ElabNET Technik Forum

Hallo zusammen,

ich würde gerne in Edomi Grafiken aus Grafana anzeigen lassen.
Edomi läuft als Docker auf einem 2500er, die Visu auf einem Android-Tablet.

Leider schaffe ich es nicht die Grafiken anzeigen zu lassen, es scheint Probleme bei der Namensauflösung zu geben ("ERR_NAME_NOT_RESOLVED").
Wie ist auf Android (Version 8.1.0) das Zertifikat denn zu installieren, ich bekomme es leider nicht hin.

Hat mir jemand einen Tipp bzw. hat es schon hinbekommen???

Vielen Dank und Grüße

Hallo ?

(bitte den Namen drunter schreiben, eine persönliche Ansprache empfinde ich als angenehmer)

Namensauflösung und Zertifikat sind zwei verschiedene paart Stiefel, aber ohne Screenshot ist das schwer zu beurteilen, weil mit nicht klar ist, wer was wann wo anzeigt.

lg

Stefan

sorry, hab ich glatt vergessen.

Was ich noch nicht verstehe, benötige ich das Zertifikat denn überhaupt mit der neuen Möglichkeit des Grafana-Zugriffs oder sollte das auch ohne funktionieren? Falls es ohne gehen sollte, was genau muss ich dann einstellen?

Bezüglich Zertifikat anbei meine bisherige Vorgehensweise:

1. Aufruf von Update.Timberwolf.Io auf dem Tablet
2. Klick auf den Link Timberwolf_Web_CA
3. Folgendes Menü öffnet sich (habs nur abfotografiert, die antike Version des Screenshots) 4. Unter dem Reiter Verwendet für gibt es noch den Punkt WLAN.
Habe hier mal rumprobiert aber ohne Erfolg, was mich gewundert hat, er installiert das Zertifikat dann zwar mit einem entsprechend vergebenen
Namen, will dann aber eine Sicherheitseingabe (Pin, Muster, oder Passwort). Macht für ein Visu-Tablet natürlich keinen Sinn

Viele Grüße Jochen

Guten Morgen Jochen,

jockele hat geschrieben: ↑Sa Dez 12, 2020 8:04 amWas ich noch nicht verstehe, benötige ich das Zertifikat denn überhaupt mit der neuen Möglichkeit des Grafana-Zugriffs oder sollte das auch ohne funktionieren?

Der anonyme Zugriff auf Grafana hat nichts mit der TLS-Verschlüsselung der Webseite zu tun.

Kurze Erklärung:

- Ein Webserver mit aktivem TLS (früher als SSl bezeichnet, das ist die Browser-Verschlüsselung) liefert beim ersten Verbindungsaufbau SEIN INDIVIDUELLES EIGENES Zertifikat aus, mit dem sich DER SERVER gegenüber dem Browser authentifiziert.

- Browser prüfen dieses individuelle SERVER-ZERTIFIKAT ob es gültig und von einer vertrauenswürdigen Stelle ausgestellt wurde. Hierzu prüft der Browser, ob er ein STAMM-ZERTIFIKAT einer vertrauenswürdigen Stelle (das ist die ausstellende CA bzw. eines in der Kette darüber) im Speicher hat. Die Browser Hersteller liefern solche voreingestellten STAMM-ZERTIFIKATE von vertrauenswürdigen (nach deren Geschmack) CAs mit.

- Als eine nicht vom Internet aus erreichbare Appliance (Timberwolf Server) können wir keine SERVER-ZERTFIKATE von einer der bekannten Stellen mit voreingestellter "Vertrauenswürdigkeit" beziehen. Deshalb stellen wir die individuellen SERVER-ZERTIFIKATE für jeden Timberwolf selbst mit usnerer privaten CA aus.

- Ein Browser wird ein solches SERVER-ZERTIFIKAT eines TWS daher beanstanden, weil er dieser standardmäßig nicht vertraut. Die verschiedenen Möglichkeiten hängen nun vom jeweiligen Browser ab. Bei Firefox kann man "Ausnahmeregel erstellen" anklicken und man kann dann mit diesem SERVER-ZERTIFIKAT arbeiten. Andere Browser verlangen, dass das STAMM-ZERTIFIKAT der ausstellenden CA importiert wurde. Apple verlangt darüber hinaus die besondere Bestätigung der Vertrauenswüdigkeit. Was welcher Browser wie wann unterstützt ändert sich alle paar Monate.

- Was alle Browser unterstützen (sollten) ist, dass man das STAMM-ZERTIFIKAT der ausstellenden CA importieren kann. Damit wird meist die Vertrauensstellung eingerichtet. Manche OS / Browser - wie Apple - verlangen zusätzliche Bestätigungen & Freischaltungen

==> Damit ist dann nur die Authentifizierung des Servers gegenüber dem Browser erfolgt. Erst auf Basis dieser Server-Authentifizierung wird vom Browser dann eine verschlüsselter Tunnel aufgebaut.

