Jump to content

EMBY über HTTPS


FoxBlackeagle

Recommended Posts

FoxBlackeagle

Hallo zusammen

 

Ich habe folgendes Problem. Mein Emby Server soll mittels HTTPS (über Port 443) und einem Zertifikat das von Certify the Web erstellt worden ist erreicht werden.

Das Zertifikat habe ich aus dem IIS Exportiert und in den Emby Einstellungen Hinterlegt (auch mit dem Korrekten Passwort).

Ich habe es auch mit dem Standard Port versucht und diesen auf meinem Router Freigegeben allerdings ohne erfolg.

 

Leider kann ich mit der Error Meldung im Log File (Im Anhang) nichts anfangen.

 

Ich danke bereits viel mal im Voraus für eure Hilfe :D

 

Grüsse Fabian

embyserver.txt

post-665119-0-67836400-1591341247_thumb.jpg

Link to post
Share on other sites
Painkiller8818

Hi,

Du hast im Domain Feld https:// mit angegeben. Es steht aber, dass man es ohne Protokoll angeben soll. Lass das Protokoll weg und schreib nur deine domain rein.

Weiters sehe ich im Log folgendes:

2020-06-05 09:01:09.769 Error App: Error loading cert from C:\Zert\emby2.PFX

Läuft dein Emby Server auch auf dem Server wo das Zert liegt? Scheint mir als ob Emby das Zertifikat nicht laden / finden kann.
Bei deinem Zertifikat, solltest du nur den Ordner angeben wo es drinnen liegt, nicht direkt die Datei, so wie es im Infotext steht.

Versuch das mal.


EN:

Hi,

You have entered https:// in the domain field. But it says that you should specify it without protocol. Leave out the protocol and write only your domain.

Furthermore I see the following in the log:

2020-06-05 09:01:09.769 Error App: Error loading cert from C:\Zert\emby2.PFX

Does your Emby Server also run on the server where the Zert is located? Seems to me that Emby can not load / find the certificate.
In the field where you enter the certificate, you should only enter the folder where it is located, not directly the file as it is written in the info text.

Try this.

 

Edited by Painkiller8818
Link to post
Share on other sites
FoxBlackeagle

Hey

 

Danke für deine Antwort.

Ich habe nun die Domain Angepasst, leider hat dies nicht zu erfolg geführt.

Und Ja EMBY läuft auf dem Selben Server wie auch die Zertifikate liegen und auch Angefordert worden sind.

Leider muss ich den Vollständigen Pfad zu dem Zertifikat angeben das ich ansonsten eine Fehler Meldung erhalte das die Datei nicht gefunden werden kann.

 

Gruss Fabian

Link to post
Share on other sites

kurze Frage, du hast "Erlaube Remote-Verbindungen zu diesem Emby Server" einen Haken drin?

Portweiterleitung im Router eingestellt?

 

Log= Zugriff verweigert

-> Passwort richtig gesetzt?, richtige Datei angegeben?, Rechte überprüft?

 

 

PKCS #12 Personal Information Exchange Syntax

Dieser Standard beschreibt eine Syntax zum Transfer (und Speichern) von persönlicher Identitätsinformation wie private Schlüssel, Zertifikate sowie andere kryptographische Informationen und Erweiterungen. Er kann als aufbauend auf PKCS #8 verstanden werden, wobei die Information auf jeden Fall mit einem Passwort geschützt ist. Die Dateierweiterungen sind für gewöhnlich .p12 oder .pfx

Viele Grüße

Seger

Link to post
Share on other sites
FoxBlackeagle

Hallo Seger

 

Ja, die Remote-Verbindung ist aktiviert auf dem Emby Server und auch alle Benötigten Ports sind offen für die IP-Adresse des Servers.

Habe zu 100% das richtige Passwort für das Zertifikat. Zu dem habe ich nun jedem User auf dem Server volle Berechtigungen auf den Zertifikats Ordner gegeben, allerdings ohne erfolg.

 

Gruss Fabian

Link to post
Share on other sites

Hat auch der interne EmbyUser eine Berechtigung? Also kommst du z.B. Mit den Usern in der Bibliothekanlage zum Zertifikatsordner? Soll nur als Test dienen, nicht das du denkst das du Zugriff hast und es gar nicht so ist. 
 

Ansonsten gern nochmal ein log, wobei da sieht man momentan nur das der Zugriff verweigert wurde, deshalb auch immer die Fragen nach den Berechtigungen und dem Passwort. 
 

wird schon...(irgendwann) ;)

 

Viele Grüße,

Seger  

Link to post
Share on other sites
FoxBlackeagle

Hai Seger

Also der User auf dem der Emby Dienst Läuft ist der Lokale Administrator, welcher auch berechtigt ist.

