SSL Zertifikat for oh-sipclient

[rebell21]

Ich möchte den oh-sipclient in openhab nutzen, um mit dem SIP Client der Doorbird zu sprechen. Der oh-sipclient erfordert HTTPS. Ich habe es mit selbst-signierten Zertifikaten versucht. Aber mit selbst-signierten Zertifikaten schalten Firefox und auch Chrome nicht auf HTTPS um. Ich habe dann versucht, ein Zertifikat von Let'sEncrypt zu erhalten. Dafür benötige ich aber eine offizielle Domain. Diese habe ich nicht. Bei mir läuft der Webserver im internen LAN auf einer 192.168.2.209 Adresse. Dafür kann ich in certbot keine Zertifikat erzeugen

Code: Alles auswählen

peter@asterisk-PBX:~$ sudo certbot certonly --webroot
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): speedport.ip
Requesting a certificate for speedport.ip
An unexpected error occurred:
Invalid identifiers requested :: Cannot issue for "speedport.ip": Domain name does not end with a valid public suffix (TLD)
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
peter@as

Wie kann ich den oh-sipclient nutzen ? Wie kriege ich ein Zertifikat erzeugt, ohne dass ich eine offizielle Domain habe ?

[udo1toni]

Damit Let's Encrypt Dir ein Zertifikat erstellt, muss eine Anfrage auf das zu zertifizierende System erfolgreich verlaufen.
Auf eine private IP (192.168.x.y -> reserviert für private Klasse-C Netze, diese IP-Adressen werden im Internet nicht geroutet) kannst Du kein Zertifikat erhalten. Du kannst aber für Dein Netz einen DynDNS Eintrag erstellen lassen, z.B. über desec.io (das ist kostenlos). Für diesen Eintrag kannst Du dann in Deinem Router den DynDNS Dienst konfigurieren (das kann eigentlich jeder aktuelle Router). Grob beschrieben kennt der Router seine öffentliche IP und übermittelt diese an den DynDNS Dienst, dieser wiederum erstellt in seinem DNS Server einen Eintrag unter "Deinem" DNS Namen und veröffentlicht die Route, so dass Dein Router über diesen DNS Eintrag erreichbar ist. Ändert sich Deine öffentliche IP, so bekommt Dein Router dies mit und meldet die neue IP umgehend an den DynDNS Dienst.
Dann brauchst Du noch eine Portweiterleitung auf das System, welches von Let's Encrypt das Zertifikat erhalten soll. Für private Netze macht man das gewöhnlich über einen Proxy, der die Anfragen passend umschreibt und weiterleitet.

Da Let's Encrypt nur kurze Gültigkeitszeiträume verwendet, ist es wichtig, die Zertifizierung zu automatisieren, dafür gibt es entsprechende Bots, die das Zertifikat automatisch erneuern.

Um Let's Encrypt Zertifikate sinnvoll im eigenen Netz verwenden zu können, braucht es meines Wissens außerdem mindestens einen DNS Forwarder, in dem Du die Einträge für Deinen DNS Eintrag auf die private IP umbiegen kannst, sonst müsste das System dauerhaft über das Internet erreichbar sein (weder für openHAB noch für die Doorbird erstrebenswert). Je nach Router Modell kann das "vollwertig" mit an Bord sein, über "der DNS muss ganz bestimmten Regeln folgen", bis hin zu "Nö" dann muss man im LAN einen eigenen DNS Forwarder einrichten und alle DNS Anfragen aller Geräte im LAN auf diesen Forwarder umbiegen.

[rebell21]

ich habe den certbot von let'sEncrypt versucht für meine DynDNS domain von NoIP.

Der certbot fragt nach dem webroot.

Für meine DynDNS Domain kenne ich den "webroot" nicht und NoIP sagt auch nichts zu einem Webroot. Woher kennst Du den webroot für Deine DynDNS Domain?

[rebell21]

der SIP client funktioniert auch mit selbst-signierten Zertifikaten. Ich musste nur den https Zugriff auf openhab konfigurieren. Das habe ich mit einen nginx als reverse proxy gemacht. Dann musste ich in Firefox ein Sicherheitsrisiko beim Zugriff auf diese Seite erzeugen und dann öffnet firefox openhab im https modus

Problem gelöst

[udo1toni]

Eigentlich sollte es keinen Reverse Proxy benötigen, openHAB bietet ja selbst https Zugriff über (default) Port 8443.

[udo1toni]

ich habe den certbot von let'sEncrypt versucht für meine DynDNS domain von NoIP.

Der certbot fragt nach dem webroot.

Für meine DynDNS Domain kenne ich den "webroot" nicht und NoIP sagt auch nichts zu einem Webroot. Woher kennst Du den webroot für Deine DynDNS Domain?

Gibt es kein Konfigurationsbeispiel für den certbot?
Ich nutze selbst Let's Encrypt für meine Proxmox Systeme und wenn ich mal dazu komme, werde ich mein OpnSense ebenfalls mit einem Zertifikat versorgen. Dort gibt es allerdings jeweils Dienste, in denen die die passenden Daten hinterlegen kann, und da gibt es auch Beispiele, welche Daten wohin gehören...