¶ Nerdschloss reloaded
Gleis0 Edition
¶ Elektronik
- RPi
- Stepper-Treiber TMC2209
- Stepper NEMA17
- USB-Netzteil (für RPi)
- 12V-Netzteil (für Stepper)
¶ Verdrahtung
¶ Stepper
Pins: (Pin 1+16 sind an dem Ende, an dem auch das Poti ist)
- EN - (Pi: GPIO25 -> 2; Pin 3)
- MS1 - GND (Pi: Pin 6)
- MS2 - ?
- Spread - ?
- PDN_UART - ?
- PDN_UART - ?
- STEP - (Pi: GPIO23 -> 3; Pin 5)
- DIR - (Pi: GPIO24 -> 4; Pin 7)
- GND 5V - GND (Pi: Pin 6)
- VCC 5V - 5V (Pi: Pin 4)
- M1B - bn
- M1A - gn
- M2B - bl
- M2A - rt
- GND 12V - GND 12V
- VCC 12V - 12V
¶ Zertifikate Howto
- Glossar
- CSR = Certificate Signign Request = Anfrage welche ihr an den Schlüsselverwalter Stellen müsst
- *.crt = Von der VereinsCA Signierter "CSR" -> Zertifikat welches ihr vom Schlüsselverwalter erhaltet
- *.key = Euer persönlicher (!) Schlüssel um das CRT/CSR zu erstellen/verwalten (Dieser darf nicht veröffentlicht werden)
- *.p12 = Euer Schlüssel + Zertifikat in einer Datei welche für diverse Imports in Browser, Apps usw. bentötigt werden (Hier wird erneut ein Passwort benötigt/angeraten)
¶ Schlüsselverwalter (Verein)
-
CA Key erzeugen
openssl ecparam -genkey -name prime256v1 | openssl ec -aes256 -out s77-nerdschloss-ca.key -
CA Cert erzeugen (10 Jahre gültig; default: 30 Tage)
openssl req -new -x509 -sha256 -key s77-nerdschloss-ca.key -subj "/C=DE/ST=BW/L=Offenburg/CN=gleis0.section77.localdomain" -out s77-nerdschloss-ca.crt -days 3650 -
Nerdschloss Key (Server) erzeugen
openssl ecparam -name prime256v1 -genkey -noout -out nerdschloss.gleis0.section77.localdomain.key -
Nerdschloss CSR erzeugen
openssl req -new -sha256 -key nerdschloss.gleis0.section77.localdomain.key -subj "/C=DE/ST=BW/L=Offenburg/CN=nerdschloss.gleis0.section77.localdomain" -out nerdschloss.gleis0.section77.localdomain.csr -
Nerdschhloss Cert (Server) mit CA signieren
openssl x509 -req -in nerdschloss.gleis0.section77.localdomain.csr -CA s77-nerdschloss-ca.crt -CAkey s77-nerdschloss-ca.key -CAcreateserial -out nerdschloss.gleis0.section77.localdomain.crt -days 720 -sha256
¶ Signierung der Client-Zertifikate
-
Signiere CSR von $Mitglied
openssl x509 -req -in foo\@bar.de.csr -CA s77-nerdschloss-ca.crt -CAkey s77-nerdschloss-ca.key -CAcreateserial -out foo\@bar.de.crt -days 720 -sha256 -
Client fingerprints (für den ssl_client_fingerprint FP_Block in der nginx.conf benötigt)
openssl x509 -in foo\@bar.de.crt -noout -fingerprint | sed 's/SHA1\ Fingerprint=//;s/://g' >> fingerprints
- Das signierte Zertifikat wieder an entsprechendes Mitglied zurücksenden (kein sicherer Kanal notwendig)
¶ Schlüsselhalter (Mitglieder)
- "Foo Bar" ist ein Platzhalter für euren Namen, bitte entsprechend anpassen!
- Nach erzeugen des CSRs diesen an den Schlüsselverwalter schicken (Mattermost/Email/...) es wird KEIN sicherer Kanal benötigt.
- Danach erhaltet ihr ein signiertes Zertifikat zurück welches ihr im 3. Schritt benötigt.
