Eigenes Zertifikat inkl. RootCA

Schreibe eine Antwort

Bestimmt kennt ihr das … ihr setzt eine eigene, lokale Nextcloud auf (z.B. auf einem Raspi mit NextCloudPi), funktioniert alles wunderbar. Aber in der URL meckert Chrome, Vivaldi oder Firefox, dass das https-Zertifikat nicht gültig ist.

Die Lösung: wir erstellen unsere eigene RootCA und ein Zertifikat für unseren raspi.

Hier eine hoffentlich Schritt-für-Schritt-Anleitung:

Vorbereiten – ein Linux

Wir brauchen ein Linux-System für openssl. Ich habe Windows10 und mache es mir daher einfach … WSL (Windows Subsystem für Linux) installiert und dann Ubuntu darauf laufen lassen. Ein Linux innerhalb von Windows, läuft wunderbar.

Falls ihr das auch wollt:

  1. WSL2 für Windows installieren
  2. Ubuntu 20.04 installieren aus dem Windows Shop

Zertifikate erzeugen

Zuerst benötigen benötigen wir einen privaten Schlüssel für unserer rootCA (heißt bei mir haschickCA). Also einfach eingeben:

openssl genrsa -aes256 -out haschickCA.key 4096

Dabei wird ein Passwort abgefragt. Dieses (wie auch die haschickCA.key) unbedingt geheim halten. Am besten in eurem Passwort-Manager (bspw. KeePass) speichern.

Dann benötigen wir das Root-Zertifikat (was wir in Windows, im Android, … installieren werden):

openssl req -x509 -new -nodes -extensions v3_ca -key haschickCA.key -sha256 -days 2136 -out haschickCA.crt

Jetzt haben wir unser Root-Zertifikat (in diesem Fall die Datei haschickCA.crt).

Nun weiter im Text mit dem eigentlichen Zertifikat für unseren raspi.

Die Logik ist fast analog:

  1. privaten Schlüssel erzeugen, aber diesmal ohne Passwort
  2. Zertifikatsanfrage erzeugen, von der CA signieren lassen -> das Ergebnis ist unser SSL-Zertifikat

Für Schritt 1 (privaten Schlüssel ohne Passwort erzeugen)

openssl genrsa -out raspi.key 4096

Für Schritt 2:

Zertifikatsanforderung (CSR – Certificate Signing Request) erzeugen:

openssl req -new -sha256 \
    -key raspi.key \
    -subj "/C=DE/ST=SN/O=Frank Haschick/OU=raspi/CN=raspi" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:raspi")) \
    -out raspi.csr

CSR signieren und damit Zertifikat anlegen

openssl x509 -req -extfile <(printf "subjectAltName=DNS:raspi\r\nextendedKeyUsage=serverAuth") -days 825 -in raspi.csr -CA haschickCA.crt -CAkey haschickCA.key -CAcreateserial -out raspi.crt -sha256

Die CSR-Datei benötigt man nicht mehr, die kann man wieder löschen

rm raspi.csr

Fertig, SSL-Zertifikat ist da 🙂

Falls ihr das Ubuntu auf dem WSL laufen habt (wie oben geschrieben), könnt ihr einfach

explorer.exe .

eingeben, und der Windows-Explorer wird gestartet mit genau dem Verzeichnis wo ihr gerade drin gewesen seid, wo also eure Zertifkate liegen.

Alternativ kann man im Windows Explorer auch „\wsl$\“ eingeben und dann zu seiner Linux-Distribution und seinem Verzeichnis wechseln

Zertifikat in raspi / Nextcloud hinterlegen

Jetzt wo ihr euer Zertifikat habt, müsst ihr es auf dem raspi hinterlegen.

Ihr benötigt euer rootCA (haschickCA.crt bei mir), die raspi.crt und die raspi.key.

Die auf den raspi kopieren und dann per SSH auf den raspi einloggen.

