Hier ein Beispiel
1 „Gefällt mir“
Danke Dir!! Hat sehr gut funktioniert.
Habe ein lets encrypt cert laufen. Muss da die Tage endlich das Tutorial zu schreiben. Ist im Grunde simpel.
2 „Gefällt mir“
Letsencrypt kannst Du aber nur nutzen, wenn Du die HA von außen erreichbar hast, oder?
Btw: Jetzt nach der Umstellung auf https findet mein Handy die HA nicht mehr. Per Browser kann ich die Adresse aufrufen, wenn ich sie aber in die HA App eintrage, findet das Handy keine HA. Muss ich da noch was nachziehen?
Nein, habe es auf einer lokalen IP laufen. Fernzugriff läuft via Wireguard.
Du hast es mit https:// inkl. Port in den Server Einstellungen der App eingetragen?
Meine Einstellung:
Ja, ich habe die komplette Domain inkl. https und Port eingetragen.
Die Android-App selber findet HA.
Gebe ich die Domain komplett ein, kommt diese Fehlermeldung:
The Home Assistant certificate authory is not trusted, please review the Home Assistant certificate or the connection settings and try againWo in Android müsste ich die rootCA denn hinlegen?
Komisch, dass mein Fennec-Browser die RooCA selber hat und nicht schimpft… .
Liegt also an dem selbst signierten Zertifikat.
Stimmt. Ich habe ein Pixel 7 mit Shelter. Auf der Privaten Seite habe ich das RootCA im ZertSpeicher installiert und dort öffnet sich die App nun problemlos.
Aber auf der geschäftlichen Seite wird mit “vom Administrator” die Installation von Zertifikaten verboten. Weiß jemand, die ich das Problem löse?
Ich habe das mit mkcert nach dieser Anleitung gemacht. Dort steht auch wie man das Zertifikat im Android Gerät hinterlegt.
Danke Dir für die Anleitung. Die App “Shelter” unterteilt GrapheneOS in zwei unterschiedliche Bereiche: Einen privaten und einen geschäftlichen, die streng von einander getrennt sind. Auf der privaten Seite konnte ich das Cert auch problemlos (u. a. wie in Deinem Link beschrieben) installieren. Nur eben im geschäftlichen Bereich nicht. That’s my problem, was leider noch nicht gelöst ist… .
Das Problem wird sich auch nur durch die Berechtigung es installieren zu dürfen oder ein von Haus aus vertrauenswürdiges Zertifikat lösen lassen.
Ich schreibe nachher die Anleitung, wie man lets encrypt auf ne private IP bekommt.
Du würdest den Jahreabschluss zu einem Fest machen, wenn das klappte.
Denn dann sollte ich mein SSL-Problem gelöst haben.
===
Edit:
Ist das ganze möglich, wenn ich mir ein valides SSL Cert für eine Subdomain hole und dann im AdGuard die Domain rewrite auf eine interne IP? Nur so eine Idee und keine Ahnung, wie unsinnig die ist 
===
Edit2:
Ja Mann - so geht das!!! 
Keine Ahnung, wie lange und welche Nebenwirkungen das hat - aber so funktioniert es 
Nun muss ich alle drei Monate das Cert erneuern… . Oder einen Automatismus dafür erstellen… . Bin sehr gespannt auf Deine Lösung.
1 „Gefällt mir“
Bitte, gerne:
1 „Gefällt mir“
Du meine Güte - da hast Du Dir aber mächtig viel Arbeit gemacht - vielen Dank dafür!
Ich werde mir den Artikel Anfang des Jahres genau zu Gemüte führen und prüfen, ob ich ihn umsetzen kann. Just im Moment läuft mein HA ja mit meinem oben beschriebenen “Edit 2”. Herzlichen Dank für Deine Arbeit!
Nachdem ich es so lange vor mir her geschoben habe, wollte ich es dann direkt vernünftig machen.
Funktionieren sollte es. Habe während dessen dann auch alle drei Varianten noch mal selbst durch gespielt und die Domains entsprechend eingerichtet.