- Schlüssel erzeugen
openssl ecparam -genkey -name prime256v1 | openssl ec -aes256 -out foo\@bar.de.key - CSR Erzeugen (Obacht! keine Umlaute im Namen verwenden; sieht sonst hässlich aus...)
openssl req -new -sha256 -key foobar.key -subj "/C=DE/ST=BW/L=Offenburg/CN=Foo Bar/emailAddress=foo@bar.de" -out foo\@bar.de.csr - .p12 Zertifikat z.B. für Firefox erzeugen (ACHTUNG signiertes Zertifikat [*.crt] notwendig!)
openssl pkcs12 -export -out foobar.p12 -inkey foobar.key -in foo\@bar.de.crt
¶ Service Nerdschloss
/lib/systemd/system/nerdschloss.service
[Unit]
Description=Nerdschloss service
ConditionPathExists=/home/pi/nerdschloss
After=network.target
[Service]
Type=simple
User=pi
Group=pi
LimitNOFILE=1024
Restart=on-failure
RestartSec=10
WorkingDirectory=/home/pi/nerdschloss
ExecStart=/home/pi/nerdschloss/run.sh
# make sure log directory exists and owned by syslog
PermissionsStartOnly=true
StandardOutput=journal
StandardError=journal
SyslogIdentifier=nerdschloss
[Install]
WantedBy=multi-user.target
¶ Serverconfig
- Folgende Dateien auf nerdschloss in Verzeichnis /etc/nginx/certificates kopieren:
- Server-Zertifikat nerdschloss.gleis0.section77.localdomain.crt
- Server-Key nerdschloss.gleis0.section77.localdomain.key (chmod 400!)
- CA-Zertifikat s77-nerdschloss-ca.crt
cp nerdschloss.gleis0.section77.localdomain.key nerdschloss.gleis0.section77.localdomain.crt s77-nerdschloss-ca.crt /etc/nginx/certificates/
chmod -R 400 /etc/nginx/certificates/
- nginx-Config erstellen /etc/nginx/sites-enabled/door.conf:
map_hash_bucket_size 256;
map_hash_max_size 256;
map $ssl_client_fingerprint $reject {
default 1;
#834A4E73A73469E84FD3BB85E362153F9E852970 0; #insert fingerprints of (allowed) s77 users here and assign the value 0
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name nerdschloss.gleis0.section77.localdomain;
ssl_certificate /etc/nginx/certificates/nerdschloss.gleis0.section77.localdomain.crt;
ssl_certificate_key /etc/nginx/certificates/nerdschloss.gleis0.section77.localdomain.key;
ssl_client_certificate /etc/nginx/certificates/s77-nerdschloss-ca.crt;
ssl_verify_client on;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.3;
ssl_ciphers TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:HIGH:!aNULL:!MD5;
#Check fingerprints from mappings above, if not listed reject request
if ($reject) { return 403; }
keepalive_timeout 10;
ssl_session_timeout 5m;
location / {
proxy_pass http://127.0.0.1:8080;
}
}
- Logformat anpassen im Block http in /etc/nginx/nginx.conf, damit der Benutzer geloggt wird:
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $ssl_client_s_dn';
access_log /var/log/nginx/access.log main;
¶ Client-Zertifikat im Browser installieren
-
¶ Firefox/MacOS:
- Einstellungen -> Datenschutz & Sicherheit -> Zertifikate -> Zertifikate anzeigen -> Ihre Zertifikate -> Importieren -> Zertifikate auswählen -> Öffnen -> Import-Passwort eingeben ("Bitte geben Sie das Passwort ein, das zur Verschlüsselung des Zertifikatbackups verwendet wurde:"), ggf. anschließend das Master-Passwort für den Passwortspeicher in Firefox
- Einstellungen -> Datenschutz & Sicherheit -> Zertifikate -> Zertifikate anzeigen -> Zertifizierungsstellen -> Importieren -> s77-ca-nerdschloss-ca.crt (Quelle!) öffnen
- Zertifikat prüfen:
- Algorithmus: Elliptic Curve
- Schlüssellänge: 256
- Kurve: P-256
- Öffentlicher Verifikationsschlüssel (Public Value): 04:D3:F2:3C:FE:6B:60:2F:C1:45:1A:C5:17:6D:87:DA:8E:57:86:41:40:6B:02:B7:C0:FF:4C:23:CA:77:42:3B:63:9B:28:21:39:60:96:20:1A:35:16:A5:AB:A0:35:64:63:DB:9A:01:FA:A9:4F:9A:77:7A:F4:39:54:86:CD:49:64
- sofern das übereinstimmt: "Dieser CA vertrauen, um Websites identifizieren" ankreuzen
- OK
- Zertifikat prüfen:
-
¶ iOS:
- Zertifikat (.p12-Datei s.O.) auf sicherem Weg auf das iOS-Gerät übertragen (zB per AirDrop) -> Übertragung annehmen
-> "Profil geladen; Überprüfe das Profil in den Einstellungen, wenn Du es installieren möchtest" - Einstellungen -> Allgemein -> VPN & Geräteverwaltung -> Geladenes Profil -> "Identitätszertifikat" auswählen
-> Identitätszertifikat wird angezeigt -> "Installieren" -> Code eingeben (Entsperr-Pin des iOS-Gerätes) -> "Installieren" -> Import-Passwort für das Zertifikat eingeben - Hierdurch wir ein neues "Profil" angelegt (einsehbar über Einstellungen -> Allgemein -> VPN & Geräteverwaltung -> Konfigurationsprofil Name
- Zertifikat (.p12-Datei s.O.) auf sicherem Weg auf das iOS-Gerät übertragen (zB per AirDrop) -> Übertragung annehmen
-
¶ Android:
- Zertifikat (.p12-Datei s.O.) auf Android kopieren (KDE-Connect/SSH/USB/...)