RootCA hinterlegen

Ihr solltet die RootCA nicht nur im Windows hinterlegen (dort bitte „Vertrauenswürdige Stammzertifizierungsstellen“ als Speicher auswählen), sondern auch im raspi.
Dazu die RootCA an die richtige Stelle kopieren:

sudo cp haschickCA.crt /usr/share/ca-certificates/haschickCA.crt

Und dann die CA-Pakete neu einlesen:

sudo dpkg-reconfigure ca-certificates

Dort dann das Zertifikat mit Leertaste auswählen und mit ENTER bestätigen.

Zertifikat in Apache hinterlegen

Erstmal kopieren wir unsere raspi-Schlüssel und das Zertifikat an die richtige Stelle:

sudo cp raspi.crt /etc/ssl/certs/raspi.crt
sudo cp raspi.key /etc/ssl/private/raspi.key

Welche Zertifikate von Apache genutzt werden, steht in der nextcloud.conf … also passieren wir die an:

sudo vi /etc/apache2/sites-enabled/nextcloud.conf

Wer mit vi nicht so gut umgehen kann … „i“ drücken zum einfügen.

Dann die 2 Zeilen austauschen (bei mir Zeile 7 und 8):

    SSLCertificateFile      /etc/ssl/certs/raspi.crt
    SSLCertificateKeyFile /etc/ssl/private/raspi.key

Zum Speichern „Escape“ drücken, dann „:wq!“ (alles ohne die „).

Dann noch von Apache die Config neu einlesen lassen:

sudo systemctl reload apache2

Dann probiert es im Browser aus: https://raspi sollte keine Fehlermeldung mehr erzeugen.

Viel Erfolg!

Update 16.03.2021

Das oben beschriebene funktioniert mit Windows und Android, aber nicht mit iOS. Dort gibt es seit iOS 13 neue Regeln (825 Tage Gültigkeit und extendedKeyUsage ergänzt) -> geht jetzt auch auf iOS

Schulbushaltestelle – Ende

Schreibe eine Antwort

Es hat etwas gedauert (und es waren viele Gespräche, Unterschriftenliste, die Involvierung eines Anwalts etc.) notwendig, aber schlussendlich: die Bushaltestelle bleibt auf unbegrenzte Zeit bestehen und die Kinder können weiterhin sicher zur Schule gehen 🙂

Ein voller Erfolg für die Bürgerbeteiligung und unsere Schulkinder. Herzlichen Dank an alle!

Presse wird aufmerksam

Schreibe eine Antwort

Wer am Montag, dem 12.11.2018, mit bei der Schulwegübung war, hat vermutlich auch die Reporterin der Sächsischen Zeitung gesehen.

Diese haben auch einen guten Artikel zu der gefährlichen Situation verfasst:

Risiko Schulweg

Der Polizei war es offensichtlich nicht Recht, dass die Presse dabei war: sie sind ohne Kommentar (und ohne die Übung zu begleiten) weggefahren.

Jetzt heißt es: weiter Druck machen! Am 20.11.2018 findet 19Uhr die Gemeinderatsversammlung statt. Wenn ihr euch es einrichten könnt, kommt bitte auch dazu. Je mehr Leute dabei sind, desto größer ist das Gewicht unseres Anliegens bei der Gemeinde! Als ob zum Ratssaal des Bürgerhauses Bannewitz (neben der Feuerwehr Bannewitz).

Ortschaftsratssitzung 25.10.2018

Schreibe eine Antwort

Wie geplant war ich kurz von 18:30 (da aus der Nähe von Göttingen kommend) am Seniorentreff in Rippien (bei Frau Dr. Preißler, Pirnaer Str. 33 in Rippien).

Leider war es mir nicht möglich, zur Versammlung zu gelangen, welche offensichtlich im Obergeschoss stattfand. Alle Türen waren verschlossen. Auf klingeln und klopfen reagierte niemand.

Nachdem ich dann Herrn Renato Otto (Ortsvorsteher) auf dem Festnetz und seinem Handy angerufen hatte, welches ebenfalls unbeantwortet blieb, habe ich ihm eine SMS geschrieben, er möge sich bitte bei mir melden sobald er es ließt, ich komme gern zurück zur Versammlung.

