Raspberry Pi - Oscam WebIF mit SSL sinnvoll?

[RollinCHK]

Hallo!

Ich hab überlegt, das WebIf von Oscam zukünftig nur noch über SSL ansteuerbar zu machen. Wie sind dazu Eure Erfahrungen. Bringt das wirklich mehr Sicherheit, oder ist auch das kein wirklicher Schutz vor Fremdzugriffen / Angriffen?

Eine Oscam Version mit SSL Support hab ich mir gebastelt. Wie richte ich SSL dann aber nun ein? Ich versteh das mit den Zertifikaten nicht ganz, hab was von 1 Jahr gültig gelesen usw. Ich bin da nicht ganz im Bilde...

Könnt Ihr mir da vielleicht Aufklärung verschaffen...?

Besten Dank schon mal...

 

[at2oo1]

AW: Raspberry Pi - Oscam WebIF mit SSL sinnvoll?

SSL verschlüsselt den Datenverkehr zwischen Browser und Webinterface und macht nur Sinn wenn über das Internet auf das webif zugegriffen wird. Mit openssl ein Zertifikat generieren und in der konfig den port anpassen. Gültigkeit ist wurscht, nach einem Jahr meckert der Browser, mehr aber auch nicht...

sudo apt-get update
sudo apt-get install openssl

Anschließen können wir unsere Zertifikate erstellen:


# Paßwortgeschützten Server Key erzeugen
openssl genrsa -des3 -out server.key 1024
# Ungeschützte Version extrahieren (der SSL-Server kann ja nicht
# vor der Benutzung selbst ein Paßwort eingeben)
openssl rsa -in server.key -out server.key.unsecure
# Certificate Signing Request (CSR) mit persönlichen Daten erzeugen
openssl req -new -key server.key -out server.csr
# Ein Jahr gültiges, selbst signiertes Zertifikat anfordern
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
# CSR wird nicht mehr benötigt
rm server.csr
# Schlüssel + Zertifikat (in dieser Reihenfolge!)
# in einer Datei zusammenführen
cat server.key.unsecure server.crt > oscam.pem
# Nachschauen, ob auch alles da ist
ls -l
Wenn nicht in ein bestimmtes Verzeichnis gewechselt, liegen die Zertifikate im root Verzeichnis. Jetzt können wir das Zertifikat oscam.pem in unser Verzeichnis kopieren, in dem auch unsere Oscam Konfigurationsdateien liegen.

In der Oscam.conf müssen wir jetzt nur noch unseren httpport anpassen:
...
httpport = +8686 #Für SSL

 

[RollinCHK]

AW: Raspberry Pi - Oscam WebIF mit SSL sinnvoll?

OK, noch mal zur Info:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Kann ich hier statt 365 auch ne Zahl eingeben, um das Zertifikat länger gültig sein zu lassen, doer ist 365 das Maximum?

Ist der SSL Port in der Oscam.conf immer mit 8686 anzugeben, oder kann der beliebig fest gelegt werden?

[edit]
An dieser Stelle: openssl req -new -key server.key -out server.csr ist mir leider überhaupt nicht klar, wwas ich für Angaben machen muss und welche überhaupt nötig sind usw.

[edit2]
OK ich hab jetzt einfach praktisch keine Angaben gemacht. Welche DAteien kann ich am Ende löschen, ich vermute mal die server.key.unsecure kann weg?

 

[at2oo1]

AW: Raspberry Pi - Oscam WebIF mit SSL sinnvoll?

Hauptsache das + steht davor, port ist egal. Laufzeit eines Zertifikats kann man natürlich individuell wählen, das ist letztenendes Geschmackssache.