Das ganze hat nun gar nichts mit der "Anonym"-Einstellung für Grafana zu tun. Weil hier geht es um die (umgekehrte) Authentifizierung des Browers (genauer des Benutzers) gegenüber dem Reverse-Proxy. Durch Aktivieren des neuen Leistungsmerkmales wird nur auf diese Authentifizierung verzichtet (sofern sich kein Admin-Cookie im Browser-Speicher einer vormaligen administrativen Anmeldung befindet).

Die TLS-Verschlüsselung der Web-Verbindung, dessen Voraussetzung die erfolgreiche Prüfung des SERVER-ZERTIFIKATES anhand mehrerer Parameter (wie Übereinstimmung der URL und Vertrauensstellung) hat NICHTS zu tun, das mit der neuen Option keine Benutzeranmeldung am Server erforderlich ist. Weil es sind zwei gegenseitige Authentifizierungen auf unterschiedlicher technischer Basis.

Das Erfordernis für TLS können wir auch nicht fallweise abschalten, weil die Browser es nicht mitmachen, dass man einmal mit TLS und ein andermal ohne TLS auf den gleichen Server zugreift. Zudem greifen die Umleitungsregeln im Server von http -> https (bzw. beim TWS für http/2).

Es ist also technisch gar nicht möglich (weil von den Browsers nicht toleriert) die Grafana-Seiten nun für den Visu-Client ohne Verschlüsselung auszuliefern.

Wer das umgehen möchte, muss sich eine eigene Grafana-Instanz irgendwo installieren und mit einer separaten URL und ohne TLS betreiben (ich nehme an, dass dies möglich sein soillte). Allerdings dürften etliche Browser sich dem auch verschließen, weil unverschlüsseltes http zunehmend abgelehnt wird.


Es tut uns sehr leid, dass dies alles so kompliziert ist. Schuld sind die Hacker, Scamer & Phisher, die mit immer ausgefeilteren Methoden Fake-Seiten von Banken usw. im Internet bauen, um Passwörter, PINs, TANs abzugreifen sowie die Machenschaften diverser Geheimdienste, welche versuchen mit untergeschobenen ("gefälschten") Zertifikaten die Verschlüsselung aufzubrechen um politische Gegner, Aktivisten, Journalisten, Rechtsanwälten usw. zu bespitzeln. In autokratischen Ländern kann das für einen Dissidenten eine lange Haftstrafe oder den Tod bedeuten. Auch deren Rechte gilt es zu schützen, daher verschärfen die Browser-Hersteller die Sicherheitsüberprüfungen mit Webservern immer mehr. Das ist auch richtig so, weil wir wollen alle vor den Gaunern und vor Bespitzelung geschützt sein, nur leider hat man die Appliances dabei vergessen.

Leider habe ich kein Android, womöglich mag ein anderer Browser auf dem Tablett helfen. Versuche doch mal den Firefox.


Ich wünsche viel Erfolg, ein Mitglied aus der Community mit Android wird sicher einen Tipp für Dich haben

mfg

Stefan

Hallo zusammen! Hallo Stefan!

Ich finde zwar die detaillierte Erklärung sehr interessant, aber sie hilft mir bei diesem Thema auch nicht wirklich weiter.
Unabhängig vom Thema Grafana scheitere ich am Thema Zertifikat unter Android auch seitdem der Wolf bei mir eingezogen ist.

Das ist zwar bis dato kein Problem, da ich einerseits im Kiosk Browser die Warnung deaktivieren kann und dann über die IP Adresse zugreife, andererseits verwende ich die Cometvisu, die über den Proxy zugreift.

Dennoch würde mich ein Weg interessieren, einem Android das Zertifikat erfolgreich zu lernen. Angezeigt wird es als installiert, aber der Zugriff scheitert dennoch. Und ich würde davon ausgehen, dass das mehrere Leute betrifft. Ich erinnere mich aber daran, dass so mancher das erfolgreich geschafft hat (zB @bodo glaub ich).

lg
Robert

Bei mir hat es auf dem Android Tablet auch nie wirklich funktioniert.
Vor allem hat das Zertifikat dann immer dafür gesorgt, dass eine Passwortabfrage am Sperrbild eingestellt werden MUSSTE. Das wollte ich aber innerhalb der Familie niemandem antun.

danke erstmal für die Erklärungen, ich denke es so halbwegs verstanden zu haben.

Leider weiß ich aber immer noch nicht ob es mit dieser Konstellation (Edomi im Docker auf TWS + vorinstalliertes Grafana + Android-Tablet mit Fully Kiosk Browser) möglich ist Grafana-Diagramme in Edomi auf irgendeine Art und Weise anzuzeigen.

Kann mir hier vlt nochmal jemand auf die Sprünge helfen, der es doch so am laufen hat bzw. hatte,

danke und schönen Restsamstag Euch allen,

Jochen

Kommando zurück, habe soeben die entsprechende Einstellung gefunden im Fully Kiosk Browser,

viele Grüße

Welche Einstellung meinst du?
Robert

unter advanced settings gibt es den Eintrag "ignore ssl errors", den habe ich aktiviert. JEtzt bekomme ich die Diagramme zumindest angezeigt