Homeassistant SSL & Co.
Worum geht es?
Wenn man den Zugriff auf Homeassistant von ausserhalb des eigenen Netzes ermöglichen will (einerseits um auf Homeassistant lesend oder steuernd zugreifen zu können und andererseits um der HA-App zu ermöglichen, HA die Position des mobilen Geräts etc. mitzuteilen), so sollte der Zugriff von aussen verschlüsselt stattfinden.Herausforderungen
- Sobald man Homeassistant auf https umstellt, ist es nicht mehr per http erreichbar. Das wiederum ist problematich für Komponenten, die kein https sprechen (z.B. die Nuki Bridge)
- Um https nutzen zu können, muss lets encrypt aktiviert werden. Damit dieses regelmässig das Zertifikat erneuern kann, muss ein Zugriff von aussen auf Port 80 ermöglicht werden. Nutzt man aber gleichzeitig in Home Assistant die Möglichkeit eine philips hue zu emulieren, ist der interne Port 80 bereits besetzt, also muss ein anderer Port verwendet werden unter entsprechendem Portforwarding mit Umleitung im Router.
Lösung - Prinzip
Um diese Herausforderungen zu lösen, setzt man einen Reverse Proxy ein. Dieser nimmt Anfragen von aussen per https entgegen und leitet sie intern per http an Homeassistant weiter, das per http erreichbar ist. Somit hat man gegen aussen die Verschlüsselung und intern die unverschlüsselte http-Kommunikation.Lösung - konkret
Als Reverse proxy bietet sich das NGINX Home Assistant SSL proxy add-on an. (Anleitung)Port-Zuordnung
| Router | NGINX | Home Assistant | |
|---|---|---|---|
| Port | Port | Port | Dienst |
| 8124 | 8124 | 80 | Home Assistant |
| 80 | - | 81 | SSL add on |
Let's encrypt
- Anleitung des Addons: https://qw6d05lz75ygoayx.myfritz.net:8124/hassio/addon/core_letsencrypt/documentation
- Anleitung vom April 2021: https://community.home-assistant.io/t/installing-tls-ssl-using-lets-encrypt/196975
- Es gibt ein Addon für HA Supervised, das die Zertifikate organisiert.
- Wenn kein Reverse Proxy (NGINX) eingesetzt wird, muss in
configuration.yamlfolgendes eingetragen werden:
http: ssl_certificate: /ssl/fullchain.pem ssl_key: /ssl/privkey.pem
- Das Addon aktualisiert die Zertifikate auch, wenn es gestartet wird. Nun muss nur noch sichergestellt werden, dass das Addon alle zwei Monate läuft.
- Seit Home Assistant auf Port 80 auch eine Philips hue emuliert, ist dieser Port nicht mehr zugänglich für let encrypt. Darum musste dieser Port auf 81 verschoben werden (gegen aussen weiterhin Port 80, intern umgeleitet auf Port 81, entsprechend konfiguriert im Addon)
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors. Seite genereriert um 10 May 2024 - 07:59
Ideas, requests, problems regarding wiki.doebe.li? Send feedback
This page was cached on 10 May 2024 - 07:59.