Sichere Integration von openWB über MQTT

[openwb-user]

Hallo zusammen,

ich habe Fragen zur sicheren Integration von openWB über MQTT.

Nach meinem Kenntnisstand gibt es zwei Möglichkeiten, eine openWB über MQTT mit anderen Systemen zu koppeln:

• TLS-gesichert über die konfigurierbare MQTT-Bridge
• unverschlüsselt über eine Verbindung zum integrierten MQTT-Broker

Ich würde gern die erste Variante nutzen, stehe dabei aber von einem kleinen Problem. Mein MQTT-Broker steht im LAN und erlaubt TLS-Verbindungen, deren Zertifikate von einer benutzerdefinierten CA ausgestellt werden. Nach meinem Verständnis müsste ich in der openWB mindestens mal das CA-Zertifikat hinterlegen, um eine gesicherte Verbindung zum Broker aufbauen zu können. Dazu finde ich aber keine Konfigurationsmöglichkeit. Wenn ich den Beitrag openwb MQTT ohne SSL richtig verstehe, ist das derzeit nicht über die Web-Oberfläche möglich.

Bei der zweiten Variante beschäftigt mich, dass jeder Client im LAN freien Zugriff auf den Broker hat. Falls ein Angreifer ins LAN gelangt, hat er damit sofort Zugriff auf die Wallbox. Um das zu vermeiden, könnte man eingehende Verbindungen zum Broker auf Aufrufer von localhost beschränken. Mir ist aber nicht klar, ob die Web-Oberfläche derzeit direkt auf den Broker zugreift oder server-seitig ein HTTP/MQTT-Adapter dazwischen geschaltet ist.

Meine Fragen:

• Gibt es für normale Benutzer ohne SSH-Zugriff die Möglichkeit, eigene TLS-Zertifikate für die MQTT-Bridge zu hinterlegen? Falls nein, ist das geplant?
• Ist es technisch notwendig, dass der integrierte MQTT-Broker vom LAN aus erreichbar ist? Falls ja, ist hier eine Änderung geplant?

Schöne Grüße
Christian

[openWB]

Ich würde gern die erste Variante nutzen, stehe dabei aber von einem kleinen Problem. Mein MQTT-Broker steht im LAN und erlaubt TLS-Verbindungen, deren Zertifikate von einer benutzerdefinierten CA ausgestellt werden. Nach meinem Verständnis müsste ich in der openWB mindestens mal das CA-Zertifikat hinterlegen, um eine gesicherte Verbindung zum Broker aufbauen zu können. Dazu finde ich aber keine Konfigurationsmöglichkeit. Wenn ich den Beitrag openwb MQTT ohne SSL richtig verstehe, ist das derzeit nicht über die Web-Oberfläche möglich.

Richtig, ist derzeit nicht vorgesehen.

Bei der zweiten Variante beschäftigt mich, dass jeder Client im LAN freien Zugriff auf den Broker hat. Falls ein Angreifer ins LAN gelangt, hat er damit sofort Zugriff auf die Wallbox.

Bitte nicht falsch verstehen, aber wenn ein Angreifer im LAN ist, ist das Starten und Stoppen der Ladung sicher nicht das was den Angreifer interessiert. Wenn hier bedenken bestehen dann hilft separieren.

Mir ist aber nicht klar, ob die Web-Oberfläche derzeit direkt auf den Broker zugreift oder server-seitig ein HTTP/MQTT-Adapter dazwischen geschaltet ist.

Die Weboberfläche greift auf den Broker zu.

Gibt es für normale Benutzer ohne SSH-Zugriff die Möglichkeit, eigene TLS-Zertifikate für die MQTT-Bridge zu hinterlegen? Falls nein, ist das geplant?

Derzeit nicht. Ob das implementiert wird gilt es noch zu prüfen.

Ist es technisch notwendig, dass der integrierte MQTT-Broker vom LAN aus erreichbar ist? Falls ja, ist hier eine Änderung geplant?

Ja, das ist nötig. Hier wird sich künftig aber noch etwas ändern.

[openwb-user]

Vielen Dank für die schnelle Antwort.

Dann möchte ich hier Interesse für das Feature anmelden, eigene Zertifikate für die MQTT-Verbindung hochladen zu können.