Der Web User existiert ja nur im Emby und nicht auf Windows ebene, also kann ich den ja auch nicht berechtigen. Oder kann ich das?

Gruss Fabianembyserver (2).txt

Link to post
Share on other sites
Painkiller8818
12 hours ago, FoxBlackeagle said:

Hai Seger

Also der User auf dem der Emby Dienst Läuft ist der Lokale Administrator, welcher auch berechtigt ist.

Der Web User existiert ja nur im Emby und nicht auf Windows ebene, also kann ich den ja auch nicht berechtigen. Oder kann ich das?

Gruss Fabianembyserver (2).txt

Rein theoretisch könntest du auf den Ordner wo das Cert drinnen ist und alle Dateien im Ordner die Windows Berechtigungen auf Vollzugriff für "Jeder" einstellen, aber prinzipiell sollte das nicht notwendig sein, aber ja es würde gehen

 

Link to post
Share on other sites

Okay, vielleicht nochmal anders gefragt, kommst du über die Bibliothekverwaltung zum CERT Order. Möchte mit der Antwort sicher gehen, dass der Pfad zum CERT auch frei zugänglich ist. Ansonsten mal den Pfad des CERT auf einen greifbaren anderen Pfad ändern und das Passwort der CERT Datei Doppel checken. Wenn es wieder nicht funktioniert müssen wir anders suchen. 

Link to post
Share on other sites

Auf die Gefahr hin, das diese Antwort hier nicht ganz perfekt hinpasst: Man kann auch einfach direkt den IIS als SSL-Offloading Reverse Proxy nutzen.

Das hat dann auch gleich mehreren Vorteile: alle automatischen Tools (CSR, CRN, CRL ...) funktionieren weiterhin perfekt (z.B. Let's encrypt), es ist keine Spezialkonfiguration innerhalb vom emby nötig, das emby-Frontend (je nach Konfiguiration) wird deutlich schneller und man kann wieder mehrere Websites auf einem Server betrieben (dank SNI). Außerdem IST HTTP/2 mögich (und konfigurierbar).

Ich nutze selbige Konfiguration seit längerem auf mehreren Systemen und sehe auch im Moment keinen Grund das zu ändern :-)

Setup:

  • emby default setup
  • IIS default setup
  • ARR Installieren
  • Regel hinzufügen

Ansonsten vermute ich, das dein CER base64 encodiert ist und emby aber ASCII ("PEM") erwartet. Schau die das Format schnell an, PKCS#7 wird unter Windows (oder "IIS Kompatibel") gerne mal binär abgespeichert oder von CA's ausgegeben.

Link to post
Share on other sites
FoxBlackeagle
On 6/13/2020 at 6:50 AM, Seger said:

Okay, vielleicht nochmal anders gefragt, kommst du über die Bibliothekverwaltung zum CERT Order. Möchte mit der Antwort sicher gehen, dass der Pfad zum CERT auch frei zugänglich ist. Ansonsten mal den Pfad des CERT auf einen greifbaren anderen Pfad ändern und das Passwort der CERT Datei Doppel checken. Wenn es wieder nicht funktioniert müssen wir anders suchen. 

Ich habe nun versucht das Zertifikat einfach zu Importieren, mit dem Passwort das ich im Emby angegeben habe. Die hat auch funktioniert. 

Zu dem habe ich auch mal der Zertifikat auf ein Laufwerk Ordner gestellt auf dem eine Datenquelle für Serien ist (also muss Emby ja auf diese eine Zugriff haben).

Leider hat dies auch nicht funktioniert.

 

Link to post
Share on other sites
FoxBlackeagle
On 6/13/2020 at 2:26 PM, tvdeew said:

Auf die Gefahr hin, das diese Antwort hier nicht ganz perfekt hinpasst: Man kann auch einfach direkt den IIS als SSL-Offloading Reverse Proxy nutzen.

Das hat dann auch gleich mehreren Vorteile: alle automatischen Tools (CSR, CRN, CRL ...) funktionieren weiterhin perfekt (z.B. Let's encrypt), es ist keine Spezialkonfiguration innerhalb vom emby nötig, das emby-Frontend (je nach Konfiguiration) wird deutlich schneller und man kann wieder mehrere Websites auf einem Server betrieben (dank SNI). Außerdem IST HTTP/2 mögich (und konfigurierbar).

