Hallo zusammen,
ich möchte gerne https nutzen aber bekomme das mit den Zertifikaten nicht hin.
Ich habe die Datei /etc/pihole/tls.pem kopiert und auf mein iPhone geladen.
Dort habe ich das Zertifikat installiert.
Wenn ich über pihole Remote eine Instanz anlegen möchte, bekomme ich allerdings folgende Fehlermeldung.
Was mache ich falsch?
Welche iOS-Version verwendest Du?
@DL6ER: Möglicherweise wird das Zertifikat auf iOS abgelehnt, weil es länger als 825 Tage gültig ist?
Hi,
ich verwende iOS 18.3.1 (neueste).
Anbei noch 2 Screenshots:
War meine Vorgehensweise denn prinzipiell richtig?
Hmm, möglich, ich habe keine eigenen Apple Geräte zum Testen. Pi-hole unterstützt derzeit nicht Zertifikate mit kleinerer Gültigkeitsdauer zu erstellen. Im Wesentlichen liegt das daran, dass ich keinen Auto-Renewal Mechanismus bauen wollte. Denn dieser müsste ja auch zuverlässig erkennen ob es sich hier überhaupt um ein von FTL selbst erstelltes Zertifikat handelt. Wenn wir einfach kurz vor Erreichen der Altersgrenze jedes beliebige Zertifikat dort ersetzen würde, würde das sonst zu anderweitigem Unmut führen.
Ideen/Vorschläge?
Welches ist denn das richtige was ich auf meinem iPhone importieren muss?
tls_ca.crt
tls.crt
tls.pem
Nicht, dass ich hier einen Fehler gemacht habe!?
Auf meinem Mac habe ich im Firefox das tls_ca.crt eingebunden.
Dann erhalte ich auch eine verschlüsselte Verbindung. Allerdings nur wenn ich https://pi.hole aufrufe. Wenn ich die IP (in meinem Falle https://192.168.133.2) geht es nicht.
Ja, ich denke das ist die richtige Datei.
Ja, das ist korrekt. Das Zertifikat wurde nur für die Domain, nicht die IP-Adresse ausgestellt. Du wirst das gleiche Verhalten bei > 99% aller Webserver im Internet sehen wenn Du versuchen würdest dort per IP (https://23.60.197.168) statt, z.B., https://www.tagesschau.de, hinzukommen.
Hi JohnWayne111 ,
ich habe (natürlich) das selbe Problem und das ist die Ursache
Ich habe mich direkt an den Entwickler gewendet und sofort eine Antwort erhalten:
I made a change in pihole remote v6.0.2 that allows this correctly now, that bugfix update should be available today or tomorrow (currently in review). Can you try again after updating?
Danke, der Entwickler der App für Pihole remote hat eine neue Version rausgebracht (aktuell noch nicht freigegeben durch Apple) bei dem ich https nutzen konnte
@DL6ER
Ich denke nicht, dass hier ein Renewal Prozess notwendig ist.
Ich kann gerne nochmal Feedback geben, wenn ich final getestet habe.
v6.0.2 korrigiert das Verhalten wohl erst. Aktuell im Apple App Store ist noch v6.0.1 verfügbar
Hmm, sicher? Wenn wir das Zertifikat nur zwei Jahre lang gültig machen, dann wird es in genau zwei Jahren hier sehr viele Tickets geben weil das alte Zertifikat abgelaufen ist und es keinen entsprechenden Automatismus gibt ein neues ohne Zutun des Nutzers auszurollen.
Es macht ggf. Sinn, dem Hinweis bzgl. dem Erstellen eines neuen Zertifikatssatzes in pihole der pi-hole Doku zu folgen.
You can either add the certificate for the other domain as well or you can create a new certificate for the other domain. You can easily create a new certificate by removing the old certificate and restarting
pihole-FTL(e.g.,sudo rm /etc/pihole/tls* && sudo service pihole-FTL restart). This will create a new certificate for the domain configured in/etc/pihole/pihole.toml(settingwebserver.domain).
Bei mir läuft pihole nicht unter "pi.hole"-Domain, sondern unter einer eigenen lokalen. Diese wird dann im Zertifikat zusätzlich eingetragen.
Btw.: für den Browser muss man übrigens das tls_ca.crt file importieren und nicht das tls.pem!
@DL6ER
Nein, sicher bin ich mir nicht. Ich kenne mich damit nicht gut genug aus.
Ich verstehe es aktuell so, dass das Zertifikat 30 Jahre gültig ist.
Der Entwickler der App passt das an, dass keine weiteren Aktionen notwendig sind.
Wichtig an der Stelle: Es geht auch, sofern du überhaupt kein Zertifikat auf dem iPhone installierst (selbst getestet)
Warum willst du es jetzt auf 2 Jahre runtersetzen?
Ist doch egal, es geht auch ohne Installation des Zertifikats. (Warum dann https geht, ist mir allerdings auch ein Rätsel)
Wenn die neue Version der App offiziell draußen ist, teste ich das nochmal und gebe Feedback.
Mit der neuen Version funktioniert es.
Ob man ein Renewal Prozess benötigt, kann ich leider nicht beurteilen.
Danke für die Unterstützung!
This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.
