Let’s Encrypt Anleitung
-
@markus84 said in Let’s Encrypt Anleitung:
Was meinst du denn mit:
Den Worst case!
Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht
-
@homoran said in Let’s Encrypt Anleitung:
Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht
Also besser nicht zu viel "basteln", um nicht versehentlich das Scheunentor aufzumachen. Verstanden.
-
@markus84
Genau!Sicherheitseinstellungen sollte man nur dann selber modifizieren wenn man ganz genau weiß was man tut
-
Ok, habe mich jetzt dazu entschlossen auf LE zu verzichten
-
Ich habe die doku genau verfolgt und bekomme es einfach nicht auf die Reihe. Ich möchte den Simpl Api adapter per ssl verschlüsseln doch weder über die Einstellungen als auch über den certbot kann ich das Zertifikat für den Port 8087 freigeben. Was mache ich falsch? lg
-
@fabian-mayer sagte in Let’s Encrypt Anleitung:
Port 8087 freigeben
Das ist der Fehler. Es geht nur Port 443 mit Let's Encrypt.
-
@unclesam okay, danke erstmal. Habich auch schon versuch! kommt dann dass Port 443 schon belegt ist oder so in der art.
Heißt also man kann nur eine Anwendung über Let's encrypt absichern? Habe ich das richtig verstanden?
Ich werde den Pi nochmals mit einer SSD festplatte frisch aufsetzen um ev. Externe Fehler zu entfernen. Dann sollte ich so vorgehen:
SSL Daten im IoBroker hinterlegen -> port von der API auf 443 setzen. Port 80 von der domain auf port 80 vom pi und port 443 auf port 443 vom PI - fertig
Stimmt das so?
-
@fabian-mayer Jawohl, richtig.
-
@unclesam thx hat geklappt. Schade, dass nur ein adapter versorgt werden kann.. gibts da andre lösungen dafür? Bzw ist das was geplant?
-
@fabian-mayer Von ioBroker gibt es keine Lösung. Normalerweise macht man ja Let's Encrypt auch nicht im lokalen Netzwerk sondern gegen aussen. Dort würde ich einen HTTPS Reverse Proxy empfehlen, der aufgrund des Host Names dann das richtige Gerät dahinter anspricht. Der letzte Teil dieser Verbindung ist dann natürlich nicht mit LE "verschlüsselt", aber du kannst ja (wenn es sein muss) ein selbstsigniertes Zertifikat verwenden oder sogar deine eigene CA benutzen.
Wenn du eine Synology hast, dann wird ein solcher Reverse Proxy von Haus aus angeboten: https://mikesolin.com/2020/07/07/setting-up-synologys-reverse-proxy-server/
Ich verwende HAProxy um sowas aufzusetzen - mit nginx geht es aber auch.
