Discussion:
Radicale mit SSL-Zertifikat
(zu alt für eine Antwort)
Başar Alabay
2024-05-01 08:46:17 UTC
Permalink
Guten Morgen,

gegeben sind:

Ein Raspi, ein aufgesetztes und funktionierendes SSL-Zertifikatssystem
(selbstsigniert, drei Servernamen), ein entsprechend über https
ansprechbares Owncloud, ein über http ansprechbares Radicale. Alles nur
lokal, ohne Öffnung nach außen.

Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.

Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt …
nix. Laut Log hapert es an einem Zugriffproblem. Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch … natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)

Hat jemand zufällig ein ähnliches oder vergleichbares Setup?

B. Alabay
Ralph Aichinger
2024-05-01 08:55:10 UTC
Permalink
Post by Başar Alabay
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Du verstehst unter "so einbinden" hier: Das SSL-Zertifikat in Radicale
oder dem vorgeschalteten Webserver so installieren, dass ein beliebiger
Client im LAN ohne clientseitige Manipulationen (z.B. ohne clientseitiges
Hinzufügen einer CA) per HTTPS auf irgendeinem Port zugreifen kann?

Woran hakelt es denn?
Post by Başar Alabay
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt ???
nix.
Was hast du getan, was hast du erwartet, was ist passiert?
Post by Başar Alabay
Laut Log hapert es an einem Zugriffproblem.
Aber was das "Zugriffsproblem" ist, das verschweigst du uns, genauso wie
das Logfile um das es sich handelt?
Post by Başar Alabay
Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch ??? natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)
Hat jemand zufällig ein ähnliches oder vergleichbares Setup?
Vielleicht solltest du erst mal das Problem genauer beschreiben.
Ich kann dir nicht mal sagen ob ich ein vergleichbares Setup habe, weil
deine Problembeschreibung sehr unkonkret ist.

/ralph
Başar Alabay
2024-05-01 09:12:31 UTC
Permalink
Post by Ralph Aichinger
Post by Başar Alabay
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Du verstehst unter "so einbinden" hier: Das SSL-Zertifikat in Radicale
oder dem vorgeschalteten Webserver so installieren, dass ein beliebiger
Client im LAN ohne clientseitige Manipulationen (z.B. ohne clientseitiges
Hinzufügen einer CA) per HTTPS auf irgendeinem Port zugreifen kann?
Ja, so wie Owncloud – da kommt eine Zertifikatswarnung, und ich kann das
Zertifikat durchwinken oder, besser noch, laden und einbinden (die
zugreifenden Geräte laufen mit macOS, iOS und Android).
Post by Ralph Aichinger
Woran hakelt es denn?
Wenn ich in der Radicale-config die zwei pem-Dateien samt Pfad angebe
und ssl von false auf true stelle, bekomme ich via https keinen Zugriff.
Nicht erreichbar.
Post by Ralph Aichinger
Post by Başar Alabay
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt ???
nix.
Was hast du getan, was hast du erwartet, was ist passiert?
Den User radicale der Gruppe ssl-cert hinzugefügt, diese Gruppe der
Datei zugewiesen … hm, ich sehe gerade, daß die aber nicht /certs
zugewiesen ist.

Aha. Das war’s wohl. Jetzt scheine ich Zugriff zu haben. Bäm.
Post by Ralph Aichinger
Post by Başar Alabay
Laut Log hapert es an einem Zugriffproblem.
Aber was das "Zugriffsproblem" ist, das verschweigst du uns, genauso wie
das Logfile um das es sich handelt?
Ich weiß gerade selbst nicht, welches Logfile das war … ich nehme an,
das Systemlogfile.
Post by Ralph Aichinger
Vielleicht solltest du erst mal das Problem genauer beschreiben.
Ich kann dir nicht mal sagen ob ich ein vergleichbares Setup habe, weil
deine Problembeschreibung sehr unkonkret ist.
Da siehst Du meinen Halbblindflug. Ich habe anscheinend vergessen, daß
es nichts bringt, einer Datei eine Gruppe zuzuweisen, wenn das
Verzeichnis diese Grupe gar nicht hat. Da war eine Gruppe 111 …
womöglich eine Leiche von früher™, in der Gruppe sehe ich auch keine
User, die drin sind. Ich habe /certs jetzt auch ssl-certs zugewiesen.
Augenscheinlich komme ich jetzt weiter.