Falls es funktioniert oder eben nicht, sehr gerne Feedback.
@tarag: Danke Dir noch einmal für Deine Mühen - ich glaube, diese Anleitung ist wirklich wertvoll!! In dieser Form habe ich sie nirgends gefunden. 
Wenn ich Deine Anleitung richtig verstanden habe, dann gibt es drei Unterschiede zu meiner Konfiguration:
- Ich habe eine externe und wirklich existierende IP für meine SubDomain (für die das Zertifikat ausgestellt ist) im Nameserver stehen (nämlich die meines (Plesk-)Servers
- Ich habe ein ReWrite für die SubDomain in meinem AdGuardHome auf die interne IP
- Mein (Plesk-)Server erneuert das Zertifikat - ich müsste es von dort alle 3 Monate in den HA importieren (was natürlich nicht schön ist).
Was ich nun geändert habe: Die Erneuerung des Zertifikates habe ich auf dem (Plesk-)Server wieder entfernt und LetsEncrypt auf dem HA installiert. Nun warte ich mal ab, ob diese LetsEncrypt-Konfiguration das Zertifikat im HA selbständig erneuert.
Ich bin bei Domain-technisch Schlund. Dort kann ich per Script eine geänderte, externe IP meiner FritzBox (durch nächtliche Zwangstrennung) in den DNS hochladen und mit dieser Konfiguration fahre ich seit Jahren großartig.
Ob ich dort als IP für eine SubDomain eine private IP eintragen kann - das habe ich nicht getestet.
Nichts desto trotz hast Du mich mit Deinen Anregungen genau dahin gebracht, wo ich nun bin - herzlichen Dank dafür. Nun kann ich mich auf die beiden Atom Echo freuen, die hoffentlich demnächst per Post kommen sollten. Dafür brauche ich ja SSL - das ging vorher nicht - jetzt schon
Du gibst im DNS als Ziel die lokale / private IP Adresse an. Ziel ist es ja das Ganze aus dem lokalen Netzwerk aufzurufen.
Ich bin nicht sicher, ob deren Nameserver zur Let‘s Encrypt DNS Challenge passen. Ohne nachzuschauen, würde ich das bezweifeln.
Wobei Du natürlich einen kompatiblen DNS nutzen könntest.
Hintergrund der DNS Challenge ist ja, dass bei der Prüfung auf den verantwortlichen Nameserver zugegriffen werden kann, weil die IP von außen eben nicht erreichbar ist.
Dies ist ja aber nur für externe / öffentliche IP Adressen interessant. In diesem Fall braucht es eine Portweiterleitung und den Zugriff von außen. Genau das soll ja in diesem Fall nicht geschehen.
Ich habe ein SSL Cert mit einer extern erreichbaren IP auf meinem Plesk-Server erstellt. Danach habe ich dieses SSL Cert exportiert und benutze es nun mit einer lokalen IP auf meinem HA. Funktioniert prima.
Jetzt doch gerade mal getestet => Funktioniert. Scheint aber leider nichts am nächsten Problem zu ändern.
Recht hast Du - gerade geprüft - wird natürlich nicht unterstützt.
Sollte nur als Begründung dienen, warum ich dort bin.
Das LetsEncrypt-Addon von HA macht also nicht das selbe, wie das LetEncrypt-Addon von Plesk? Wie schade 
Ich muss also über ein Delegate für meine SubDomain zu DuckDNS wechseln. Weißt Du, ob die ganz HA-LetsEncrypt-Nummer auch mit einem Delegate (also einem NS-Eintrag) funktioniert? Oder müsste ich meine komplette Domain dorthin umziehen? Das würde ich nicht wollen - also müsste ich mir eine andere Domain überlegen.
Danke Dir für Deine stetigen und wertvollen Rückmeldungen
Doch tut es. Das wäre die http Challenge. Und dafür muss Port 80 von extern auf Dein HA zeigen.
Ein Zertifikat für eine öffentliche IP Adresse ist ja aber in diesem Fall eben genau nicht das Ziel.
Ok - jetzt hab auch ich es begriffen Danke.