FoxBlackeagle 0 Posted June 5, 2020 Posted June 5, 2020 Hallo zusammen Ich habe folgendes Problem. Mein Emby Server soll mittels HTTPS (über Port 443) und einem Zertifikat das von Certify the Web erstellt worden ist erreicht werden. Das Zertifikat habe ich aus dem IIS Exportiert und in den Emby Einstellungen Hinterlegt (auch mit dem Korrekten Passwort). Ich habe es auch mit dem Standard Port versucht und diesen auf meinem Router Freigegeben allerdings ohne erfolg. Leider kann ich mit der Error Meldung im Log File (Im Anhang) nichts anfangen. Ich danke bereits viel mal im Voraus für eure Hilfe Grüsse Fabian embyserver.txt
Painkiller8818 217 Posted June 5, 2020 Posted June 5, 2020 (edited) Hi,Du hast im Domain Feld https:// mit angegeben. Es steht aber, dass man es ohne Protokoll angeben soll. Lass das Protokoll weg und schreib nur deine domain rein.Weiters sehe ich im Log folgendes:2020-06-05 09:01:09.769 Error App: Error loading cert from C:\Zert\emby2.PFXLäuft dein Emby Server auch auf dem Server wo das Zert liegt? Scheint mir als ob Emby das Zertifikat nicht laden / finden kann.Bei deinem Zertifikat, solltest du nur den Ordner angeben wo es drinnen liegt, nicht direkt die Datei, so wie es im Infotext steht.Versuch das mal.EN:Hi,You have entered https:// in the domain field. But it says that you should specify it without protocol. Leave out the protocol and write only your domain.Furthermore I see the following in the log:2020-06-05 09:01:09.769 Error App: Error loading cert from C:\Zert\emby2.PFXDoes your Emby Server also run on the server where the Zert is located? Seems to me that Emby can not load / find the certificate.In the field where you enter the certificate, you should only enter the folder where it is located, not directly the file as it is written in the info text.Try this. Edited June 5, 2020 by Painkiller8818
FoxBlackeagle 0 Posted June 8, 2020 Author Posted June 8, 2020 Hey Danke für deine Antwort. Ich habe nun die Domain Angepasst, leider hat dies nicht zu erfolg geführt. Und Ja EMBY läuft auf dem Selben Server wie auch die Zertifikate liegen und auch Angefordert worden sind. Leider muss ich den Vollständigen Pfad zu dem Zertifikat angeben das ich ansonsten eine Fehler Meldung erhalte das die Datei nicht gefunden werden kann. Gruss Fabian
Painkiller8818 217 Posted June 8, 2020 Posted June 8, 2020 Hm ok, dann sollte jetzt ein Admin oder Mod helfen, der sich damit richtig gut auskennt.
FoxBlackeagle 0 Posted June 8, 2020 Author Posted June 8, 2020 @@Painkiller8818 danke dir trozdem für deine Hilfe
Seger 115 Posted June 8, 2020 Posted June 8, 2020 kurze Frage, du hast "Erlaube Remote-Verbindungen zu diesem Emby Server" einen Haken drin? Portweiterleitung im Router eingestellt? Log= Zugriff verweigert -> Passwort richtig gesetzt?, richtige Datei angegeben?, Rechte überprüft? PKCS #12 Personal Information Exchange SyntaxDieser Standard beschreibt eine Syntax zum Transfer (und Speichern) von persönlicher Identitätsinformation wie private Schlüssel, Zertifikate sowie andere kryptographische Informationen und Erweiterungen. Er kann als aufbauend auf PKCS #8 verstanden werden, wobei die Information auf jeden Fall mit einem Passwort geschützt ist. Die Dateierweiterungen sind für gewöhnlich .p12 oder .pfx Viele Grüße Seger
FoxBlackeagle 0 Posted June 9, 2020 Author Posted June 9, 2020 Hallo Seger Ja, die Remote-Verbindung ist aktiviert auf dem Emby Server und auch alle Benötigten Ports sind offen für die IP-Adresse des Servers. Habe zu 100% das richtige Passwort für das Zertifikat. Zu dem habe ich nun jedem User auf dem Server volle Berechtigungen auf den Zertifikats Ordner gegeben, allerdings ohne erfolg. Gruss Fabian
Luke 38509 Posted June 9, 2020 Posted June 9, 2020 Are you sure you entered the correct password for the certificate file?
