SHC absichern mit HTTPS von extern

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • SHC absichern mit HTTPS von extern

      Da ich auf das SHC (und auf Kameras, Owncloud etc.) auch von extern zugreifen möchte, wollte ich diese Zugriffe zur Sicherheit verschlüsseln.
      Da es die kostenlosen Zertifikate von Let's Encrypt erlauben, auch Hosts hinter Dyn-DNS-Diensten zu bedienen, habe ich mich dafür entschieden.
      Ziel war es, alle externen Zugriffe abzusichern, ohne die interne Struktur negativ zu beeinflussen.

      Mein erster Versuch war, im Apache eine permanente Umleitung auf die gesicherte HTTPS-Verbindung einzurichten.
      Auch wurde der mjpg-streamer, der kein HTTPS unterstützt und pro Kamera einen eigenen Prozess startet, durch HawkEye ersetzt. Dieser Streamer unterstützt mehrere Kameras gleichzeitig und hat HTTPS implementiert.
      Leider scheint der nicht weiterentwickelt zu werden und unterstützt nur SSLv3, welches als unsicher gilt (und den Browser meckern lässt). Aber zum Glück ist nur eine kleine Änderung am Quellcode notwendig und er unterstützt TLSv1.2.
      Der nächste Kandidat war meine billige China-WLAN-Kamera, deren Firmware auch kein HTTPS unterstützt. Hier war die einfache Lösung, im Apache einen Reverse-Proxy zu konfigurieren.

      Als alles soweit funktionierte, stellte ich fest, dass die Sensoren keine Daten mehr an das SHC senden konnten. Um den Aufwand gering zu halten, wurde die permanente Umleitung des Apache auf HTTPS wieder deaktiviert und er lauschte nun wieder auf beiden Ports, 80 und 443.

      Damit Zugriffe von ausserhalb aber trotzdem immer verschlüsselt werden, habe ich im Router die Portweiterleitung für den Apache von Port 80 extern auf Port 443 intern umgebogen.

      Jeder Zugriff von ausserhalb landet somit definitiv in einer verschlüsselten Verbindung, alle Kommunikation im internen Netz bleibt unverschlüsselt, das spart CPU-Ressourcen, denn Verschlüsselung braucht Rechenleistung ;)

      Einzig die SHC-App kann sich nicht mehr von extern verbinden, aber damit kann ich im Moment leben.

      Wer Einzelheiten zu bestimmten Punkten oder zur Konfiguration wissen will, fragt ruhig ;)