Es ist möglich die Tür unten am Hackerspace digital zu öffnen. Dafür benötigt man einen vom Keymaster signierten Key. Um diesen zu erhalten muss man dem Keymaster ein Certificate Signing Request schicken. Im Folgenden ist beschrieben, wie man das tut.

Generieren des CSRs:

openssl req -nodes -new -newkey rsa:4096 -sha256 -out mein.csr

Bittet achtet darauf sinnvolle Daten (CommonName und Email Adresse) einzugeben. Insbesondere der CommonName muss gesetzt werden!

Bei Email im CSR ist eine dem Vorstand bekannte (deine chaotikum-Mail Adresse oder die, die du beim anmelden im Verein angegeben hast) oder einfach nachvollziehbare E-Mail-Adresse zu verwenden (Sie gilt als einfach nachvollziehbar, wenn dein tatsächlicher Name darin erkennbar ist).

Mit Ausführen des Befehls wird die Datei privkey.pem und mein.csr erzeugt. Letztere muss man von unserem Schlüsselmeister „Keymaster“ Richard signieren lassen um ein Zertifikat zu erhalten (also im diese Datei per mail schicken und warten bis man ne crt erhält). Die andere behält man für sich.

Mit der crt Datei baut man sich nun eine p12 Datei. Man kann dabei auf das geforderte Passwort verzichten (Obacht: Das leere Passwort funktioniert nicht mit Mac-Keychain)

openssl pkcs12 -export -inkey privkey.pem -in myName.crt -out myName.p12

(tut unter mac os und linux, windows noch nicht getestet)

pk12util -d ~/.<Pfad zu deinem Firefox Profil> -i jonny.p12

Funktioniert wenn man es in den Apple-Keychain einrichtet. Wenn es nicht automatisch klappt, muss man unter Schlüssel das Zertifikat auswählen, rechtsklick → neue Identitätseinstellungen → Als url https://padlock.nobreakspace.org eingeben.

(insbesondere wenn da noch andere Zertifikate rumlungern)

Geht wie bei Safari auch einfach über Keychain

1. *.p12-Zertifikat auf die SD-Karte des Smartphones ablegen.
2. Im Smartphone: Einstellungen → Sicherheit → Von SD-Karte installieren
3. Das Zertifikat im Dateisystem suchen und auswählen.
4. Passwort eingeben.
5. Fertig.

Noch nicht gemacht. Wenn ja, bitte hier hinschreiben.

Das Schließsystem ist über https://padlock.nobreakspace.org zugänglich.

Das Webfrontend nutzt intern eine JSOΝ API, die man auch mittels curl bedienen kann. Es besteht also die Möglichkeit das Zertifikat + Key auf einen vertrauensvollen Rechner zu hinterlegen und dort per SSH die entsprechende Befehle auszulösen.

Die Doku dazu befindet sich hier: https://github.com/Chaotikum/padlock

Die API ist auf padlock unter https://padlock.nobreakspace.org/api zuerreichen. Eine Beispiel-URL sieht dann so aus:

https://padlock.nobreakspace.org/api/locks

Die CA für padlock liegt in /root/padlock-ca (easy-rsa). Wenn ein Key revoked wurde, muss nginx neugestartet werden (systemctl restart nginx).hmland.service stellt den Zugang zum Homematic USB Modul bereit, padlock.service ist das Webinterface. Der nginx ist ein Reverseproxy, der Zertifikate prüft.

Bitte dokumentiert hier sämtliche Batteriewechsel an den Keymatics!

Der Himbeerkuchen mit dem großen USB-Stick dran setzt die Befehle auf das Funksystem um. Dort läuft ein hmland als User `hmland`. Der User kann sich per SSH einloggen und genau das tut auch die padlock VM um dann `hmland -i` auszuführen und die Daten über SSH zu tunneln. Dazu ist padlock's SSH Key auf klingel hinterlegt (so heißt der Kuchen übrigens zur Zeit). Damit das ganze funktioniert, muss auch noch eine UDEV Regel angelegt werden:

/etc/udev/rules.d/20-hmlan.rules 
ATTRS{idVendor}=="1b1f", ATTRS{idProduct}=="c00f", MODE="0666", GROUP="hmland"

Adresse setzen: AFA998D (nc localhost 1000 auf padlock)

Erreichbar unter: http://status.nobreakspace.org oder http://nobreakspace.org/status

Source ist hier: https://github.com/Chaotikum/nbspstatus

Installiert ist das auf Gallifrey in einem container.

Mai 2025 geht übrigens plötzlich alles kaputt. Denn dann laufen die Zertifikate aus. Diese sätze stehen einfach nur hier damit das gelegentlich jemand ließt.