FoxBlackeagle 0 Posted June 12, 2020 Author Posted June 12, 2020 Hey Yes I am shure that the Password is corect. Fabian
Seger 115 Posted June 12, 2020 Posted June 12, 2020 Hat auch der interne EmbyUser eine Berechtigung? Also kommst du z.B. Mit den Usern in der Bibliothekanlage zum Zertifikatsordner? Soll nur als Test dienen, nicht das du denkst das du Zugriff hast und es gar nicht so ist. Ansonsten gern nochmal ein log, wobei da sieht man momentan nur das der Zugriff verweigert wurde, deshalb auch immer die Fragen nach den Berechtigungen und dem Passwort. wird schon...(irgendwann) Viele Grüße, Seger
FoxBlackeagle 0 Posted June 12, 2020 Author Posted June 12, 2020 Hai Seger Also der User auf dem der Emby Dienst Läuft ist der Lokale Administrator, welcher auch berechtigt ist. Der Web User existiert ja nur im Emby und nicht auf Windows ebene, also kann ich den ja auch nicht berechtigen. Oder kann ich das? Gruss Fabianembyserver (2).txt
Painkiller8818 217 Posted June 12, 2020 Posted June 12, 2020 12 hours ago, FoxBlackeagle said: Hai Seger Also der User auf dem der Emby Dienst Läuft ist der Lokale Administrator, welcher auch berechtigt ist. Der Web User existiert ja nur im Emby und nicht auf Windows ebene, also kann ich den ja auch nicht berechtigen. Oder kann ich das? Gruss Fabianembyserver (2).txt Rein theoretisch könntest du auf den Ordner wo das Cert drinnen ist und alle Dateien im Ordner die Windows Berechtigungen auf Vollzugriff für "Jeder" einstellen, aber prinzipiell sollte das nicht notwendig sein, aber ja es würde gehen
FoxBlackeagle 0 Posted June 12, 2020 Author Posted June 12, 2020 @Painkiller8818 Leider hat dies auch nicht funktioniert. @Luke No it dos not helped. Gruss Fabian
Seger 115 Posted June 13, 2020 Posted June 13, 2020 Okay, vielleicht nochmal anders gefragt, kommst du über die Bibliothekverwaltung zum CERT Order. Möchte mit der Antwort sicher gehen, dass der Pfad zum CERT auch frei zugänglich ist. Ansonsten mal den Pfad des CERT auf einen greifbaren anderen Pfad ändern und das Passwort der CERT Datei Doppel checken. Wenn es wieder nicht funktioniert müssen wir anders suchen.
tvdeew 4 Posted June 13, 2020 Posted June 13, 2020 Auf die Gefahr hin, das diese Antwort hier nicht ganz perfekt hinpasst: Man kann auch einfach direkt den IIS als SSL-Offloading Reverse Proxy nutzen. Das hat dann auch gleich mehreren Vorteile: alle automatischen Tools (CSR, CRN, CRL ...) funktionieren weiterhin perfekt (z.B. Let's encrypt), es ist keine Spezialkonfiguration innerhalb vom emby nötig, das emby-Frontend (je nach Konfiguiration) wird deutlich schneller und man kann wieder mehrere Websites auf einem Server betrieben (dank SNI). Außerdem IST HTTP/2 mögich (und konfigurierbar). Ich nutze selbige Konfiguration seit längerem auf mehreren Systemen und sehe auch im Moment keinen Grund das zu ändern :-) Setup: emby default setup IIS default setup ARR Installieren Regel hinzufügen Ansonsten vermute ich, das dein CER base64 encodiert ist und emby aber ASCII ("PEM") erwartet. Schau die das Format schnell an, PKCS#7 wird unter Windows (oder "IIS Kompatibel") gerne mal binär abgespeichert oder von CA's ausgegeben.
