72-dpijunkie
Goto Top

SSL Problem Bitwaren und iOS App

Frohes Neues zusammen,
ich habe vor meinen Passwort Manager auf "Bitwarden" umzustellen und habe mir Bitwarden über Proxmox bereitgestellt.

Der Server und somit auch die Webgui hört auf 192.168.1.201. Nun habe ich mir die Bitwarden iOS App installiert und wollte mich lokal mit dem Server verbinden (Habe sowieso dauerhaft eine VPN Verbindung nach Hause mit dem Handy, weshalb ein DynDns o.ä nicht benötigt wird um auf Bitwarden zugreifen zu können.)

Leider bekomme ich folgende Fehlermeldung: "Es ist ein Fehler aufgetreten. Exeption Message: Das Zertifikat für diesen Server ist ungültig. Eventuell wird eine Verbindung mit einem Server hergestellt, der vorgibt, "192.168.1.201" zu sein und vertrauliche Daten gefährdet."

Ich habe ein wenig gegoogelt und gesehen, dass man das selbst signierte Zertifikat in iOS installieren muss. Mein Problem ist, dass ich nicht so richtig weiß wie. Ich habe das Zertifikat heruntergeladen und in iOS installiert. Leider ohne Erfolg. Im Zertifikat steht mein DynDNS Name, da ich bei der Installation eine Domain eingeben musste und eine IP nicht funktioniert.

Hoffe es kann mir jmd. helfen?

Danke im Voraus!

Content-Key: 5175501596

Url: https://administrator.de/contentid/5175501596

Printed on: February 2, 2023 at 18:02 o'clock

Member: Cloudrakete
Cloudrakete Jan 01, 2023 at 16:37:53 (UTC)
Goto Top
Moin,

ich gehe davon aus, dass hier HTTPS gesprochen wird. Dementsprechend musst Du auch die URL aufrufen, nicht die IP.
Die URL bzw. FQDN muss mit dem SN aus deinem Zertifikat übereinstimmen.
Member: 72-dpijunkie
72-dpijunkie Jan 01, 2023 at 16:48:56 (UTC)
Goto Top
Okay, klingt verständlich und war auch schon meine Vermutung. Aber wie mache ich das am schlausten, dass ich z.B. bitwarden.lan im Netzwerk erreiche bzw. wie konfiguriere ich Bitwarden im LXC um und erstelle die passenden Zertifikate?

Danke schonmal
Member: Green1492
Green1492 Jan 01, 2023 at 18:35:28 (UTC)
Goto Top
Du kannst bei der Installation ein Lets Encrypt Zertifikat erstellen. Das würde ich auch machen. Dafür muss der Server einmalig aus dem Netz erreichbar sein (ich meine auf Port 80). Du kannst dann den Hostnamen intern entsprechend auflösen lassen über einen DNS-Eintrag. Ist das einfachste face-smile
Member: micneu
micneu Jan 02, 2023 updated at 08:09:24 (UTC)
Goto Top
Mein vorgehen währe:
- einen reverse proxy vor dem Bitwarden setzen
- dieser macht das Letsencrypt für dich
- deinen externen Hostnamen intern mit host override anpassen (in deiner firewall)
Member: 72-dpijunkie
72-dpijunkie Jan 05, 2023 at 08:28:33 (UTC)
Goto Top
Zitat von @micneu:

Mein vorgehen währe:
- einen reverse proxy vor dem Bitwarden setzen
- dieser macht das Letsencrypt für dich
- deinen externen Hostnamen intern mit host override anpassen (in deiner firewall)

Vielen Dank für eure Tipps. Wie mache ich das? Kannst Du mir da evtl. eine detaillierte Anleitung geben?
Member: micneu
micneu Jan 05, 2023 at 08:41:35 (UTC)
Goto Top
google ist dein freund wie man einen revers proxy einrichtet (ich hatte es damals auch gegooglet), die zeit habe ich jetzt nicht dir alles genau zu erklären.
Member: 72-dpijunkie
72-dpijunkie Jan 06, 2023 updated at 09:13:13 (UTC)
Goto Top
Vielen Dank erstmal. Ich habe mich für NGINX ProxyManager auf einer Ubuntu VM entschieden und installiert.
Im Anschluss wollte ich meinen Host mit einem SSL Zertifikat erstellen. Ohne ist dies kein Problem. Allerdings sobald ich bei LE ein Zertifikat anfordere bekomme ich einen Error. Ich vermute es kommt dadurch, dass die Portweiterleitung in meinem Router nichts bringt, da ich einen Glasfaser Anschluss bei der Deutschen Glasfaser habe. Die nutzen IPv6 (Carrier-grade NAT). Gibt es hier irgendwie einen Workaround? Danke im Voraus.

bw
ssl
ubi
Member: micneu
micneu Jan 06, 2023, updated at Jan 09, 2023 at 16:36:27 (UTC)
Goto Top
wenn du einen server bei einem provider hast (z. B. NetCup) kannst du dir auch frp anschauen, da habe ich sogar hier eine kurze Anleitung mal geschrieben. du kannst dir auch den Artikel in der CT durchlesen, die haben da auch Empfehlungen) "Bye bye, localhost" lautet der CT Artikel