Nutzung eines eigenen Zertifikats in der Dreambox WebControl
Inhalt
Worum geht's?
Die Dreambox DM 7020 HD lässt sich über eine Web-Schnittstelle (WebControl) mit einem Web-Browser bedienen. Nicht nur http sondern auch das mit SSL verschlüsselte https-Protokoll wird unterstützt. Dazu ist auf der Dreambox ein Standardzertifikat enthalten, das aber prinzipiell vom Web-Browser als unsicher eingestuft wird und man jedesmal den Zugriff explizit erlauben und bestätigen muss.
Um dies zu verhindern, kann man ein eigenes Zertifikat auf die Dreambox aufspielen. Wie man das macht, wird im folgenden beschrieben.
Voraussetzungen
Ich gehe hier davon aus, dass:
- das WebControl auf der Dreambox aktiviert ist (Einstellungen)
- SSL-(https-)Zugriff auf der Dreambox aktiviert ist (Einstellungen)
- ein Passwort für den Web-Zugriff konfiguriert ist (z.B. per Erweiterung oder SSH setzen)
- der heimische Router mit dynamischem DNS (z.B. bei desec.io) konfiguriert ist (Router-Konfiguration)
- der benutzte WebControl-https-Port (Default 443) vom Router auf die Dreambox weitergereicht wird (Router-Konfiguration)
- ein SCP-Zugang zur Dreambox im heimischen Netz möglich ist (z.B. mit
WinSCP).
Man sollte also schon soweit gekommen sein, dass man sein Dreambox WebControl über einen eigenen Domainnamen (z.B. meinedomain.homedns.org) im Internet zugreifen kann, also über https://meinedomain.homedns.org.
Eigene Zertifikate generieren
Dazu gibt es eine sehr schöne Anleitung.
Hier muss man Kapitel 1 bis 3 ausführen. Dabei erstellt man eine eigene Certification Authority (CA), die sich selbst signiert und anschließend ein Server-Zertifikat, das von der CA signiert wird.
- Als
default_bits Parameter in den *.config-Dateien kann man ruhig 2048 wählen.
- Beim Serverzertifikat muss man bei der Abfrage des Common Name seine Domain angeben, also z.B.
meinedomain.homedns.org .
- Der
-days Parameter bvestimmt die Gültigkeit der Zertifikate in Tagen. Hier braucht man nicht zu geizen. Man sollte darauf achten, dass das CA-Zertifikat länger gültig ist, als das Serverzertifikat.
Wenn man nach obiger Anleitung vorgegangen ist, muss man noch das Passwort aus dem privaten Schlüssel des Serverzertifikats entfernen, damit später die WebControl auf der Dreambox auch starten kann. Das macht man mit folgendem Befehl:
openssl rsa -in server.key -out key.pem
Danach kopiert man die öffentlichen Zertifikate der eigenen CA und des Servers zusammen:
cat server.crt > cert.pem
cat ca.crt >> cert.pem
Dies ist deshalb zu empfehlen, da später im Web-Browser die gesamte Zertifikatskette angezeigt wird, von der man dort nur das CA-Zertifikat importieren muss.
Damit hat man nun key.pem und cert.pem.
Zertifikat in der Dreambox austauschen
Das ist eigentlich der leichteste Teil! Man ersetzt die Dateien
/etc/enigma2/cert.pem
und
/etc/enigma2/key.pem
auf der Dreambox mit den oben neu erstellten mittels SCP (z.B. mit
WinSCP).
Sicherheitshalber sollte man sich vorher die Original-Dateien irgendwo sichern.
Man findet an anderen Stellen im Internet die Hinweise, server.pem oder cacert.pem zu ersetzen. Dies war aber in meinem Fall nicht nötig und hat auch keine Auswirkungen gezeigt. Daher kann man diese zwei Dateien lassen, wie sie sind.
Zuletzt die Dreambox neu starten.
Zertifikat unter Windows importieren
Zum Importieren der Zertifikate in den Browser unter Window 7 oder 8 geht man wie folgt vor:
- Internet Explorer als Administrator starten
- Dreambox WebControl-URL aufrufen. Es kommt die bekannte Sicherheits-Warnung. Das Laden der Webseite muss man fortsetzen und man muss sich auf das WebControl einloggen.
- Oben auf das Schild mit dem weißen Kreuz klicken und Zertifikate anzeigen auswählen.
- Reiter 'Zertifizierungspfad' anklicken und das CA-Zertifikat oben auswählen. Anschließend 'Zertifikat anzeigen' anklicken.
Wenn man hier nicht das CA-Zerifikat sieht, hat man das CA-Zertifikat nicht in die Datei cert.pem hinzugefügt.
- 'Zertifikat installieren' anklicken. Diese Option erscheint möglicherweise nur, wenn man den Internet Explorer wirklich als Administrator ausführt!
- Im weiteren Verlauf als Zertifikatsspeicher 'Vertrauenswürdige Stammzertifizierungsstellen' manuell auswählen und den Vorgang abschließen.
- Internet Explorer beenden, neu starten als normaler Benutzer und die Dreambox-WebControl-URL aufrufen.
Das wars dann auch schon.
Axel Findling, 2013-02-22
letzte Änderung 2020-05-06