Dokumentation: Jarvis über eigene Domain mit Reverse Proxy und SSL

[TZanke]

Wie bekommt man Jarvis über einen Reverse Proxy unter einer eigenen Domain zum laufen (NGINX)

1. Jarvis Installation ganz normal in Betrieb nehmen, und prüfen, ob alles funktioniert, wenn man es über den Standardport 8082 öffnet.
2. Jarvis diesmal über den WebSocket Port 8400 aufrufen, das sollte genauso funktionieren, nur dass /jarvis/ in der URL nicht mehr benötigt wird.

Wenn hier etwas nicht klappt, löscht am besten mal den Browserspeicher für die Domain. Experten löschen via F12 unter Web-Speicher beim Local Storage die params und recentConnections.

3. Im NGINX eine neue Domain anlegen, Ziel ist http eure.ip und Port 8400. Außerdem den Websockets Support einschalten.

Sollte Jarvis sich nicht öffnen und nach der IP und dem Port fragen, löscht am besten wieder wie oben erklärt den Browserspeicher. Zudem ist es ratsam in den Einstellungen (wenn die nicht eh schon von alleine angezeigt werden) unter dem Tab Verbindungen den Port zu setzten, den euch NGINX nach außen zur Verfügung stellt. Das wäre Standardmäßig Port 80.

Ihr leitet jetzt also den Standard Internetort 80 über den NGINX auf eure Server IP um, auf dem wiederum Jarvis unter dem Jarvis-Standard Websocket Port 8400 läuft.

Jarvis mit Reverse Proxy über SSL

4. Jarvis baut auf dem Web Adapter des IOBroker auf. Um SSL einzuschalten, muss in der Instanzkonfiguration die Verschlüsselung (HTTPS) eingeschalten werden. Obacht: Wenn mehrere Webinstanzen existieren, bitte die auswählen, die Jarvis zur Verfügung stellt. Achtung: Danach funktioniert der Zugriff über HTTP bzw. Port 80 nicht mehr! Auch alle anderen Dienste, die über diesen Webadapter laufen müssen, nun per HTTPS geöffnet werden.

Die Standardzertifikate sind ausreichend, solange man damit leben kann, dass die Zertifikate nicht als gültig im Browser angezeigt werden. Aber dazu später mehr.

5. Jetzt am besten wieder Punkt 1. und 2. abarbeiten.
6. Die Domain im NGINX editieren und auf HTTPS umstellen.

Jarvis sollte jetzt über HTTPS und eurer eigenen Domain verfügbar sein. Das Zertifikat ist allerdings noch nicht valide. Wenns nicht klappt am besten die Jarvis Instanz noch mal neu starten und den Trick mit den Browserdaten löschen von oben anwenden. Wenn Jarvis den Port erfragt oder man in die Einstellungen kommt, ist auch hier wieder Port 80 benutzen, denn noch liefert NGINX per HTTP aus.

Let's Encrypt Zertifikat

7. Das kostenlose Zertifikat von Let's Encrypt reich völlig aus. Nur leider benötigt man einen offenen Port zum Internet, damit das Zertifikat ausgestellt wird. Das dachte ich auch, hat sich aber mittlerweile geändert. Es gibt mittlerweile die DNS-01 challenge.
   Siehe. https://letsencrypt.org/de/docs/challenge-types/

Dazu benötigt wird allerdings ein DNS Anbieter, der es ermöglicht einen DNS Eintrag temporär für die Erstellungszeit des Zertifikats anzulegen. Ob der Anbieter dies unterstützt, findet man hier heraus: https://github.com/acmesh-official/acme.sh/wiki/dnsapi

Zusatzinfo: das acme.sh Script wird intern von NGINX zur Zertifikatserstellung verwendet. Andere Dienste nutzen möglicherweise acme.js. Dort gibt es deutlich weniger Anbieter: https://www.npmjs.com/package/acme#challenge-callbacks

In meinem Fall habe ich zum Test ein Konto bei dynu.com erstellt und bin bisher ganz zufrieden. Für Nutzer von afraid.org funktioniert es im kostenlosen Modus enttäuschenderweise nicht.

Anschließend wird der API-Key, der bei dynu.com für die jeweilige Domain zu finden ist, benötigt.

Es ist möglich, einen zusätzlichen Key nur für NGINX anzulegen. Hierfür verweise ich aber auf die Dokumentation des jeweiligen Anbieters.

Bei Verwendung von dynu.com sollte es nun so aussehen.

Speichern und es wird ein Zertifikat erstellt.

8. Hat alles geklappt, ist das Zertifikat jetzt im NGINX zu sehen.
   

9. Jetzt das Zertifikat im DNS Eintrag für NGINX verwenden. Dazu wieder die Jarvis Domain editieren und im Tab SSL folgendes auswählen:
   

10. Unter der Domain ist jetzt über HTTPS Jarvis mit einem gültigen Zertifikat zu erreichen. Diesmal muss der Websocket Port allerdings auf den Standard-SSL Port 443 gesetzt werden!

[TZanke]

Ist mal schnell heruntergeschrieben. Ich werde da noch mal drüber lesen, vielleicht fehlt auch noch was. Feedback willkommen.

[Zefau]

Vielen Dank!

[mcuiobroker]

Habe es so erstmal übernommen. Danke.

[Zefau]

Magst du den Link zum Wiki, wo du das hinterlegt hast, posten? Dann hat man direkt die Verbindung. Danke!

[mcuiobroker]

https://mcuiobroker.gitbook.io/jarvis-infos/jarvis-v3/besonderheiten-v3/allgemein/reverse-proxy-nginx-tobias-zanke