Ich nutze selbige Konfiguration seit längerem auf mehreren Systemen und sehe auch im Moment keinen Grund das zu ändern 🙂

Setup:

  • emby default setup
  • IIS default setup
  • ARR Installieren
  • Regel hinzufügen

Ansonsten vermute ich, das dein CER base64 encodiert ist und emby aber ASCII ("PEM") erwartet. Schau die das Format schnell an, PKCS#7 wird unter Windows (oder "IIS Kompatibel") gerne mal binär abgespeichert oder von CA's ausgegeben.

Also lässt du Emby einfach im IIS Laufen?

Link to post
Share on other sites

> Leider hat dies auch nicht funktioniert.

Wie gesagt, schau mal eben in welchem Format das Zertifikat vorliegt. Windows versteht beides.

 

> Also lässt du Emby einfach im IIS Laufen?

Technisch nicht, was auch nicht so einfach geht. Ich lasse emby als eigenständige Anwendungen laufen und greife über den IIS darauf zu, der das als reverse proxy (via ARR) erlaubt. Der IIS managt dabei das SSL (=Offloading, Zertifikate via Let's Encrypt), Vernünftiges W3C Logging, andere Sites (es gibt ja noch mehr Webanwendungen als emby), eine handvoll anderes Zeug und ein bisschen rewrites (wo ich mich für voll viel klügerer halte als das emby Webgui freiwillig zulässt). In meinem IIS laufen aber (.net) Anwendungen.

Einfacher: emby lauscht unverschlüsselt auf port 8096, der IIS hingegen auf 80 und 443. Eine bestimmte Site des IIS (Hostheader/SNI Bindung) leitet dann http von 443 (nach der entschlüsselung) an localhost:8096 weiter und die Antworten wieder zurück. Der IIS kann da nebenbei ein bisschen caching machen und brauchbare error-documents rauswerfen.

 

Link to post
Share on other sites
FoxBlackeagle
10 hours ago, tvdeew said:

Wie gesagt, schau mal eben in welchem Format das Zertifikat vorliegt. Windows versteht beides.

 

Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS)

 

Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren?

Link to post
Share on other sites

> Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS)

Ein (Windows-) PFX ist kein Zertifikat. Ein PFX ist eine PKCS #12 Datei im Binärformat, die die Zertifizierungskette, den Privaten Schlüssel, das zugehörige Zertifikat, Metadaten und Speicherinformationen enthält.

Windows exportiert Zertifikate als CER (.cer) und erlaubt beide Formate. Sowohl DER (Binäres X509) als auch Base64. Emby möchte gerne base64 und das Zertifikat (CER) und den Privaten schlüssel getrennt.

 

> Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren?

Nein, das wird dir niht helfen. Mit dem Port hat weder das Zertifikat noch die Verschlüsselung zu tun.

 

Du hast noch nicht allzu viel mit Zertifikaten zu tun gehabt, oder? :-)

Link to post
Share on other sites
FoxBlackeagle
24 minutes ago, tvdeew said:

> Das Zertifikat ist eine .pfx Datei die aus dem IIS Exportiert worden ist. (Das Zertifikat funktioniert im IIS)

Ein (Windows-) PFX ist kein Zertifikat. Ein PFX ist eine PKCS #12 Datei im Binärformat, die die Zertifizierungskette, den Privaten Schlüssel, das zugehörige Zertifikat, Metadaten und Speicherinformationen enthält.

Windows exportiert Zertifikate als CER (.cer) und erlaubt beide Formate. Sowohl DER (Binäres X509) als auch Base64. Emby möchte gerne base64 und das Zertifikat (CER) und den Privaten schlüssel getrennt.

 

> Soll ich mal versuchen den Verschlüsselten verkehr von Emby nicht über den Port 443 laufen lassen sondern über einen andren?

Nein, das wird dir niht helfen. Mit dem Port hat weder das Zertifikat noch die Verschlüsselung zu tun.

 

Du hast noch nicht allzu viel mit Zertifikaten zu tun gehabt, oder? 🙂

Leider noch nicht so viel, nur einwenig mit Zertifkaten für den IIS oder Powerhsll :D

Link to post
Share on other sites

Na dann:

Export-Certificate -filepath C:\ORDNER\cert.cer -cert ThumbPrint -type CERT -NoClobber
Certutil -encode C:\ORDNER\cert.cer C:\ORDNER\base64cert.cer
  

Ds `Export-Certificate` cmdlet mag freiwillig keine Base64 CER's exportieren, also musst du nochmal certutil bemühen.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...