andermal ohne TLS auf den gleichen Server zugreift. Zudem greifen die Umleitungsregeln im Server von http -> https (bzw. beim TWS für http/2).

Es ist also technisch gar nicht möglich (weil von den Browsers nicht toleriert) die Grafana-Seiten nun für den Visu-Client ohne Verschlüsselung auszuliefern.

Wer das umgehen möchte, muss sich eine eigene Grafana-Instanz irgendwo installieren und mit einer separaten URL und ohne TLS betreiben (ich nehme an, dass dies möglich sein soillte). Allerdings dürften etliche Browser sich dem auch verschließen, weil unverschlüsseltes http zunehmend abgelehnt wird.


Es tut uns sehr leid, dass dies alles so kompliziert ist. Schuld sind die Hacker, Scamer & Phisher, die mit immer ausgefeilteren Methoden Fake-Seiten von Banken usw. im Internet bauen, um Passwörter, PINs, TANs abzugreifen sowie die Machenschaften diverser Geheimdienste, welche versuchen mit untergeschobenen ("gefälschten") Zertifikaten die Verschlüsselung aufzubrechen um politische Gegner, Aktivisten, Journalisten, Rechtsanwälten usw. zu bespitzeln. In autokratischen Ländern kann das für einen Dissidenten eine lange Haftstrafe oder den Tod bedeuten. Auch deren Rechte gilt es zu schützen, daher verschärfen die Browser-Hersteller die Sicherheitsüberprüfungen mit Webservern immer mehr. Das ist auch richtig so, weil wir wollen alle vor den Gaunern und vor Bespitzelung geschützt sein, nur leider hat man die Appliances dabei vergessen.

Leider habe ich kein Android, womöglich mag ein anderer Browser auf dem Tablett helfen. Versuche doch mal den Firefox.


Ich wünsche viel Erfolg, ein Mitglied aus der Community mit Android wird sicher einen Tipp für Dich haben

mfg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#5

Beitrag von Robert_Mini »

Hallo zusammen! Hallo Stefan!

Ich finde zwar die detaillierte Erklärung sehr interessant, aber sie hilft mir bei diesem Thema auch nicht wirklich weiter.
Unabhängig vom Thema Grafana scheitere ich am Thema Zertifikat unter Android auch seitdem der Wolf bei mir eingezogen ist.

Das ist zwar bis dato kein Problem, da ich einerseits im Kiosk Browser die Warnung deaktivieren kann und dann über die IP Adresse zugreife, andererseits verwende ich die Cometvisu, die über den Proxy zugreift.

Dennoch würde mich ein Weg interessieren, einem Android das Zertifikat erfolgreich zu lernen. Angezeigt wird es als installiert, aber der Zugriff scheitert dennoch. Und ich würde davon ausgehen, dass das mehrere Leute betrifft. Ich erinnere mich aber daran, dass so mancher das erfolgreich geschafft hat (zB @bodo glaub ich).

lg
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297

FabKNX
Reactions:
Beiträge: 478
Registriert: Mi Aug 15, 2018 7:50 pm
Wohnort: LK Heilbronn
Hat sich bedankt: 684 Mal
Danksagung erhalten: 247 Mal

#6

Beitrag von FabKNX »

Bei mir hat es auf dem Android Tablet auch nie wirklich funktioniert.
Vor allem hat das Zertifikat dann immer dafür gesorgt, dass eine Passwortabfrage am Sperrbild eingestellt werden MUSSTE. Das wollte ich aber innerhalb der Familie niemandem antun.
VG Fabian
TWS 2500
timberwolf138, VPN offen, Reboot jederzeit
follow me on Instagram: https://www.instagram.com/meinsommer_diy/

Ersteller
jockele
Reactions:
Beiträge: 187
Registriert: Mo Aug 13, 2018 8:40 pm
Wohnort: Steisslingen
Hat sich bedankt: 27 Mal
Danksagung erhalten: 39 Mal

#7

Beitrag von jockele »

danke erstmal für die Erklärungen, ich denke es so halbwegs verstanden zu haben.

Leider weiß ich aber immer noch nicht ob es mit dieser Konstellation (Edomi im Docker auf TWS + vorinstalliertes Grafana + Android-Tablet mit Fully Kiosk Browser) möglich ist Grafana-Diagramme in Edomi auf irgendeine Art und Weise anzuzeigen.

Kann mir hier vlt nochmal jemand auf die Sprünge helfen, der es doch so am laufen hat bzw. hatte,

danke und schönen Restsamstag Euch allen,

Jochen
Timberwolf Server 2500, ID:142 + PBM
VPN offen, Reboot nach Absprache

Ersteller
jockele
Reactions:
Beiträge: 187
Registriert: Mo Aug 13, 2018 8:40 pm
Wohnort: Steisslingen
Hat sich bedankt: 27 Mal
Danksagung erhalten: 39 Mal

#8

Beitrag von jockele »

Kommando zurück, habe soeben die entsprechende Einstellung gefunden im Fully Kiosk Browser,

viele Grüße
Timberwolf Server 2500, ID:142 + PBM
VPN offen, Reboot nach Absprache

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#9

Beitrag von Robert_Mini »

Welche Einstellung meinst du?
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297

Ersteller
jockele
Reactions:
Beiträge: 187
Registriert: Mo Aug 13, 2018 8:40 pm
Wohnort: Steisslingen
Hat sich bedankt: 27 Mal
Danksagung erhalten: 39 Mal

#10

Beitrag von jockele »

unter advanced settings gibt es den Eintrag "ignore ssl errors", den habe ich aktiviert. JEtzt bekomme ich die Diagramme zumindest angezeigt
Timberwolf Server 2500, ID:142 + PBM
VPN offen, Reboot nach Absprache
Antworten

Zurück zu „System“