B. Alabay
Paul Muster
2024-05-01 10:10:30 UTC
Permalink
Post by Başar Alabay
Post by Ralph Aichinger
Post by Başar Alabay
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt ???
nix.
Das fühlt sich für mich nicht gut an. Warum musstest du selbst diese
Gruppe anlegen? "Meine" Distribution (Debian) bringt die selbst mit.
Post by Başar Alabay
Post by Ralph Aichinger
Was hast du getan, was hast du erwartet, was ist passiert?
Den User radicale der Gruppe ssl-cert hinzugefügt, diese Gruppe der
Datei zugewiesen … hm, ich sehe gerade, daß die aber nicht /certs
zugewiesen ist.
/certs? Also direkt unterhalb von root ein Verzeichnis "certs"? Fühlt
sich für mich auch nicht gut an. Gehört sowas nicht eher nach
/var/lib/<irgendwas>?
Post by Başar Alabay
Aha. Das war’s wohl. Jetzt scheine ich Zugriff zu haben. Bäm.
Ja, aber ziemlich gebastelt.


mfG Paul
Başar Alabay
2024-05-01 12:47:57 UTC
Permalink
Post by Paul Muster
Post by Başar Alabay
Post by Ralph Aichinger
Post by Başar Alabay
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt ???
nix.
Das fühlt sich für mich nicht gut an. Warum musstest du selbst diese
Gruppe anlegen? "Meine" Distribution (Debian) bringt die selbst mit.
Weil ich sie vor ein paar Tagen gelöscht hatte.
Post by Paul Muster
Post by Başar Alabay
Post by Ralph Aichinger
Was hast du getan, was hast du erwartet, was ist passiert?
Den User radicale der Gruppe ssl-cert hinzugefügt, diese Gruppe der
Datei zugewiesen … hm, ich sehe gerade, daß die aber nicht /certs
zugewiesen ist.
/certs? Also direkt unterhalb von root ein Verzeichnis "certs"? Fühlt
sich für mich auch nicht gut an. Gehört sowas nicht eher nach
/var/lib/<irgendwas>?
Post by Başar Alabay
Aha. Das war’s wohl. Jetzt scheine ich Zugriff zu haben. Bäm.
Ja, aber ziemlich gebastelt.
Irgendwie schon, ja. Ich weiß nicht, wo der Fehler – wenn es einen gab –
anfing.

B. Alabay
Tim Ritberg
2024-05-01 09:04:55 UTC
Permalink
Post by Başar Alabay
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt …
nix. Laut Log hapert es an einem Zugriffproblem. Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch … natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)
Radicale ist etwas pissig bei SSL.
Die Rechte will er bei mir so:
-rw-r----- 1 root radicale 6364 Dez 23 2021 homeserver.key
Post by Başar Alabay
Hat jemand zufällig ein ähnliches oder vergleichbares Setup?
Ja.

Und das Log verrät dir auch, was ihn nervt.

Tim
Başar Alabay
2024-05-01 12:51:14 UTC
Permalink
Post by Tim Ritberg
Post by Başar Alabay
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt …
nix. Laut Log hapert es an einem Zugriffproblem. Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch … natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)
Radicale ist etwas pissig bei SSL.
-rw-r----- 1 root radicale 6364 Dez 23 2021 homeserver.key
Wenn das nur für Radicale ist/wäre. Das ist aber auch für die private
Cloud, also für den Server. Radicale wird womöglich (?) nicht so
angelegt, daß es auf im System bereits vorliegende Zertifikate und
Schlüssel zugreifen kann. Oder aber es hat sich zwischenzeitlich was
geändert. Ich hatte radicale, wenn ich mich recht erinnere, noch manuell
installieren müssen, mittlerweile scheint das auch in Paketsystemen
angekommen zu sein.
Post by Tim Ritberg
Post by Başar Alabay
Hat jemand zufällig ein ähnliches oder vergleichbares Setup?
Ja.
Und das Log verrät dir auch, was ihn nervt.
Es hatte keinen Zugriff auf … Schlüssel oder Zertifikat.

B. Alabay
Christian Garbs
2024-05-01 21:48:30 UTC
Permalink
Mahlzeit!
Post by Başar Alabay
Ein Raspi, ein aufgesetztes und funktionierendes SSL-Zertifikatssystem
(selbstsigniert, drei Servernamen), ein entsprechend über https
ansprechbares Owncloud, ein über http ansprechbares Radicale. Alles nur
lokal, ohne Öffnung nach außen.
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.
Radicale müsste doch aber auch hinter Apache als Reverse Proxy laufen
können, vielleicht ist das der einfachere Weg?

Dann wird das SSL im Apache terminiert und intern an radiacle
durchgereicht, welches dann nur noch auf localhost lauscht.