FoxBlackeagle 0 Posted June 15, 2020 Author Posted June 15, 2020 On 6/13/2020 at 6:50 AM, Seger said: Okay, vielleicht nochmal anders gefragt, kommst du über die Bibliothekverwaltung zum CERT Order. Möchte mit der Antwort sicher gehen, dass der Pfad zum CERT auch frei zugänglich ist. Ansonsten mal den Pfad des CERT auf einen greifbaren anderen Pfad ändern und das Passwort der CERT Datei Doppel checken. Wenn es wieder nicht funktioniert müssen wir anders suchen. Ich habe nun versucht das Zertifikat einfach zu Importieren, mit dem Passwort das ich im Emby angegeben habe. Die hat auch funktioniert. Zu dem habe ich auch mal der Zertifikat auf ein Laufwerk Ordner gestellt auf dem eine Datenquelle für Serien ist (also muss Emby ja auf diese eine Zugriff haben). Leider hat dies auch nicht funktioniert.
FoxBlackeagle 0 Posted June 15, 2020 Author Posted June 15, 2020 On 6/13/2020 at 2:26 PM, tvdeew said: Auf die Gefahr hin, das diese Antwort hier nicht ganz perfekt hinpasst: Man kann auch einfach direkt den IIS als SSL-Offloading Reverse Proxy nutzen. Das hat dann auch gleich mehreren Vorteile: alle automatischen Tools (CSR, CRN, CRL ...) funktionieren weiterhin perfekt (z.B. Let's encrypt), es ist keine Spezialkonfiguration innerhalb vom emby nötig, das emby-Frontend (je nach Konfiguiration) wird deutlich schneller und man kann wieder mehrere Websites auf einem Server betrieben (dank SNI). Außerdem IST HTTP/2 mögich (und konfigurierbar). Ich nutze selbige Konfiguration seit längerem auf mehreren Systemen und sehe auch im Moment keinen Grund das zu ändern Setup: emby default setup IIS default setup ARR Installieren Regel hinzufügen Ansonsten vermute ich, das dein CER base64 encodiert ist und emby aber ASCII ("PEM") erwartet. Schau die das Format schnell an, PKCS#7 wird unter Windows (oder "IIS Kompatibel") gerne mal binär abgespeichert oder von CA's ausgegeben. Also lässt du Emby einfach im IIS Laufen?
tvdeew 4 Posted June 15, 2020 Posted June 15, 2020 > Leider hat dies auch nicht funktioniert. Wie gesagt, schau mal eben in welchem Format das Zertifikat vorliegt. Windows versteht beides. > Also lässt du Emby einfach im IIS Laufen? Technisch nicht, was auch nicht so einfach geht. Ich lasse emby als eigenständige Anwendungen laufen und greife über den IIS darauf zu, der das als reverse proxy (via ARR) erlaubt. Der IIS managt dabei das SSL (=Offloading, Zertifikate via Let's Encrypt), Vernünftiges W3C Logging, andere Sites (es gibt ja noch mehr Webanwendungen als emby), eine handvoll anderes Zeug und ein bisschen rewrites (wo ich mich für voll viel klügerer halte als das emby Webgui freiwillig zulässt). In meinem IIS laufen aber (.net) Anwendungen. Einfacher: emby lauscht unverschlüsselt auf port 8096, der IIS hingegen auf 80 und 443. Eine bestimmte Site des IIS (Hostheader/SNI Bindung) leitet dann http von 443 (nach der entschlüsselung) an localhost:8096 weiter und die Antworten wieder zurück. Der IIS kann da nebenbei ein bisschen caching machen und brauchbare error-documents rauswerfen.
