NEU! HTTP-/REST-API jetzt auch in der Rolle des TWS als HTTP-Server
Viele Details dazu hier im Forum

Upgrade: Digest Access Authentication im Subsystem HTTP-/REST-API Client
Upgrade: 361 neue Icons & kompletter Refresh aller Icons für VISU und Admin-UI
Upgrade: Dekodierung für sieben weitere DPT im Busmonitor
Upgrade: Verbesserung im Logik Manager bei Modul "SendExplicit"
Upgrade: Verbesserte und erweiterte Benutzerverwaltung bei "Passwort vergessen" der Elab ID

Jetzt in der Insider Version 8 zur 4.5 - für alle Mitglieder des Insider Clubs installierbar
Alle Infos zum Update im Timberwolf Wiki

Server Zertifikate mit Wildcards

Eure Wünsche und Phantasien
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
Benutzeravatar

Ersteller
Dennis
Reactions:
Beiträge: 299
Registriert: Sa Aug 11, 2018 10:35 pm
Hat sich bedankt: 11 Mal
Danksagung erhalten: 171 Mal

Server Zertifikate mit Wildcards

#1

Beitrag von Dennis »

Hallo liebes Wiregate Team,

im Moment sind die self signed SSL Zertifikate beim Timberwolf ja immer auf

DNS-Name=timber.wolf
DNS-Name=timberwolfXX.local
CN = timberwolfXX

(XX= Nummer des Timberwolf)
ausgestellt.

Selbst mit installieren der Custom Timberwolf CA bedeutet dies dass ich "nur" die o.g. URLs verwenden kann ohne einen SSL Fehler zu bekommen.
Will ich aber z.B. timberwolf0815.meine-interne-domaene.lan verwenden (vorausgesetzt natürlich dass diese korrekt per DNS aufgelöst wird) bekomme ich wieder einen SSL Fehler.

Daher wäre mein Wunsch/Vorschlag hier zusätztlich eine Wildcard zu verwenden. Also z.B.:
DNS-Name=timber.wolf
DNS-Name=timberwolfXX.local
DNS-Name=timberwolfXX.*
DNS-Name=timberwolf.*
CN = timberwolfXX

Da es sowieso nur self signed Zertifikate sind sollte das technisch ja machbar sein. Einen Sicherheitsnachteil sehe ich nicht.

Damit könnte dann aber jeder Nutzer fast jede denkbare URL Kombi verwenden ohne die nervigen Fehlermeldungen.

Gruß,
Dennis
Viele Grüße,
Dennis

"TWS 2600 ID:180 + 2x PBM ID:123 + ID:795, 1x TP-UART, VPN offen, Reboot erlaubt"
Wiregate, KNX, 1-Wire, DMX, ...

StefanW
Elaborated Networks
Elaborated Networks
Reactions:
Beiträge: 10808
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 5341 Mal
Danksagung erhalten: 8924 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Hallo Dennis,

ich frage intern mal, aber soweit ich weiß, sind diese Wildcards nicht erlaubt und werden von den Browsern nicht akzeptiert.

Selbst bei den Self-Signed-Zertifikaten gibt es Regeln des browser-Forums.

Woran man denken kann ist, dass eine lokale CA die Zertifikate signed, weil schließlich wir diese für openVPN ebenfals brauchen

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.
Benutzeravatar

dombn
Reactions:
Beiträge: 81
Registriert: So Aug 19, 2018 5:24 pm
Wohnort: Zwischen Köln und Bonn
Hat sich bedankt: 30 Mal
Danksagung erhalten: 39 Mal

#3

Beitrag von dombn »

TLD-Wildcards, mehrere Wildcards oder eine generelle Wildcard (»*«) sind allesamt nicht erlaubt, wie Stefan schon schrieb.

Eine alternative Lösung wäre es, wenn ein eigenes Zertifikat + eigene CA installiert/hochgeladen werden könnte. Wir betreiben bereits eine interne CA und können für unsere xyz.local-Domains »gültige« Zertifikate erstellen. Dafür müsste der TW halt »nur« ein CSR bereit stellen und den Upload des Zertifikats – gerne auch des CA-Zertifiats ermöglichen.

Unsere CA haben wir bereits auf allen Geräten installiert/bereit gestellt und es müsste keine »Fremd-CA« zusätzlich installiert werden.
TWS3500XL #1652 + 2 PBM / TWS3500XL #1713 / TWS2500 #148 / Wiregate 636, VPN offen, Reboot nach Absprache / KNX+1wire+ModbusTCP / Lambda EU08L / Fenecon Home 30 mit 24 kWp und 19,6 kWh Akku

StefanW
Elaborated Networks
Elaborated Networks
Reactions:
Beiträge: 10808
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 5341 Mal
Danksagung erhalten: 8924 Mal
Kontaktdaten:

#4

Beitrag von StefanW »

Hallo dombn, schön Dich zu sehen und willkommen im Forum.

Ich denke da sind zwei Wege sinnvoll.