Gruß
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
<script>alert("WARNING: You have JavaScript enabled.");</script>
Başar Alabay
2024-05-02 05:42:41 UTC
Permalink
Post by Christian Garbs
Mahlzeit!
Post by Başar Alabay
Ein Raspi, ein aufgesetztes und funktionierendes SSL-Zertifikatssystem
(selbstsigniert, drei Servernamen), ein entsprechend über https
ansprechbares Owncloud, ein über http ansprechbares Radicale. Alles nur
lokal, ohne Öffnung nach außen.
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.
Radicale müsste doch aber auch hinter Apache als Reverse Proxy laufen
können, vielleicht ist das der einfachere Weg?
Das wollte ich mir nicht antun, da schon die Cloud recht stressig war.
Post by Christian Garbs
Dann wird das SSL im Apache terminiert und intern an radiacle
durchgereicht, welches dann nur noch auf localhost lauscht.
Jetzt läuft es ja. Wenn auch immer noch hakelig, aber das liegt
vermutlich an den vielen Daten.

B. Alabay
Alexander Goetzenstein
2024-06-08 22:59:55 UTC
Permalink
Hallo,
Post by Başar Alabay
Guten Morgen,
Ein Raspi, ein aufgesetztes und funktionierendes SSL-Zertifikatssystem
(selbstsigniert, drei Servernamen), ein entsprechend über https
ansprechbares Owncloud, ein über http ansprechbares Radicale. Alles nur
lokal, ohne Öffnung nach außen.
Was mir partout nicht gelingen will: Das SSL-Zertifikat (und den
Schlüssel) so einbinden, daß auch Radicale über https ansprechbar ist.
Radicale nutzt nicht (wie Owncloud) Apache, sondern ist über seinen
eigenen Port erreichbar.
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt …
nix. Laut Log hapert es an einem Zugriffproblem. Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch … natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)
Hat jemand zufällig ein ähnliches oder vergleichbares Setup?
B. Alabay
wenn es noch nicht zu spät ist: wenn Du die Anleitung in > >
https://www.codingblatt.de/raspberry-pi-radicale-caldav-carddav-server-einrichten/
abtippst, solltest Du Erfolg haben.
--
Gruß
Alex
Başar Alabay
2024-06-10 04:51:24 UTC
Permalink
Post by Alexander Goetzenstein
Post by Başar Alabay
Ich habe auch eine Gruppe ssl-cert angelegt und radicale hinzugefügt …
nix. Laut Log hapert es an einem Zugriffproblem. Was könnte das bloß
sein? Ich bin alle x Anleitungen im Netz durch … natürlich muß ich das
auf mein lokales Setting umdenken, aber ich ging davon aus, daß ich
dafür genug technisches Verständnis hätte. Irgendwo klemmt es jedoch :-)
Hat jemand zufällig ein ähnliches oder vergleichbares Setup?
B. Alabay
wenn es noch nicht zu spät ist: wenn Du die Anleitung in > >
https://www.codingblatt.de/raspberry-pi-radicale-caldav-carddav-server-einrichten/
abtippst, solltest Du Erfolg haben.
Es läuft schon eine Weile. Ich hatte dann den Fehler gefunden. Ich weiß
schon gar nicht mehr, was es war – aber es war miniklein und selten
dämlich :-)

Allerdings muß ich sagen … als Adreßbuchserver taugt Radicale auf einem
Pi2 sehr, nicht jedoch als Kalenderserver für 14 Kalender. Das bekommt
dann interessanterweise Owncloud mit links hin, Radicale nicht. Zwei
Adreßbücher hingegen sind nix für Owncloud. Also, verteilt. Vermutlich
wäre ein Pi4 die Erlösung schlechthin, aber ich habe so meine Marotten,
Laufendes nicht außer Betrieb nehmen zu wollen.

B. Alabay
Tim Ritberg
2024-06-10 07:15:29 UTC
Permalink
Post by Başar Alabay
Allerdings muß ich sagen … als Adreßbuchserver taugt Radicale auf einem
Pi2 sehr, nicht jedoch als Kalenderserver für 14 Kalender. Das bekommt
dann interessanterweise Owncloud mit links hin, Radicale nicht. Zwei
Adreßbücher hingegen sind nix für Owncloud. Also, verteilt. Vermutlich
wäre ein Pi4 die Erlösung schlechthin, aber ich habe so meine Marotten,
Laufendes nicht außer Betrieb nehmen zu wollen.
B. Alabay
Da dämmert bei mir was.
Irgendeine Einstellung ist ein Performance-Boost.

