Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Das LetsEncrypt läuft wieder. Im Wesentlichen habe ich das nach der Anleitung hier gemacht, also ohne webroot usw. Wichtig ist in diesem Fall auch den NGINX-Service zu stoppen.
ja, der Restart ist wichtig. Ich habe mal nach https://goneuland.de/certbot-lets-en...ian-9-stretch/
einen Cronjob erstellt, der das Zertifikat jeden Monat erneuern soll. Ich Berichte im September wieder, ob es geklappt hat.
der geht auch auf den NGINX. Wenn der da ein Problem macht, dann ist die Weiterleitung des 443 auf den NGINX wohl ebenso gefährlich, oder?
Gerne lasse ich mir von einem Netzwerkspezi erklären, welches zusätzliche Risiko ich damit eingehe, ich bin da eher kein Fachmann..
Ich leider auch nicht. Und mir ist nicht ganz klar, welches Problem da überhaupt auftreten könnte. Allerdings läuft mein NGINX auf dem gleichen Raspi, wie auch SmartHomeNG und auch die SmartVISU und da bin ich nicht sicher, ob es da Sicherheitsprobleme geben kann.
Aber wenn ich so darüber nachdenke ist ja der NGINX aus, während der Zertifikatsaktualisierung. Das heißt aber auch, dass nicht jeglicher Verkehr über den NGINX läuft, denn sonst würde sich das Zertifikat ja auch nicht aktualisieren lassen. Und somit käme man sicherlich auch mit Port 80 überall ran. Nur per SSL geht es durch den NGINX durch.
"durch" kommst Du, wenn Du im NGINX eine Route definierst, z.B. auf Alexa oder die SmartVISU. Wenn der Proxy "aus" ist (restart), dann antwortet auch niemand auf Port 80, also kommt man nicht "überall ran". Nach meinem Weltbild kommst du mit einer Weiterleitung von Port80 auf den NGINX genau auf dessen Startseite.
Damit genug des Halbwissens, vielleicht kommt ja noch Input von einem Netzwerkprofi.
man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen
man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen
Ich finde den Ansatz toll. Ich habe mir das angeschaut und das ist sicherlich umsetzbar. Ich werde mich damit demnächst mal beschäftigen und das testen.
do_update.sh
#!/bin/bash
service monit stop
service nginx stop
#Need 443 and 80. 443 is always open for Alexa --> only need to open 80
echo "port 80 in Fritzbox öffnen"
upnpc -r 80 TCP #> /dev/null 2>&1
sleep 20
letsencrypt certonly --standalone #--http-01-port 443 #--webroot-path /var/lib/openmediavault/
upnpc -d 80 TCP # > /dev/null 2>&1
service nginx start
Ich habe jetzt ein wenig mehr mit dem certbot getestet. In der Tat und ich kann nicht nachvollziehen warum, muss ich den Port 80 in der Fritz!Box gar nicht öffnen. Es geht auch so. Mir ist nur nicht klar wieso?
Mit "standalone" geht es übrigens alles fehlerfrei.
Tja.... ich teste und teste, aber es funktioniert auch ohne irgendwelche Portfreigaben auf Port 80. Und das macht mich doch etwas stutzig. Als challenge benutzt der selbst "http-01 challenge".
Einzige Rückmeldung beim Abruf, dass das Zertifikat noch nicht erneuert werden muss, ich es aber dennoch machen kann, was für ein crontab dann ungünstig wäre.
hat heute auch jemand das Problem dass das Alexa Plugin nicht mehr funktioniert da die nodejs4.3-Laufzeit wird nicht länger unterstützt wird?
Ich kann nichts mehr Steuern per Alexa
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar