Laut der Projektbeschreibung auf Github handelt es sich bei esphomelib von Otto Winter um „a framework for using your ESP8266/ESP32 devices with Home Assistant“. Und tatsächlich ist esphomelib mehr als eine weitere Firmware für ESP8266/ESP32 MCUs: Neben entsprechenden Bibliotheken werden auch Werkzeuge geliefert, welche das Erstellen und Einspielen angepasster Firmware zum Kinderspiel machen. Vor allem aber ist esphomelib auf die einfache Verbindung mit Home Assistant ausgerichtet und nutzt hierfür das MQTT-Discovery Feature von HA

Home Assistant MQTT Discovery

Bei MQTT-Discovery wird die MQTT-Anbindung von Home Assistant aktiviert und es wird auf eingehende (Konfigurations-) Nachrichten auf vorgegebenen Kanälen (Topics) gelauscht. Die so gewonnenen Informationen werden von HA genutzt um automatisch neue Geräte (Entity) einzurichten. Details finden sich in der Dokumentation von Home Assistant.

Um MQTT-Discovery mithilfe des in HA eingebetteten MQTT Brokers zu aktivieren, ist folgende Ergänzung in der configuration.yaml von Home Assistant vorzunehmen:

mqtt: 
  discovery: true
  username: homeassistant
  password: mypassword

Sollte ein externer Broker eingesetzt oder weitere Einstellungen vorgenommen werden, ist entsprechend der Anleitung zu verfahren. Ein Passwort ist seit Home Assistant 0.76 Pflicht.

Anschließend ist Home Assistant neu zu starten. Wer – wie ich – Home Assistant in einem Docker-Container laufen lässt, muss entweder den Port 1883 durchschleifen (docker -p 1883:1883 …) oder das Host-Network verwenden (docker –net=host …). War die Konfiguration korrekt und der Neustart erfolgreich, taucht ein neues Symbol in den Entwickler-Werkzeugen von HA auf ().

esphomelib / esphomeyaml

Um die Installation und Verwendung von esphomelib erheblich zu vereinfachen, stellt Otto Winter ein Werkzeug namens esphomeyaml zur Verfügung. esphomeyaml unterstützt bei der Erzeugung einer esphomelib-Konfiguration auf YAML-Basis, sowie bei der Erzeugung und Übertragung der der daraus abgeleiteten Firmware. Es wird auch ein Docker-Image angeboten, welches alle Abhängigkeiten für esphomelib enthält.

Anlegen einer Konfiguration mit Docker und esphomeyaml

Der folgende Abschnitt ist im Wesentlichen eine Zusammenfassung der Getting Started with esphomeyaml Anleitung für die Verwendung mit Docker. Zunächst wird der Wizard von esphomeyaml verwendet, um eine Basis-Konfiguration zu erstellen.

docker run --rm -v "$PWD":/config -it ottowinter/esphomeyaml myfile.yaml wizard

Der Befehl startet einen temporären Docker-Container, in welchem der esphomeyaml-Assistent ausgeführt wird und interaktiv bei der Erstellung einer Konfiguration (Dateiname myfile.yaml) unterstützt. Die (aktuell) 5 Bereiche mit teilweise mehreren Fragen sind ausführlich dokumentiert, daher hier in aller Kürze:

Core und Platform

name

Ein symbolischer Name, welcher u.a. in Home Assistant Verwendung findet. Erlaubt sind Buchstaben, Ziffern und der Unterstrich. Empfohlen wird der Raumname, in welchem der MCU zum Einsatz kommt (z.B. wohnzimmer)

ESP32/ESP8266

Plattform, welcher der MCU zugeordnet wird. Neben ESP8266 werden auch die moderneren ESP32-Module unterstützt. Die Frage dient der Vorauswahl für die möglichen Antworten der nächsten Frage. Für den Wemos D1 Mini ist hier ESP8266 zu wählen.

board

Hier ist das verwendete Board genauer zu spezifizieren. Eine Liste der unterstützten Boards (und der jeweiligen Kürzel) findet sich bei platform.io. Für den Wemos D1 Mini ist hier d1_mini anzugeben.

Wifi

Der nächste Satz an Fragen beschäftigt sich mit dem zu nutzenden WLAN Netzwerk. Es werden nacheinander die Netzwerk-Kennung (SSID), sowie das Passwort (PSK) abgefragt.

MQTT

Schließlich werden Details zum zu nutzenden MQTT-Broker abgefragt, im Detail

• die IP-Adresse des MQTT-Brokers
• ein eventueller Benutzername für den Zugriff
• ein Passwort für den Zugriff auf den MQTT-Broker

Wird – wie in diesem Beispiel – der interne MQTT-Broker von Home Assistant verwendet, entspricht die IP-Adresse der des (Docker-) HA-Hosts, Username und Password sind entsprechend der MQTT-Konfiguration in Home Assistant vorzunehmen.

Over-the-Air

Ein weiteres cooles Feature ist die Möglichkeit zum Over-the-Air-Update (OTA), welches genutzt werden kann, sobald die esphomelib-Firmware erstmalig erfolgreich (via USB) auf die MCU überspielt wurde. Aus Sicherheitsgründen kann hierfür ein Kennwort vergeben werden.