Leider erhielt ich erst NACH der Versammlung eine Antwort mit Dank für mein Interesse sowie dem Hinweis, dass die Handys während der Versammlung aus sind. Im anschließenden Telefonat wurde die Vermutung angestellt, die Ärztin hätte die Türen verschlossen.

Inwiefern dies überhaupt den Sachverhalt einer öffentlichen Versammlung darstellt will ich jetzt nicht beurteilen.

Ich habe den Ortschaftsrat daher schriftlich um eine Stellungnahme zum Anliegen „Schulbushaltestelle Hänichen“ gebeten.

Schulbushaltestelle Hänichen

Schreibe eine Antwort

Anfang Oktober wurde die neue Bushaltestelle „Am Käferberg“ für die aus Dresden kommenden Busse (360, 366, 353) Richtung Possendorf fertiggestellt. Die behindertengerechte Haltestelle ist an den dahinterliegenden Wander-/Radweg „alter Bahndamm“ angeschlossen und geht (laut Mitteilung des Ordnungsamts vom 18.10.2018) ab 05.11.2018 in Betrieb.

Ab dem 10.12.2018 wird die Haltestelle auch vom Schulbus angefahren.

Was bedeutet das für die rund 40 Grundschulkinder aus dem Ortsteil Hänichen, welche mit dem Schulbus in die Grundschule nach Possendorf fahren?

Aktuell steigen die Kinder direkt im Wohngebiet an der Haltestelle  Käferbergstrasse in den Schulbus. Diese ist aufgrund des geringen Verkehrsaufkommens nahezu gefahrlos zu erreichen.

Bedauerlicherweise soll diese Haltestelle zukünftig wegfallen. Die Grundschulkinder sind dann angehalten, früh die viel befahrene Bundesstrasse (B170) ohne Ampel, ohne Zebrastreifen und ohne Verkehrshelfer zu überqueren. Lediglich ein Geländer und eine Mittelinsel dienen als Querungshilfe.

Details dazu bspw. auch bei der Sächsischen Zeitung.

Eines unserer Erziehungsziele ist die Selbstständigkeit unserer Kinder und dazu gehört auch, dass sie ihren Schulweg alleine gehen können.

Dass dies ebenfalls im Interesse der Gemeinde Bannewitz liegt, zeigt die Sperrung der Zufahrt für Autos (sogenannte Elterntaxis) zur Schule in Bannewitz (siehe SZ vom 12.05.2018).

Wie also kann die Gemeinde Bannewitz einer Verlegung der Haltestelle veranlassen und somit den Schulweg für die Kinder erschweren?

Ich bin mehrfach mit der Gemeinde Bannewitz (Ordnungsamt, Frau Stiller) in den Austausch gegangen, um meine Bedenken und Sorgen bezüglich der Sicherheit zu offenbaren.

Alle Anfragen bezüglich einer Ampel, eines Zebrasteifens und/oder eines Verkehrshelfers wurden negativ beschieden. Das heißt, diese Vorschläge wurden abgelehnt bzw. müssen im Fall des Verkehrshelfers von den Anwohnern selber umgesetzt werden. Details dazu gern auf Anfrage.

Das Argument vom Ordnungsamt (neben dem Anbringen der Mittelinsel sowie eines Geländers) ist: die Eltern sind für die Sicherheit Ihrer Kinder verantwortlich.

Auch sollte ein weiterer Blitzer „ortsauswärts“ angebracht werden. Ob und wann dieser kommt, ist jedoch derzeit ungewiss.  Definitiv nicht mehr 2018.

Das Ordnungsamt gewährt an 3 Terminen (veröffentliche ich, sobald bekannt: sind bekannt, siehe Schulwegübungen) Schulwegübungen mit der Polizei. Dies finde ich sinnvoll, ändert aber nichts an der Tatsache, dass eine Querung der B170 morgens im Berufsverkehr unsicherer ist als eine Haltestelle im Wohngebiet.

Unser Ziel ist es, die Haltestelle im Wohngebiet für den einen Schulbus (7:26 Uhr) zu erhalten.

