SSL nach OpenSSL Installation

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    Nachdem ich Raspbian Wheezy installiert habe, habe ich nach einer Anleitung der c't SSL-Zertifikate erstellen lassen von Open SSL.
    Zuvor konnte ich per DYNDNS- oder der IP-Adresse des Raspi den Apache2-Server erreichen, der "it works" ausgab.
    Surfe ich nun dieselben Adressen per https vorangestellt an, lande ich direkt auf meiner Fritzbox, erhalte also nicht das "it works" des Apache-Servers.

    Woran kann das liegen? Hätte och das in einer config erzwingen müssen? Liegt es an der angegebenen FQN (dyndns-Adresse)?

    Aber warum lande ich auf der Fritzbox?

    Danke...

  • N'Abend,
    vielleicht weil die IP real auf die Fritzbox zeigt und auf der ein Forwarding-Eintrag für Port 443 fehlt?

    Nur so eine spontane Idee ...

    cu,
    -ds-


    PS: Wichtig!
    Bevor Du das Forwarding einrichtest wäre die Frage interessant, ob Du dadurch evtl. den Zugriff auf die Konfiguration Deiner Fritzbox (die aller Wahrscheinlichkeit nach auch über https läuft) kappst.
    Sicherheitshalber mal eine andere Konstellation eintragen, z.B. forward Port 1777 nach Port 443 auf dem Raspi ...

  • Hallo zusammen,

    Zitat

    Bevor Du das Forwarding einrichtest wäre die Frage interessant, ob Du dadurch evtl. den Zugriff auf die Konfiguration Deiner Fritzbox (die aller Wahrscheinlichkeit nach auch über https läuft) kappst.
    Sicherheitshalber mal eine andere Konstellation eintragen, z.B. forward Port 1777 nach Port 443 auf dem Raspi ...

    Das ist kein Problem. Ich betreibe schon seit Jahren einen internen HTTPS-Webserver und habe den TCP-Port 443 von meiner FRITZ!Box an den internen Server weitergeleitet. Mit der Konfigurationsoberfläche hatte ich bislang noch keine Überschneidungen.

    Zitat

    Surfe ich nun dieselben Adressen per https vorangestellt an, lande ich direkt auf meiner Fritzbox, erhalte also nicht das "it works" des Apache-Servers.

    Was wird dir denn von der FRITZ!Box angezeigt? Die Konfigurationsoberfläche oder eine Error-Page?
    Hast du deinen Apache2 auch entsprechend konfiguriert, dass dieser die Zertifikate verwendet und HTTPS-Anfragen annimmt?

    Zitat

    Woran kann das liegen? Hätte och das in einer config erzwingen müssen? Liegt es an der angegebenen FQN (dyndns-Adresse)?

    Du musst wie schon angedeutet den Apache2 konfigurieren. Einfach nur die Zertifikate erstellen wird nicht ausreichen.
    Am FQDN liegt es vermutlich nicht. Du kannst es aber auch mal mit der externen IP-Adresse probieren.
    Kannst du denn von deinem internen Netzwerk auf den HTTPS-Webserver zugreifen - also mit der internen IP-Adresse des Raspberry Pi's?

    Gruß Georg

  • Mein Vorgehen war:

    sudo mkdir /etc/apache2/ssl

    sudo openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -out /etc/apache2/ssl/server.crt -keyout /etc/apache2/ssl/server.key

    sudo a2enmod ssl

    sudo ln -s /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled/000-default-ssl

    sudo nano /etc/apache2/sites-enabled/000-default-ssl

    dort dann hinzufügen:
    SSLCertificateFile /etc/apache2/ssl/server.crt
    SSLCertificateKeyFile /etc/apache2/ssl/server.key

    und dann unter /etc/phpmyadmin/config.inc.php
    c/phpmyadmin/config.inc.phpPHP
    hinzufügen:
    $cfg['ForceSSL'] = 'true';

    D.h. mir ist immer noch nicht klar, warum bei https://meine-Adresse.dyndns.de die Fritzbox-Konfigurationsseite meinen Usernamen und Passwort verlangt (MyFritz ist eingerichtet).

    Und, den Port TCP 443 kann ich nicht auf den Raspi forwarden, da die Fritzbox meint, diese Umleitung würde eine interne Regel verletzen.

    Help !

  • Hallo blebbens,

    Zitat

    D.h. mir ist immer noch nicht klar, warum bei https://meine-Adresse.dyndns.de die Fritzbox-Konfigurationsseite meinen Usernamen und Passwort verlangt (MyFritz ist eingerichtet).

    Hast du den Fernzugriff auf deine FRITZ!Box vielleicht aktiviert? Dann könnte es sein, dass die FRITZ!Box selber den TCP-Port 443 nutzt. Sieht zumindest so aus.
    In dem Fall entweder den Fernzugriff deaktivieren (würde ich auf jeden Fall abschalten) oder einen anderen Port für die HTTPS-Verbindung zum Raspberry Pi verwenden.

    Gruß Georg

    Einmal editiert, zuletzt von boandlkramer (13. Mai 2013 um 22:05)

  • Myfritz möchte ich nicht anschalten.

    Also konfiguriere ich unter Port Forwarding der Fritzbox:
    Von Port 443 an Port 17xx zur Raspi-IP ?

    Aber von aussen kommt doch stets 443, wenn ich SSL per https nutze? Woher weiss der arouter, wann er auf die Fritzboxseite und wann auf den Raspi leitet?

  • Hallo blebbens,

    Zitat

    Von Port 443 an Port 17xx zur Raspi-IP ?

    Anders herum. Der externe Port 17xx wird an den Port 443 des Raspberry Pi weitergeleitet.

    Zitat

    Aber von aussen kommt doch stets 443, wenn ich SSL per https nutze?

    In der Regel ja, du kannst aber den Port auch in der URL angeben.

    Code
    htts://deine-domain.dyndns.org:portnummer
    Zitat

    Woher weiss der arouter, wann er auf die Fritzboxseite und wann auf den Raspi leitet?

    Anhand des Ports auf welchen zugegriffen wird. Von Außen greifst du dann auf den Port 17xx zu. Dieser wird dann von der FRITZ!Box an den Port 443 des Raspberry Pi weitergeleitet.

    Gruß Georg

  • Super, klappt mit dem Port...

    Nervt mich aber irgendwie... Ein Weg, bei dem der Apache2 auf 80 und 443 reagiert, wäre super, wobei ich nicht MyFritz ausschalten möchte. Evtl kann man ja den MyFritz-Port ändern, aber ob dann die iOS-App noch reagiert?

  • Hallo blebbens,

    Zitat

    Ein Weg, bei dem der Apache2 auf 80 und 443 reagiert, wäre super, wobei ich nicht MyFritz ausschalten möchte.

    Ein Port kann nunmal nur von einem Service genutzt werden. Du musst dich also für Apache2 oder MyFritz entscheiden.

    Zitat

    Evtl kann man ja den MyFritz-Port ändern, aber ob dann die iOS-App noch reagiert?

    Gibt es in der FRITZ!Box dazu denn eine Option? Ich denke das wird man über das Web-Interface nicht einstellen können.
    Des Weiteren musst du dann auf der Client-Seite - also in der iOS-App - auch den neuen Port einstellen können.

    Gruß Georg

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!