Zum einen haben wir auf dem Timberwolf Server bereits eine eigene lokale CA installiert, damit man damit OpenVPN-Zertifkate erstellen kann.

Andererseits wäre das für Power-User mit eigener CA durchaus elegant mit CSR zu arbeiten.

==> Ich kläre das mit meinen Systemspezialisten

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.
Benutzeravatar

gurumeditation
Reactions:
Beiträge: 411
Registriert: Mo Aug 13, 2018 10:51 am
Wohnort: Hannover
Hat sich bedankt: 200 Mal
Danksagung erhalten: 273 Mal

#5

Beitrag von gurumeditation »

Bei Firefox ist es offenbar so, dass die History nur als IP-Adressen gespeichert wird.
Das heißt, selbst wenn ich die Serverseite erstmalig mit timberwolfxyz.local aufrufe, wird die URL sofort in die lokale IP-Adresse aufgelöst und mit dieser weitergearbeitet. Der Browser (hier: Firefox) speichert in Folge nur die lokale IP-Adresse.

Bei der nächsten Eingabe von "timb" erscheinen die Vorschläge aus der History. Wenn man diese aufruft, kommt der Zertifikatsfehler, da das Zertifikat nicht für die lokale IP-Adresse gültig ist.

Mit Bookmarks lässt sich das wohl umgehen oder mit fleißigem Ausschreiben der URL.
--
TWS 2500 (ID=137), PBM, Wartungs-VPN=ON, Reboot bitte nur nach Absprache

Saarlaender
Reactions:
Beiträge: 112
Registriert: Sa Jan 05, 2019 1:16 pm
Wohnort: Saarland
Hat sich bedankt: 12 Mal
Danksagung erhalten: 6 Mal

#6

Beitrag von Saarlaender »

Hey Leute,

ich bekommen immer folgende Meldung, obwohl ich die Zertifikate installiert habe von update.timberwolf.io - wobei die womöglich für was anderes gedacht sind?!

Dem Sicherheitszertifikat dieser Website wird von Ihrem PC nicht vertraut.
Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_CN_INVALID

Ist die Meldung (noch) normal und wird später mal behoben oder hab ich irgendwas vergessen durchzuführen? Aufruf via ip-Addy sowie Hostname versucht. Ebenfalls via Edge und Chrome.
Daniel aus dem Saarland :-)

TWS 2600 (ID 170) + TWS3500XL (ID 1216) + PBM01 (ID 597)
Wartungs-VPN aktiv
Reboot nur nach Rücksprache (Wg. Docker)

gbglace
Reactions:
Beiträge: 4105
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1435 Mal
Danksagung erhalten: 1925 Mal

#7

Beitrag von gbglace »

Welchers OS auf dem PC, welcher Browser?
Grüße Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#PV 43,2 kWh Akku; 3x VE MP2 5000; 6,7 kWp > 18 Panele an 4x HM1500 + 1 HM800 WR; Open-DTU

Saarlaender
Reactions:
Beiträge: 112
Registriert: Sa Jan 05, 2019 1:16 pm
Wohnort: Saarland
Hat sich bedankt: 12 Mal
Danksagung erhalten: 6 Mal

#8

Beitrag von Saarlaender »

Win10, Edge und Chrome
Daniel aus dem Saarland :-)

TWS 2600 (ID 170) + TWS3500XL (ID 1216) + PBM01 (ID 597)
Wartungs-VPN aktiv
Reboot nur nach Rücksprache (Wg. Docker)

gbglace
Reactions:
Beiträge: 4105
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1435 Mal
Danksagung erhalten: 1925 Mal

#9

Beitrag von gbglace »

Was ist denn genau die Seite die Du aufrufen möchtest?
Grüße Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#PV 43,2 kWh Akku; 3x VE MP2 5000; 6,7 kWp > 18 Panele an 4x HM1500 + 1 HM800 WR; Open-DTU

alexbeer
Reactions:
Beiträge: 396
Registriert: Mi Sep 12, 2018 1:11 am
Wohnort: NRW
Hat sich bedankt: 213 Mal
Danksagung erhalten: 254 Mal

#10

Beitrag von alexbeer »

Hallo @dombn ,
Kannst du hier den Weg aufzeigen, wie du euer eigenes Zertifikat installiert hast?
Ich Stelle auf meinem Router (pfSense) ein Wildcard-Zertifikat von LetsEncrypt für meine eigene Domain zu Verfügung. Dieses Zertifikat möchte ich gerne per Cron o.ä. regelmäßig / automatisch auf meinem TWS installieren. Die hier mehrfach zu findenden Herausforderungen mit den selbst signierten Zertifikaten hoffe ich so zu umgehen.
Danke für Hinweise
Alex
Zuletzt geändert von alexbeer am Mo Jan 28, 2019 8:42 pm, insgesamt 1-mal geändert.
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit
Antworten

Zurück zu „Feature Requests & Diskussionen Timberwolf Allgemein“