Ich bin selber bei der Freiwilligen Feuerwehr in Goppeln-Hänichen, und war bereits bei Verkehrsunfällen dabei. Ich möchte auf keinen Fall zu einem Einsatz ausrücken, wo ein Kind an dieser Stelle unter einem Auto liegt!

Wer seine Meinung dafür oder auch dagegen teilen möchte, kann sich gern unter schulweg (at) haschick.de an mich wenden. Ich würde auch ab und zu ein Update verschicken 🙂

[Update 22.10.2018]

Am Donnerstag, den 25.10.2018, findet die Sitzung des OrtschaftsratsGoppeln/Hänichen im Seniorentreff Rippien (Arztstation) statt. Nachdem ein Treffen mit dem Ordnungsamt leider nicht den gewünschten Erfolg gebracht hat, werde ich dort hingehen und diesen Punkt ansprechen, eventuell gibt es von dieser Seite noch Vorschläge, wie man den Erhalt der Bushaltestelle erreichen kann. Eine Klage geht natürlich immer, wäre aber erst der letzte Schritt.

Migration OwnCloud zu Nextcloud

Ab sofort läuft unter haschick.de keine OwnCloud, sondern eine Nextcloud. Installation hat reibungslos geklappt (einfach alle Dateien extrahieren, config.php reinkopieren, owncloud Ordner umbenennen, Nextcloud-Ordner in Owncloud umbenennen und das wars).
Schön 🙂

Bannewitz mit Kindern

Schreibe eine Antwort

Meist sieht oder hört man ja von Orten, wo man sich denkt „das klingt gut, könnte man mit den Kindern mal machen“ oder auch „wir haben einen halben Tag Zeit, was machen wir“.
Um diese beiden Sachen zusammen zu führen, habe ich mir eine Google Maps Karte angelegt, und trage dort die Punkte ein.

Falls jemand auch nach Ideen sucht:

(Die Karte wird von mir ständig aktualisiert und wir damit hier auch automatisch aktualisiert)

Weitere Ideen gerne in die Kommentare!

Updates:
23.06.2016:
– Mini-Wanderroute Heidemühlenteich mit aufgenommen, danke an Frank für den Tipp!

OpenELEC 6.0.3 und BluRay abspielen

5 Antworten

OpenELEC läuft prinzipiell super und im HTPC ist auch ein BluRay-Laufwerk drin.
Normalerweise kann man BluRays auf Linux allerdings nicht abspielen (schönen Dank liebe Content-Anbieter …). Da man als ehrlicher Käufer der Dumme ist, könnte man es sich natürlich auch gleich illegal irgendwo runterladen.
Oder man verwendet MakeMKV.

Dazu sind offensichtlich in OpenELEC nur 3 Dinge notwendig
1. über das inoffizielle Repo „MakeMKV“ installieren
2. per SSH auf OpenELEC gehen und den aktuelle Beta-Key (der aktuelle liegt immer unter http://www.makemkv.com/forum2/viewtopic.php?f=5&t=1053) eintragen:
ins Verzeichnis wechseln (vom Storage Verzeichnis ~ aus):
cd .MakeMKV/

Dort mittels z.B. vi eine Datei Namens „settings.conf“ anlegen. Dazu einfach eingeben
vi settings.conf
Dort den aktuellen Key reinschreiben, und zwar so:
app_Key="T-s3Sxxxxxxxxxxx"
(Speichern mit Esc, dann eingeben „:wq!“; wenn ihr nicht im Schreibmodus seid, „i“ drücken)

Dann könnt ihr, wenn eine BluRay drin liegt, mittels
makemkvcon info dev:/dev/sr0
euch die Analyse von MakeMKV anschauen.

