Ankündigung

Einklappen
Keine Ankündigung bisher.

Zugriff ohne VPN

Einklappen
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
    #16
    Zitat von trollvottel Beitrag anzeigen
    Hm. Könntest Du nicht einfach ein Customfeld für Letsencrypt anbieten, wo man einen zusätzlichen Hostnamen angeben kann der dann via ACME verifiziert wird? AFAIK kann man bei Letsencrypt auch mehrere Hostnamen auf einmal validieren lassen und in dasselbe Cert packen.
    Das es so geht hätte ich mir auch vorgestellt!

    VG
    Jürgen

    Kommentar

      #17
      Zitat von callidomus Beitrag anzeigen
      das geht leider nicht. Das funktioniert nur mit Domains bei denen ich DNS-Einträge modifizieren kann.
      Müsste dann das Zertifikat von Feste-IP gemacht werden?

      Kommentar

        #18
        Zitat von heckmannju Beitrag anzeigen

        Müsste dann das Zertifikat von Feste-IP gemacht werden?
        Es muss nur in dem Moment der Validierung bei Letsencrypt (ACME-Protokoll) sichergestellt sein, dass das well-known-secret über beide Hostnamen gelesen werden kann. Das müsste Callidomus aber erst einbauen, dass weitere Hostnamen ins beantragte Cert aufgenommen werden sollen.

        Das Cert ist dann für beide Hostnamen ausgestellt, den einen bei mycd.eu und den anderen bei feste-ip.de und somit valide für beide.

        IMO wäre das eh sinnvoll, um eigene Domains zu supporten. Es birgt halt Potenzial für Fehler, wenn der A-Eintrag im DNS nicht aktuell ist.
        Zuletzt geändert von trollvottel; 16.11.2016, 15:42.

        Kommentar

          #19
          Hallo,

          ich denke das funktioniert nicht, da man die Autorisierung für ein Cert nicht pro Domainname differenzieren kann.
          Für mycd.eu verwende ich DNS Auth. Die Autorisierung über Files auf einem Webserver benötigt einen HTTP-Server (ohne TLS). Den will/braucht man normalerweise nicht im Internet für das Thema Haussteuerung. Und man muss einen zusätzlichen Port weiterleiten.

          Man kann doch auch ein Zertifikat auf dem Reverseproxy einrichten/verwenden. Von dort geht es dann verschlüsselt oder umverschlüsselt weiter zu callidomus.

          Bis bald

          Marcus

          Kommentar

            #20
            Zitat von callidomus Beitrag anzeigen
            Man kann doch auch ein Zertifikat auf dem Reverseproxy einrichten/verwenden. Von dort geht es dann verschlüsselt oder umverschlüsselt weiter zu callidomus.
            Welchen Referseproxy meinst du da? Ist der auf dem Image installiert?

            Kommentar

              #21
              trollvottel und hotzen (siehe parallel Thread) betreiben einen. Auf dem Image steht keiner zur Verfügung. Würde das Problem aber nur auf diesen Verlagern.

              Kommentar

                #22
                Zitat von callidomus Beitrag anzeigen
                Für mycd.eu verwende ich DNS Auth.
                Und warum kann man das gleiche nicht auch für feste-ip machen?

                Kommentar

                  #23
                  Btw: Ich nutze eine Sophos UTM als Reverseproxy (basiert auf Apache2, Homelizenz ist kostenlos). Mit modifizierter Config, sodass auch Websockets durchgehen. Bisher mit einem cert von StartSSL. Aber wie es mit dieser CA weitergeht, wird man erst noch sehen müssen. Alle paar Monate cert renewal bei Letsencrypt ist mir manuell zu nervig, da die UTM das nicht selber macht. In der Sophos community treiben sich aber schon welche rum, die das per script auch schon auf der UTM machen - Da muss ich auch mal schauen.
                  Zuletzt geändert von trollvottel; 16.11.2016, 23:50.