FoxBlackeagle 0 Posted June 16, 2020 Author Posted June 16, 2020 10 hours ago, tvdeew said: Wie gesagt, schau mal eben in welchem Format das Zertifikat vorliegt. Windows versteht beides. Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS) Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren?
tvdeew 4 Posted June 18, 2020 Posted June 18, 2020 > Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS) Ein (Windows-) PFX ist kein Zertifikat. Ein PFX ist eine PKCS #12 Datei im Binärformat, die die Zertifizierungskette, den Privaten Schlüssel, das zugehörige Zertifikat, Metadaten und Speicherinformationen enthält. Windows exportiert Zertifikate als CER (.cer) und erlaubt beide Formate. Sowohl DER (Binäres X509) als auch Base64. Emby möchte gerne base64 und das Zertifikat (CER) und den Privaten schlüssel getrennt. > Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren? Nein, das wird dir niht helfen. Mit dem Port hat weder das Zertifikat noch die Verschlüsselung zu tun. Du hast noch nicht allzu viel mit Zertifikaten zu tun gehabt, oder? :-)
FoxBlackeagle 0 Posted June 18, 2020 Author Posted June 18, 2020 24 minutes ago, tvdeew said: > Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS) Ein (Windows-) PFX ist kein Zertifikat. Ein PFX ist eine PKCS #12 Datei im Binärformat, die die Zertifizierungskette, den Privaten Schlüssel, das zugehörige Zertifikat, Metadaten und Speicherinformationen enthält. Windows exportiert Zertifikate als CER (.cer) und erlaubt beide Formate. Sowohl DER (Binäres X509) als auch Base64. Emby möchte gerne base64 und das Zertifikat (CER) und den Privaten schlüssel getrennt. > Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren? Nein, das wird dir niht helfen. Mit dem Port hat weder das Zertifikat noch die Verschlüsselung zu tun. Du hast noch nicht allzu viel mit Zertifikaten zu tun gehabt, oder? Leider noch nicht so viel, nur einwenig mit Zertifkaten für den IIS oder Powerhsll
tvdeew 4 Posted June 20, 2020 Posted June 20, 2020 Na dann: Export-Certificate -filepath C:\ORDNER\cert.cer -cert ThumbPrint -type CERT -NoClobber Certutil -encode C:\ORDNER\cert.cer C:\ORDNER\base64cert.cer Ds `Export-Certificate` cmdlet mag freiwillig keine Base64 CER's exportieren, also musst du nochmal certutil bemühen.
UnknownSettler 0 Posted December 12, 2021 Posted December 12, 2021 Hallo, ich bin da auch gerade dran und habe mir mit OpenSSL eine oben genannte PFX Datei erstellt. Dass es base64 sein muss steht bei emby aber nirgends oder? Da kann man ja dann lange probieren.
Painkiller8818 217 Posted December 12, 2021 Posted December 12, 2021 (edited) 17 hours ago, UnknownSettler said: Dass es base64 sein muss steht bei emby aber nirgends oder? Es muss auch kein Base64 sein, das stimmt so nicht. Alles was Emby will ist eine PKCS#12 Datei also eine .p12 so wie es auch im Beschreibungsfeld steht: "Pfad zu einer PKCS #12 Datei" Ich zb. hab bei mir zuhause einen Webserver laufen und kopier mir einfach das Zertifikat von dort, wandle es in eine PKCS#12 Datei um und gebe das im Emby an. Fertig mehr ist es nicht. Da muss gar nix b64 encoded oder decoded werden. Wenn du Windows hast, installier openssl, danach kannst per CMD oder Powershell mit einem Befehl alles umwandeln: openssl pkcs12 -export -in Beispiel.crt -inkey Beispiel.key -out Zertname.p12 Danach hast diene zertname.p12 und die gibst im Emby an. Natürlich gibts solche crt und key to p12 converter auch online Edited December 13, 2021 by Painkiller8818
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now