- (Für Android 12, ältere Versionen evtl. abweichend) Einstellungen-> Sicherheit-> Verschlüsselung und Anmeldedaten->"Ein Zertifikat installieren"-> Import Passwort eingeben
-> Jetzt ist das Passwort in eurem Zertifikatsspeicher und kann beim anmelden abgerufen werden
-
¶ Android "Trigger" App:
- Im f-droid bekommt man eine nette App: "Trigger" Sie ist ein nettes Frontend für solche Art von Schlössern. Sie bietet ein einfachen und schnellen Zugriff auf das Schloss mit simplem Interface:
- ACHTUNG die "Trigger"-App unterstützt (noch) kein Import verschlüsselter Keys. Daher kommt es bei einem Import zu einem Lesefehler welchen den Oben erstellten Key nicht nutzbar macht. Es gibt diese Möglichkeiten:
- Key auf dem stdout entschlüsseln:
openssl ec -in foobar.key -textund diesen Block vollständig via copypasta in die Triggerapp importieren (z.B. via KDE-Connect Zwischenablage)
- Im f-droid bekommt man eine nette App: "Trigger" Sie ist ein nettes Frontend für solche Art von Schlössern. Sie bietet ein einfachen und schnellen Zugriff auf das Schloss mit simplem Interface:
-----BEGIN EC PRIVATE KEY-----
MEINGEHEIMERPRIVATERKEYDENSONSTNIEMANDSEHENSOLLTE
-----END EC PRIVATE KEY-----
-
Oder den Key unverschlüsselt abspeichern um ihn dann (via SICHEREM!!! Kanal) dort zu Importiern:
openssl ec -passin pass:GEHEIM11elf! -in foobar.key -out foobar_decrypted.key -
Dann könnt ihr die Einstellungen wie folgt vornehmen:
DISCLAIMER:
Insgesamt muss dazu gesagt werden dass ihr euer Handy entsprechend absichern solltet da dieser Key dann leider auch unverschlüsselt in der App verweilt bzw. man ihn dort exportieren kann. Wenn ihr aber ein Screenlock drin habt und das Endgerät NICHT unbeaufsichtigt entsperrt offen liegen lasst ist das in etwa ein äquivaltenes Sicherheitsniveau wie wenn ihr einen (Hardware)Schlüssel habt. Passt also bitte genauso gut darauf auf!
¶ Erster Zugriff auf das Nerdschloss
- https://nerdschloss.gleis0.section77.localdomain/
- Zertifikate installieren:
- iOS:
- "nerdschloss.gleis0.section77.localdomain" benötigt ein CLientzertifikat - Beim Verbinden mit dieser Website das Zertifikat "$meinvorname $meinnachname" verwenden.
-> Fortfahren - Zertifikat prüfen:
- Öffentlicher Verifikationsschlüssel (Public Value): 04:D3:F2:3C:FE:6B:60:2F:C1:45:1A:C5:17:6D:87:DA:8E:57:86:41:40:6B:02:B7:C0:FF:4C:23:CA:77:42:3B:63:9B:28:21:39:60:96:20:1A:35:16:A5:AB:A0:35:64:63:DB:9A:01:FA:A9:4F:9A:77:7A:F4:39:54:86:CD:49:64
- "nerdschloss.gleis0.section77.localdomain" benötigt ein CLientzertifikat - Beim Verbinden mit dieser Website das Zertifikat "$meinvorname $meinnachname" verwenden.