Tim
Alexander Goetzenstein
2024-06-10 14:09:30 UTC
Permalink
Hallo,
Post by Başar Alabay
Es läuft schon eine Weile. Ich hatte dann den Fehler gefunden. Ich weiß
schon gar nicht mehr, was es war – aber es war miniklein und selten
dämlich :-)
so ist das meistens -jedenfalls bei mir. ;-)
Post by Başar Alabay
Allerdings muß ich sagen … als Adreßbuchserver taugt Radicale auf einem
Pi2 sehr, nicht jedoch als Kalenderserver für 14 Kalender. Das bekommt
dann interessanterweise Owncloud mit links hin, Radicale nicht. Zwei
Adreßbücher hingegen sind nix für Owncloud. Also, verteilt. Vermutlich
wäre ein Pi4 die Erlösung schlechthin, aber ich habe so meine Marotten,
Laufendes nicht außer Betrieb nehmen zu wollen.
Hier werkelt ein Pi3 mit 7 Kalendern und zwei Adressbüchern vollkommen
unauffällig; das Webinterface ist auch verzögerungsfrei. Mein größeres
Problem ist die Abgrenzung der Kalender gegenüber mehreren Benutzern,
denn wenn man mit Symlinks arbeitet (wobei ich schon damit ein
grundsätzliches Problem sehe), fällt schon mal eine Rechtesteuerung aus;
da kann man allenfalls auf der Client-Seite noch etwas tun, aber sauber
ist das nicht. Eigentlich sollte radicale das selbst können, aber ich
bin wohl nicht der Einzige, dem das nicht gelingt. Als Ausweg, teilweise
als "die" Lösung wird immer wieder das Arbeiten mit Symlinks propagiert,
aber ich hoffe ja, dass ich das irgendwann noch mal richtig gelöst kriege.

Und dann soll da noch ein Pi-hole drauf, da bin ich guten Mutes, dass es
dass noch schafft. Allerdings ist das bei mir nicht alt, sondern
unbenutzt bei meinem Sohn gefunden; neben erspartem Neukauf ist auch der
Stromverbrauch meine Motivation. Der ist bei meinem Rechnerzoo hier
schon erheblich, und jedes Watt 24/7 kostet übers Jahr 3 Euro. Deswegen
war mir der Pi3 auch lieber als ein Pi4 oder neuer, denn die werden auch
nicht sparsamer.
--
Gruß
Alex
Başar Alabay
2024-06-11 04:57:35 UTC
Permalink
Post by Alexander Goetzenstein
Post by Başar Alabay
Es läuft schon eine Weile. Ich hatte dann den Fehler gefunden. Ich weiß
schon gar nicht mehr, was es war – aber es war miniklein und selten
dämlich :-)
so ist das meistens -jedenfalls bei mir. ;-)
Ja, das ist wohl das Übel des Auseinandersetzens mit so Fitzelkram.
Post by Alexander Goetzenstein
Post by Başar Alabay
Allerdings muß ich sagen … als Adreßbuchserver taugt Radicale auf einem
Pi2 sehr, nicht jedoch als Kalenderserver für 14 Kalender. Das bekommt
dann interessanterweise Owncloud mit links hin, Radicale nicht. Zwei
Adreßbücher hingegen sind nix für Owncloud. Also, verteilt. Vermutlich
wäre ein Pi4 die Erlösung schlechthin, aber ich habe so meine Marotten,
Laufendes nicht außer Betrieb nehmen zu wollen.
Hier werkelt ein Pi3 mit 7 Kalendern und zwei Adressbüchern vollkommen
unauffällig; das Webinterface ist auch verzögerungsfrei. Mein größeres
Problem ist die Abgrenzung der Kalender gegenüber mehreren Benutzern,
denn wenn man mit Symlinks arbeitet (wobei ich schon damit ein
grundsätzliches Problem sehe), fällt schon mal eine Rechtesteuerung aus;
da kann man allenfalls auf der Client-Seite noch etwas tun, aber sauber
ist das nicht. Eigentlich sollte radicale das selbst können, aber ich
bin wohl nicht der Einzige, dem das nicht gelingt. Als Ausweg, teilweise
als "die" Lösung wird immer wieder das Arbeiten mit Symlinks propagiert,
aber ich hoffe ja, dass ich das irgendwann noch mal richtig gelöst kriege.
Meine Kalender sind mit Historie befüllt und reichen weit zurück. Ich
lösche Vergangenes nicht. Das hat so ein wenig Archivfunktion. Man
könnte das auslagern. Ja ja.

Ein Pi3 ist schon mehr als ein Pi2. Ich denke, ein Pi4 wäre ziemlich
gut. Ein Pi5 scheint dann langsam abzubiegen.

Hier sind die Kalender so angelegt, daß zwei Personen jeweils eigene und
gemeinsame Kalender haben. Ich mache das nicht so kompliziert mit
Rechten und Gedöns. Ich habe drei User – Person a, Person b und Person
a+b. Und die Kalender kommen jeweils unter den User, den sie für den
richtigen Zugriff brauchen.

B. Alabay

Loading...