                  Kommentar

                    #24
                    Zitat von trollvottel Beitrag anzeigen
                    Btw: Ich nutze eine Sophos UTM als Reverseproxy (basiert auf Apache2, Homelizenz ist kostenlos). Mit modifizierter Config, sodass auch Websockets durchgehen. Bisher mit einem cert von StartSSL. Aber wie es mit dieser CA weitergeht, wird man erst noch sehen müssen. Alle paar Monate cert renewal bei Letsencrypt ist mir manuell zu nervig, da die UTM das nicht selber macht. In der Sophos community treiben sich aber schon welche rum, die das per script auch schon auf der UTM machen - Da muss ich auch mal schauen.
                    also ich habe noch nicht verstanden wie dieser Reverseproxy helfen sollte für das Problem mit dem Zertifikat.

                    Kommentar

                      #25
                      Zitat von heckmannju Beitrag anzeigen

                      also ich habe noch nicht verstanden wie dieser Reverseproxy helfen sollte für das Problem mit dem Zertifikat.
                      Tut er, denn man kann eigene Zertifikate einspielen. Frontendseitig hast Du SSL mit eigenen cert z.B. für feste-ip.de und backendseitig Callidomus.

                      Weiterer Vorteil: Man kann weitere Backends neben Callidomus auf dem Defaultport betreiben. Mache ich persönlich z.B. für den Embedded Host Client des ESXi (VMware), DVBLink PVR, Windows Home Server Web Client, FritzBox, ...
                      Zuletzt geändert von trollvottel; 17.11.2016, 00:35.

                      Kommentar

                        #26
                        Hallo Jürgen,

                        Zitat von heckmannju Beitrag anzeigen

                        Und warum kann man das gleiche nicht auch für feste-ip machen?
                        Ich/Du dürfen wahrscheinlich keine TXT-Records für die feste-ip Domain machen.

                        Bis bald

                        Marcus

                        Kommentar

                          #27
                          Hi,
                          dann muss das Zertifikat von den Inhabern der feste-ip Domain gemacht werden und diese müsste ich dann irgentwie auf meiner Instanz installieren?
                          Viele Grüsse
                          Jürgen

                          Kommentar

                            #28
                            Zitat von heckmannju Beitrag anzeigen
                            Hi,
                            dann muss das Zertifikat von den Inhabern der feste-ip Domain gemacht werden und diese müsste ich dann irgentwie auf meiner Instanz installieren?
                            Viele Grüsse
                            Jürgen
                            Nein. Es gibt auch andere Wege, via ACME zu validieren. Eben z.B. einfach über ein File mit einem bestimmten Inhalt auf einen HTTP-Server zu legen und über genau den Hostnamen zugänglich zu machen, für den das SSL cert ausgestellt werden soll. Und eben dieses Cert in einem Callidomus vorgeschalteten Reverseproxy einspielen.

                            Kommentar

                              #29
                              Hi,
                              die Complexität und den weiteren Rechner für einen Reverseproxy würde ich mir nur ungern antun außer Marcus macht das out of the box auf dem Callidomus image.

                              Frage:
                              Funktioniert den der Zugrif von einem Handy mit IPV6 IP (gibt es von der Telekom) auf mycd.eu auf den Callidomusrechner der über DS-Lite angeschlossen ist?

                              VG
                              Jürgen

                              Kommentar

                                #30
                                Hallo Jürgen,
                                Zitat von heckmannju Beitrag anzeigen
                                Frage:
                                Funktioniert den der Zugrif von einem Handy mit IPV6 IP (gibt es von der Telekom) auf mycd.eu auf den Callidomusrechner der über DS-Lite angeschlossen ist?
                                momentan nicht, das könnte ich aber relativ einfach umsetzen. Dein Kabelanbieter verwendet aber schon statische IPv6 Adressen? Ich würde denen auch zutrauen die zu würfeln.

                                Bis bald

                                Marcus
                                Zuletzt geändert von callidomus; 18.11.2016, 09:47.

                                Kommentar

                                Vorherige 1 2 3 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu