Oscam mit SSL letsencrypt Zertifikat

[Phantom]

Ich habe heute mal etwas gespielt und für meine Oscsm ein letsencrypt Zertifikat erstellt. Es nervte mich, das ständig vom Browser gesagt wurde mein Oscam sei nicht vertrauenswürdig

Zu meiner Konstellation
web Server mit Ubuntu 14.04.5 LTS
OScam Version 11391

Zunächst aktualisieren wir das System und installieren git wie auch apache, apache ist nötig damit das Zertifikat erstellt werden kann. Bei IPC sollte Apache nicht nötig sein.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Dann laden wir letsencrypt und erstellen das Verzeichnis /opt/letsencrypt

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Nun wechseln wir in das neue Verzeichnis

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Jetzt erstellen wir das Zertifikat

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Es folgt folgene ausgabe

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Das war es schon fast. lege in dein oscam Verzeichnis eine Datei Namens oscam.pem an.

Öffne jetzt unter /etc/letsencrypt/live/meinedyndns.com zuerst die privkey.pem und kopiere den Inhalt in die oscam.pem Jetzt öffne die cert.pem und kopiere den Inhalt auch in die oscam.pem unter den privkey und speichert diese ab.


In eurer oscam.config setzt jetzt ein + vor dem port

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Am ende könnte der Webinterface abschnitt so aussehen

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Macht jetzt ein neustart und Ihr habt ein grünes schloss neben der URL



Mit dem Zertifikat funktioniert auch das iOS oscam Mgr wieder nachdem SSL aktiv ist.

 

[Alex]

Für IPC hab ich das Ganze mal als Script zusammengefasst. Bitte testen

Spoiler: oscamcert.sh

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[RollinCHK]

Kann man das so für den Raspberry (Stretch) übernehmen, also passen die Pfade?

 

[Phantom]

Mit dem Stretch System kann ich es nicht sagen, das müsstest du einmal testen. Die paths sollten aber gleich bleiben.

 

[Alex]

Sollte problemlos gehen

 

[RollinCHK]

Wie lange ist das Zertifikat gültig, also wie oft muss es neu erstellt werden?

 

[Phantom]

Alle drei Monate muss es aktualisiert werden. Ich schau mal die tage wie man es per Cron einrichten kann.

 

[redm2006]

richtig gut. danke!!

 

[_DIE_HARD_]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

wäre für Jeden Montag um 00:01.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

wäre für den ersten Tag jedes dritten Monats um 00:01.

(Natürlich muss man dann noch OSCAM neu starten)

 

[RollinCHK]

Das heißt man muss gar nicht wieder die Prozedur wie oben beschrieben vornehmen, also
./letsencrypt-auto --apache -d meinedyndns.com usw. sondern der einfache Befehl zum erneuern des Zertifikats lautet letsencrypt renew?

Wenn man es also schafft, 4x im Jahr daran zu denken, z. B. weil man sowieso Oscam updated, oder den Raspberry selbst (z. B. sudo apt-get upgrade) den Befehl auszuführen, dann hat man ein dauerhaft gültiges Zertifikat ohne viel Aufwand?

 

[_DIE_HARD_]

Ja, jedoch sollte es "sudo letsencrypt-auto renew" sein (ich verwende andere Tools). Und du musst entweder in den Ordner der letsencrypt beinhaltet wechseln, den absoluten Pfad zur Binary verwenden oder den Ordner mit letsencrypt zu deiner PATH Variable hinzufügen.

 

[RollinCHK]

Also cd /opt/letsencrypt && sudo letsencrypt-auto renew ... das kann man sich doch merken... Was die Path-Variable ist weiß ich nämlich nicht bzw. wo welcher Eintrag gesetzt werden muss...

 

[RollinCHK]

Ich bekomme folgende Meldung:

Spoiler: Fehler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[_DIE_HARD_]

Beim Erneuern der Zertifikate versucht er, wie beim Erstellen auch, den Server auf dem das letsencrypt Tool läuft zu verifizieren. Jedoch ist es ihm nicht möglich deinen Server zu verifizieren, wahrscheinlich weil er den Apache Server nicht erreicht. Ich selbst nutze Nginx und kann deswegen nichts zu Fehlerbehebung unter Apache sagen.

 

[RollinCHK]

Port 443 wollte wohl freigegeben werden...

Das hat jetzt also geklappt... Nur sagt mir das Oscam Webif immer noch, dass die Webseite nicht sicher ist...