3. Damit Kodi auch die BluRay über MakeMKV abspielt, muss noch folgendes in die „~/.config/autostart.sh“ eingefügt werden (die Datei gibt es schon, könnt ihr euch mit „ls -la“ anzeigen lassen; Datei öffnen wieder mit vi autostart.sh und dann „i“ für den Insert-Modus drücken):
(von http://openelec.tv/forum/128-addons/77969-guide-playing-bluray-with-official-oe-build)
###### this is for blu ray via makemkv##################################

PROFILE_PATH=/etc/profile.d
NEW_PROFILE_PATH=/var/tmp/profile.d

if [ -d $NEW_PROFILE_PATH ]; then
umount ${PROFILE_PATH}
rm -r $NEW_PROFILE_PATH;fi

cp -r ${PROFILE_PATH} /var/tmp

mount --bind ${NEW_PROFILE_PATH}/ ${PROFILE_PATH}/

KODI_PROFILE=$NEW_PROFILE_PATH/99-kodi.conf
MAKEMKV_PATH=/storage/.kodi/addons/lib.multimedia.makemkv

echo "LIBBDPLUS_PATH=$MAKEMKV_PATH/lib/libmmbd" >> $KODI_PROFILE
echo "LIBAACS_PATH=$MAKEMKV_PATH/lib/libmmbd" >> $KODI_PROFILE
echo "MAKEMKVCON=$MAKEMKV_PATH/bin/makemkvcon.bin" >> $KODI_PROFILE
#echo "MMBD_TRACE=1" >> $KODI_PROFILE

echo "export LIBBDPLUS_PATH" >> $KODI_PROFILE
echo "export LIBAACS_PATH" >> $KODI_PROFILE
echo "export MAKEMKVCON" >> $KODI_PROFILE
#echo "export MMBD_TRACE" >> $KODI_PROFILE

####################blu ray makemkv support done#########################

Ergebnis: damit wird z.B. MadMax bei mir einwandfrei in OpenELEC abgespielt 🙂

Antec Fusion iMon-LCD und OpenElec

Schreibe eine Antwort

So, der Wechsel von Windows MCE auf OpenElec(Kodi) ist vollzogen und prinzipiell ist es super 🙂

Gut, die Einrichtung war nicht ganz einfach. Z.B. hängt bei mir (noch) die Digital Devices CineS2 im HTPC. Über das offizielle Repository kann man TVHeadend installieren, aber das ist nur der Client. Der TVHeadend-Server wird nicht mit installiert, sondern den muss man über das inoffizielle Repository (ins offizielle Repository gehen und dort „Addon-Verzeichnis“  -> „OpenELEC Add-ons (unofficial)“ auswählen) nachinstallieren und konfigurieren. Man sitzt mal einen Abend dran, aber jetzt funktionieren auch beide Streams parallel und es sieht wirklich schick aus.

Was leider noch nicht geht: die Harmony Fernbedienung und das iMon LCD Display.

Nachdem ich das Addon „lcdpro“ installiert, unter Optionen -> OpenELEC -> Services -> Treiber die LCD-Treiberunterstützung aktiviert und als LCD-Treiber „imonlcd“ gewählt hatte, hat zumindest die Anzeige der Sendungen etc. gestimmt.

Allerdings hat sich das Display beim Runterfahren nicht ausgeschaltet, es stand dauerhaft „Thanks for using OpenELEC“ da.

Nach viel suchen habe ich es gefunden. Mit SSH verbinden (root/openelec) und dann erst (sofern nicht vorhanden) die Config kopieren:

cp /etc/LCDd.conf /storage/.config/LCDd.conf

und dann mit vi oder nano die /storage/.config/LCDd.conf bearbeiten. Dort drin dann setzen:

...
driver=imonlcd
...
# GoodBye message: each entry represents a display line; default: builtin
GoodBye=" "
GoodBye=" "
...
Soundgraph iMON LCD ## (ca. Zeile 682)
[imonlcd]
# Specify which iMon protocol should be used [legal: 0=15c2:ffdc device,
# 1=15c2:0038 device; default: 0]
Protocol=1
# Set the exit behavior [legal: 0=leave shutdown message, 1=show the big clock,
# 2=blank device; default: 1]
OnExit=2

(welches Device man hat, sieht man mit lsusb im Terminal)
Dann noch ein reboot und das wars