Admin-Oberfläche mit Passwort schützen
-
Hallo,
nach langem Suchen habe ich nun gefunden, wie man die Admin-Oberfläche mit einem Login versehen kann. Dazu habe ich den Haken bei Verschlüsselung (HTTPS) und bei Authentifizierung gesetzt. Allerdings ist dafür ein Zertifikat erforderlich. Dazu habe ich die defaul-Zertifikate ausgewählt. Jetzt ist es mir gelungen, dass ich beim Zugriff auf die Admin-Oberfläche einen Login eingeben muss. Aber es wird mir angezeigt, dass die Verbindung unsicher ist, da das Zertifikat abgelaufen ist. Zunächst habe ich eine Ausnahme erstellt.
Jetzt stellt sich mir die Frage, wie ich gültige Zertifikate bekomme bzw. ist es zwingend erforderlich eine https-Verbindung aufzubauen, um sich authentifizieren zu müssen? Ich möchte den ioBroker nicht ungeschützt lassen.
Ich habe auch was von Lets Encrypt gelesen. Aber meist in Zusammenhang mit dem externen Zugriff. Ich benötige keinen externen Zugriff, da ich eine VPN-Verbindung eingerichtet habe. Also greife ich immer über die IP zu. Wie gehe ich hier am besten vor?
Gruß
Markus
-
Du würdest die Meldung auch bekommen, wenn das Zertifikat noch gültig ist. Das sind selbst signierte Zertifikate, die dann noch zum Beispiel auf den Hostnamen ausgestellt sind. Greift man über die IP auf den Webseite zu, stimmt der Name im Zertifikat schon nicht.
Über Lets Encrypt kann man sich Zertifikate öffentlicher Zertifizierungsstellen besorgen, denen der Browser vertraut. Schaust du beispielsweise im Firefox unter Sicherheit in die Zertifikate und da die Zertifizierungsstellen, siehst du alle öffentlichen Zertifzierungsstellen, denen der Browser von Haus aus vertraut.
Intern benötigst du das nicht unbedingt, sofern du keinen externen öffentlichen Zugriff hast. Ein Passwortschutz geht auch über http ohne Zertifikat. Nur weiß ich nicht, ob der iobroker dies auch kann. Nur wird bei http alles im Klartext übermittelt. Du könntest dir selbst ein neues Zertifikat ausstellen auf den richtigen Namen des iobrokers, dieser müsste im Heimnetz aber auch dann mit den Namen ansprechbar sein. Dennoch wäre es dann kein öffentlich anerkanntes Zertifikat der bekannten Zertifizierungsstellen, für zu Hause aber ok. Wenn man Google anwirft findet man unter selbst signierte Zertifikate erstellen einige Tutorials.
-
Wie richte ich denn Let's Encrypt richtig ein? Es sind E-Mail-Adresse und Domain erforderlich. Was trage ich da für eine Domain ein? Ich möchte meinen ioBroker nicht über eine Domain aufrufen, da ich alles über VPN erledigen kann.
Dann gibt es auch noch einen Pfad zum speichern. Was ist hiermit gemeint? Hier steht standardmäßig letsencrypt drin.
-
Also "Domain" musst du die DNS Adresse eintragen über den der ioBrocker von außen erreichbar ist.
Das kann z.B. auch eine DynDNS Adresse sein (Bei der Nutzung einer FritzBox z.b. MyFritz)
Des Weiteren muss der ioBrocker von außen über Port 80 & 443 erreichbar sein, sonst klappt die Generierung des Zertifikates nicht.
Prinzipiell geht eine Authentifizierung auch bei HTTP, der ioBroker unterstützt das aber nur bei HTTPS.
Wenn dein ioBroker von außen nicht erreichbar ist und du nur den internen Zugriff beschränken möchtest, dann ist das Self-signed Zertifikat völlig ausreichend. Selbst wenn er von außen erreichbar wäre, wäre ein Self-signed Zertifikat auch ausreichend, denn du kennst ja den Host zu dem du die Verbindung aufbaust.
-
Hallo@
Habe mir Smart-Assistenten (iot) Support (Alexa, Google Home) für 2 Jahre genommen. Soll ich mein iobroker trotzden nach außen schützen?
Ich benutze ja nur im Heimnetz.
MfG
-
Wenn dein iobroker keine Verbindung ins WAN hat (internet) sondern der Zugriff nur im internen Netz möglich ist, brauchst du den nicht zwangsweise schützen.
Wenn du aber sichergehen willst, dass nicht jeder in deinem Netzwerk Zugriff auf den iobroker hat, dann ist eine Authentifizierung möglich.
-
Hier in dem Thread auch eine schöne Erklärung zum Thema "Schutz"
