FabKNX hat geschrieben: ↑Mi Okt 24, 2018 7:04 am
Der Link für die Visu geht ja jetzt auch über den TWS.
Hierfür benötigt man ja das Zertifikat damit das als vertrauenswürdig erkannt wird.
Muss man dann auf jedem Endgerät, welches die Visu später darstellen soll das Zertifikat installieren?
Die Geräte verlangen ja aber eine Authentifizierung per Fingerprint/Muster/Pin oä.
Bei einem reinen Visu Tablet wäre mir das aber schon zuviel.
Wird das weiterhin so sein?
Grundsätzlich: für eine HTTPS Verbindung braucht es eine Signatur des Servers. Diese Signatur wird jeweils für eine (Sub-)Domäne ausgestellt.
Auf dem Client (Web-Browser) muss diese Signatur hinterlegt sein, damit der überprüfen kann, dass der Server auch der ist, für den er sich ausgibt.
Dies wäre im Internet etwas unhandlich (vor jedem Aufruf einer Seite erst mal ein Zertifikat installieren zu müssen) und auch für die Sicherheit nicht sinnvoll, da Du ja gar nicht wissen kannst, ob das Zertifikat vor irgendeinedomain.de auch wirklich dieser Seite gehört.
Gelöst wird das dardurch, dass es Zertifizierungsstellen gibt, denen die (meisten) Browser trauen und diese Stellen dann Zertifikate (nach entsprechender Prüfung) für die Domains wie irgendeinedomain.de ausstellen.
Durch diese Kette (Browser vertraut Zertifizierungsstelle -> Zertifizierungsstelle stellt Zertifikat aus -> Server verschlüsselt mit diesem individuellen Zertifikat) wird das Vertrauen sichergestellt.
(Und wenn man, wie Symantec, dabei schludert wird man von den Browser-Herstellern, wie Google mit Chrome, als zuverlässige Zertifizierungsstelle rausgeworfen und jeder der für viel Geld dort sein Zertifikat gekauft hat schaut blöd drein...)
Das ganze geht aber leider nicht für ein privates Intranet - denn dort wird kein öffentlicher Domainnamen verwendet. Also gibt's kein öffentliches Zertifikat einer allgemein akzeptierten Zertifizierungsgesellschaft.
Die Lösung: der Server (hier Timberwolf) zertifiziert sich einfach selbst. Was aber kein Browser akzeptiert - da es ja nicht von einer allgemein akzeptierten Zertifizierungsgesellschaft signiert wurde.
Also: Du musst das Zertifikat im Browser als gültig importieren und akzeptiert dieser dieses Zertifikat und diesen Server.
Aber: das muss natürlich mit jedem Browser gemacht werden, der dieses Zertifikat akzeptieren soll. Auch der Wand-PC oder das Tablet.
Dies ist völlig unabhängig womit das Betriebssystem vor fremden Login geschützt wird (wie Passwort oder Fingerprint).
Durch das Verwenden des Timberwolf-Proxys erspart Dir der aktuelle CometVisu Container aber, dass Du für diesen Container auch noch mal ein Zertifikat importieren musst, Du kannst das Timberwolf Zertifikat einfach mitnutzen.
Alternativ, wenn Du auf HTTPS verzichten möchtest, kannst Du natürlich auch den Proxy links liegen lassen und direkt auf den CometVisu-Contianer zugreifen. Das wäre nach dieser Anleitung unter
http://<URL des Timberwolf>:18080/ zu finden.
Aktuell ist das auch völlig in Ordnung (außer dass der Netzwerk-Verkehr im Klartext läuft, was aber im Heimnetz meist egal ist und von außen eh über ein VPN getunnelt werden sollte).
Aber: Es gibt Browser (mal wieder Google mit dem Chrome) die die Features die über HTTP gehen Stück für Stück einschränken um das Netz zu zwingen auf HTTPS zu gehen.
Für das Internet selbst ist das völlig i.O. - aber wir mit unserer Intranet-Anwendung müssen da drunter leiden und haben keine Möglichkeit außen herum (außer selbstsignierten Zertifikaten)
)