ElabNET Technik Forum

Frage:
Wirkt sich dieses neue Zertifikat auch auf die Anmeldung aus, sodass man nun länger eingeloggt bleibt?
Ich muss mich jetzt derweil z.B. immer wieder mal neu einloggen, obwohl im im Benutzer-Reiter die längste Zeit eingestellt habe.

Guten Morgen Wolfgang,

Eraser hat geschrieben: ↑Mi Sep 30, 2020 6:13 amWirkt sich dieses neue Zertifikat auch auf die Anmeldung aus, sodass man nun länger eingeloggt bleibt?

Nein, das hat nichts miteinander zu tun.

Hier geht es um die TLS-Zertifikate (früher auch als SSL-Zertifikate) bezeichnet, die nur noch eine Gültigkeit von etwas über einem Jahr haben dürfen und deshalb laufend (also einmal jährlich) erneuert werden müssen. Dafür haben wir mit der RC5 nun einen Automatismus implementiert nebst Fehlermeldung und Verwaltung.

Eraser hat geschrieben: ↑Mi Sep 30, 2020 6:13 amIch muss mich jetzt derweil z.B. immer wieder mal neu einloggen, obwohl im im Benutzer-Reiter die längste Zeit eingestellt habe.

Das wird über ein Cokie gesteuert und das gilt auch jeweilig nur in Verbindung mit dem SELBEN (also den einen) Browser an dem das eingestellt wurde.

lg

Stefan

Keine Eile, von hier aus. Bin hier gerade mit Handy am sonnigen Strand. Kommende Woche bin ich dann auch wieder daheim.

Hallo Foristen,

wir haben eben die RC5 mit den neuen Optionen für Datenschutzeinstellungen und die automatische Zertifikatserneuerung bereitgestellt.

Infos: viewtopic.php?f=8&t=2421

lg

Stefan

Eine weitere angedachte Erweiterung ist, dass wir dem Kunden auch eigene Domains in Verbindung mit dem Hostnamen erlauben. Hier müssen wir noch nachdenken, dass damit kein Missbrauch möglich ist.

Darüber habe ich auch schon nachgedacht. Eine Möglichkeit ist, dass erlaubt wird ein eigenes Zertifikat hochzuladen. Der Webserver wird dann beide Zertifikate gemeinsam ausliefern.

Damit habt Ihr nicht das Problem, die Validierung in Eurer CA einbauen zu müssen. Wir Kunden müssen uns dann selbst um ein gültiges Zertifikat kümmern. Das bekommen wir dann vom Hoster unserer Domains oder einem Dienst wie Let's Encrypt.

Wenn der API Call zum Upload des eigene Zertifikat öffentlich ist, kann die Rotation des eigene Zertifikates von der Community in einen Docker Container ausgelagert werden.

Hallo Michael,

BugRoger hat geschrieben: ↑So Okt 04, 2020 11:46 amDarüber habe ich auch schon nachgedacht. Eine Möglichkeit ist, dass erlaubt wird ein eigenes Zertifikat hochzuladen. Der Webserver wird dann beide Zertifikate gemeinsam ausliefern.

Richtig, das haben wir bereits in der Prüfung. Es ist jedoch noch unklar, ob es gelingt den Webserver dazu zu bringen, verschiedene Zertifikate auszuliefern. Das angenommen muss aber auch dann die Verwaltung des Kunden-Zertifikates umgesetzt werden, was nicht sehr schwer, aber auch nicht trivial ist, weil unsere Kunden für alles und jedes ausgiebige Status- und Fehlermeldungen erwarten (weil es diese an anderer Stelle im Server ja auch gibt und damit die Erwartugnshaltung hoch ist). Damit ist es dann nicht ohne Aufwand das umzusetzen.

Aber der Wunsch ist verstanden.

BugRoger hat geschrieben: ↑So Okt 04, 2020 11:46 amDamit habt Ihr nicht das Problem, die Validierung in Eurer CA einbauen zu müssen. Wir Kunden müssen uns dann selbst um ein gültiges Zertifikat kümmern. Das bekommen wir dann vom Hoster unserer Domains oder einem Dienst wie Let's Encrypt.

Nun, es ist nicht nur das Zertifikat, sondern auch der passende private Schlüssel dazu. Es ist also eine Lösung für einen limitierten Nutzerkreis, die damit umgehen können.

BugRoger hat geschrieben: ↑So Okt 04, 2020 11:46 amWenn der API Call zum Upload des eigene Zertifikat öffentlich ist, kann die Rotation des eigene Zertifikates von der Community in einen Docker Container ausgelagert werden.

Das ist ein interessanter Vorschlag, danke dafür.

Die API des Timberwolf Servers ist nur authentifiziert und verschlüsselt über ein spezielles Protokoll nutzbar. Man kann aber darüber nachdenken, solcherart Funktionen zu öffnen.

lg

Stefan

Die API des Timberwolf Servers ist nur authentifiziert und verschlüsselt über ein spezielles Protokoll nutzbar. Man kann aber darüber nachdenken, solcherart Funktionen zu öffnen.

Ob es wirklich nötig ist, ist eine andere Frage. User die auf eine eigene Domain Wert legen, haben vermutlich sowieso noch weitere Dienste auf der selben Domain. Vermutlich mit eigenem Web Server oder Reverse Proxy.

Mit ein bisschen basteln bekommt man es ja auch hin, das der eigene Proxy TLS zum Timberwolf mit Eurer CA spricht. Extern dann mit Let's Encrypt Zertifikat.



Das ist einen Traefik Reverse Proxy, den ich vor allen Webservern, Admin UIs usw. in meinem Haus geschaltet habe. Der Traefik hat einen Let's Encrypt Client eingebaut. Damit habe ich eine saubere TLS Verbindung und muss mich nicht um die Zertifikate kümmern. Das Problem hat man ja nicht nur mit dem Timberwolf. Heute hat ja fast jedes Gerät ein WebUI.

Den Traefik könnte man auch in Portainer stecken. Port 443 ist halt schon vom TImberwolf selbst belegt.

Hallo Michael,

tolle Sache, danke sehr. Es wäre damit praktisch, wenn man den Port einstellbar haben könnte. Habe ich als Anregung aufgenommen.

lg

Stefan