Türschloss
Es ist für Mitglieder möglich die Tür unten am Hackerspace digital zu öffnen. Dafür benötigt man einen vom Keyadmin signierten Key. Um das zu beantragen benötigst du einen freigeschalteten Chaotikum-Account.
Wie es dann weitergeht, ist auf der Seite Anleitung zur Schlüsselvergabe dokumentiert (Link kann nur mit Chaotikum-Account angeschaut werden).
Am Ende des Prozesses erhaltet ihr vom Keyadmin eine CRT Datei, hier steht, was damit zu tun ist.
P12 Datei erstellen
Mit der crt Datei baut man sich nun eine p12 Datei. Man kann dabei auf das geforderte Passwort verzichten (Obacht: Das leere Passwort funktioniert nicht mit Mac-Keychain)
openssl pkcs12 -export -inkey privkey.pem -in myName.crt -out myName.p12
(tut unter mac os und linux, windows noch nicht getestet)
Ein modernes Android, ein iOS 17 und ein macOS 14 kommen dabei mit einer modernen p12-Datei nicht klar. Siehe Installing pcks12 certificate in android "wrong password" bug. Bei mir wurde das Password zwar richtig erkannt, aber dann wurde das Zertifikat ewig entpackt. Der Legacy-Mode hat trotzdem geholfen:
openssl pkcs12 -export -legacy -inkey privkey.pem -in myName.crt -out myName.p12
Das P12 in den browser importieren
Firefox
pk12util -d ~/.<Pfad zu deinem Firefox Profil> -i jonny.p12
Safari
Funktioniert wenn man es in den Apple-Keychain einrichtet. Wenn es nicht automatisch klappt, muss man unter Schlüssel das Zertifikat auswählen, rechtsklick -> neue Identitätseinstellungen -> Als url https://padlock.nobreakspace.org eingeben.
(insbesondere wenn da noch andere Zertifikate rumlungern)
iPhone/iPad
Auf dem iPhone/iPad lässt sich die p12 Datei als Profil installieren. Dazu sollte es möglich sein, die p12 aus der iCloud o.Ä. zu öffnen, ein anderer – hier gewählter Weg ist Airdrop. Dann taucht ein Hinweis aus, dass das Profil vorhanden sei
und es ist dann in den Einstellungen links als erster Eintrag (über Flugmodus) im Menü.
Hier klickt man nun auf Installieren. Dann bekommt man den Warnhinweis, das Profil sei nicht signiert und wird noch nach seinem Passwort gefragt, dass man oben im p12-Export festgelegt hat.
Danach kann man das Profil unter Allgemein -> VPN und Geräteverwaltung in der Liste der Konfigurationsprofile sehen. Danach wird es vom Safari verwendet-
Chrome
Apple
Geht wie bei Safari auch einfach über Keychain
Android
*.p12-Zertifikat auf die SD-Karte des Smartphones ablegen.- Im Smartphone:
Einstellungen→Sicherheit→Von SD-Karte installieren - Das Zertifikat im Dateisystem suchen und auswählen.
- Passwort eingeben.
- Fertig.
Firefox Android
Ihr müsst adb installiert haben und root Access auf euren Smartphone haben.
$ adb root
$ mkdir p12_import && cd p12_import
$ adb pull /data/data/org.mozilla.firefox/files/mozilla/%%%/key4.db
$ adb pull /data/data/org.mozilla.firefox/files/mozilla/%%%/cert9.db
$ pk12util -i /path/to/cert.p12 -d sql:/path/to/p12_import/
$ adb push key4.db /data/data/org.mozilla.firefox/files/mozilla/%%%/
$ adb push cert9.db /data/data/org.mozilla.firefox/files/mozilla/%%%/
$ adb shell
> cd /data/data/org.mozilla.firefox/files/mozilla/%%%/
> chown $$$:$$$ cert9.db
> chown $$$:$$$ key4.db
> chmod 600 cert9.db
> chmod 600 key4.db
> exit
$ adb reboot
Falls ihr die Variante von Firefox aus dem F-Droid Repository habt dann heißt das Verzeichnis org.mozilla.fennec_fdroid
Woanders
Noch nicht gemacht. Wenn ja, bitte hier hinschreiben.
Schließsystem auf padlock
Das Schließsystem ist über https://padlock.nobreakspace.org zugänglich.
======== API ========
Das Webfrontend nutzt intern eine JSOΝ API, die man auch mittels curl bedienen kann. Es besteht also die Möglichkeit das Zertifikat + Key auf einen vertrauensvollen Rechner zu hinterlegen und dort per SSH die entsprechende Befehle auszulösen.
Die Doku dazu befindet sich hier: https://github.com/Chaotikum/padlock
Die API ist auf padlock unter https://padlock.nobreakspace.org/api zuerreichen. Eine Beispiel-URL sieht dann so aus:
https://padlock.nobreakspace.org/api/locks
Die Padlock-Py liegt unter /home/door/padlock
(Diese Grafik ist wohl veraltet, der türstatus-dienst existiert ggf eher nicht)
======== Konfiguration ========
Die CA für padlock liegt in /root/padlock-ca (easy-rsa). Wenn ein Key revoked wurde, muss nginx neugestartet werden (systemctl restart nginx).hmland.service stellt den Zugang zum Homematic USB Modul bereit, padlock.service ist das Webinterface. Der nginx ist ein Reverseproxy, der Zertifikate prüft.
Status
Erreichbar unter: http://status.nobreakspace.org oder http://nobreakspace.org/status
Source ist hier: https://github.com/Chaotikum/nbspstatus
Installiert ist das auf case in einer VM.
Gültigkeitsdauer der Zertifikate
Root CA
Apr 25 12:55:48 2035 GMT geht übrigens plötzlich alles kaputt. Denn dann läuft das Root-Zertifikat aus. Am besten fangen wir bereits ein Jahr vorher an, gleichzeitig zum bisherigen Root-Zertifikat bereits ein neues zu verwenden. Dann haben wir einen ganz sanften Übergang und die Deadline ist gar nicht so schlimm. Diese Sätze stehen einfach nur hier damit das gelegentlich jemand ließt.
Einzelne Zertifikate
Die individuell signierten Zertifikate sind 825 Tage gültig, also etwas mehr als 2 Jahre. Entsprechend müsst ihr euch ca. 2 Jahre nach dem ihr ein Zertifikat erhalten habt, darum kümmern, dass ihr ein neues Zertifikat bekommt. Am einfachsten geht das, in dem ihr einfach ein neues Zertifkat beantragt.
Padlock mit HTTP Request Shortcuts App
HTTP Request Shortcuts Bei Fdroid
- Lade dein Zertifikat in den Android Certificate Store
- Lade dir dieses Shortcut Template runter [Medium intern/shortcuts.zip fehlt]
- [Medium intern/screenshot_20221019-212239_http_shortcuts.png fehlt]
- [Medium intern/screenshot_20221019-212320_http_shortcuts.png fehlt]
- [Medium intern/screenshot_20221019-212354_http_shortcuts.png fehlt]
- Beide importierten Befehle müssen nochmal bearbeitet werden, um dein Zertifikat aus dem Gerätespeicher mit dem jeweiligen Befehl zu verknüpfen
- Fertig :D
Datenschutz
Informationen über die im System anfallenden Daten und den Umgang mit ggf. existierenden Persönlichen Daten findest du in der Datenschutzerklärung des Chaotikum e.V..
Administration
Die Doku zu Administration findet sich hier. Dort kann nachgelesen werden, wer aktuell die Administration macht. Dieser Mensch ist auch Ansprechpartner.