Anpassen der Konfiguration

Als Ergebnis des vorherigen Abschnitts findet sich im aktuellen Verzeichnung nun eine Datei namens myfile.yaml, welche die Basics der Firmware definiert. Nun gilt es die mit dem Board verbundenen Geräte einzutragen und somit via MQTT (und damit über Home Assistant) steuerbar zu machen.

Für das auf dem Wemos D1 verbundene Relais aus dem letzten Post ist folgender Abschnitt in myfile.yaml zu ergänzen:

switch:
  - platform: gpio
    name: "steckdose"
    pin: D1

Damit wird esphomelib konfiguriert, gegenüber Home Assistant einen Schalter (switch) auszuweisen und eingehende Schaltbefehle über den GPIO-Pin D1 des Wemos D1 Mini abzubilden. Sind weitere Geräte (z.B. Sensoren) mit dem ESP8266 verbunden, ist die myfile.yaml entsprechend zu erweitern. Eine Liste der unterstützten Komponenten und entsprechende Konfigurationsbeispiele finden sich in der esphomeymal-Dokumentation.

Firmware erstellen und übertragen

Ist die Konfiguration vollständig, kommt wieder Docker zum Einsatz, um die Firmware zu erstellen, zu übertragen und auf dem ESP auszuführen. Vorher ist die MCU natürlich mit dem PC via USB zu verbinden. Unter Linux wird dabei ein serielles Device (z.B. /dev/ttyUSB0) angelegt, welches an den Docker-Container durchgeleitet werden muss. Außerdem muss der Container im „privileged“ Modus laufen, um die Firmware übertragen zu können. Alles nicht weiter schwierig:

 docker run --rm -v "$PWD:/config" -v /dev/ttyUSB0:/dev/ttyUSB0 \
  --privileged -it ottowinter/esphomeyaml myfile.yaml run

Der Prozess läuft weitestgehend automatisch ab. Lediglich der Weg zur Firmware-Übertragung ist zu wählen. Bei erstmaliger Bespielung ist hier der USB-zu-serielle Port zu wählen, sollte esphomelib bereits auf dem MCU sein, kann auch OTA gewählt werden.

Found multiple serial port options, please choose one:
[0] /dev/ttyUSB0 (USB2.0-Serial)
[1] Over The Air (d1mini_1.local)

Nach der Übertragung bleibt die Verbindung zum Wemos D1 Mini offen und das Gerät wird neu gestartet. Boot und andere Meldungen (z.B. die Verbindung zum WLAN und zum MQTT-Broker) werden via Docker-Container ausgegeben, bis dieser beendet wird (mittels Strg-c). Die eigentliche Firmware läuft natürlich auch danach weiter.

Nutzung in Home Assistant

Durch die Verwendung von MQTT-Discovery wird der an den Wemos angeschlossen Switch (das Relais) direkt in Home Assistant angelegt. In der Zustandsansicht () wird es – gemäß meinem Beispiel als switch.steckdose geführt. Dort besteht auch die Möglichkeit über das -Symbol einen Test-Dialog zu öffnen und sich vom (hoffentlich) erfolgreichen Ergebnis der Operation zu überzeugen.

Latenz

Das nachfolgende Video demonstriert die geringe Latenz zwischen der Anforderung in Home Assistant und der Umsetzung durch esphomelib. Home Assistant inkl. des eingebetteten MQTT-Brokers laufen dabei auf einem Raspberry Pi 3B. Das Mobiltelefon und der D1 Mini sind im gleichen WLAN, also per Access Point und Gigabit-LAN mit dem Raspberry verbunden. Das sichtbare Kabel geht zu einer USB Power-Bank. Eine Verzögerung zwischen Antippen des User Interfaces und Schalten des Relais (rote LED) ist faktisch nicht feststellbar.

Fazit

Die Verwendung von esphomelib bzw. esphomeyaml für ESP-Module in Verbindung mit dem MQTT-Discovery-Feature von Home Assistent ist aktuell die einfachste, mir bekannte Möglichkeit diverse Aktoren oder Sensoren zu kontrollieren und zu steuern. Die vom esphomelib-Projekt bereitgestellten Werkzeuge greifen sehr gut ineinander und erlauben die Konfiguration und Übertragung der Firmware auch ohne Programmier-Kenntnisse.

Für Verwender von HASS.io, der „Appliance“-Variante von Home Assistant existiert sogar ein entsprechendes Add-On, um esphomelib/esphomeyaml direkt aus HASS.IO anzusteuern. Sogar eine web-basierte Variante des Wizards wird hier geboten.

Weiterführende Informationen

Software und Dokumentation

• esphomelib-Homepage
• esphomelib-Projekt auf Github
• Getting Started with esphomeyaml
• durch esphomelib/platform.io unterstützte Komponenten
• Home-Assistant MQTT Auto-Discovery
• HASS.IO

Produkte*

Die folgenden Produkte wurden im Artikel besprochen bzw. verwendet:

• Wemos D1 Mini bei Ali Express
• Wemos D1 Mini bei Amazon
• Wemos Relay Shield (und Nachbauten) bei Ali Express
• Wemos Relay Shield bei Amazon

Der Beitrag ESP8266 via esphomelib mit Home Assistant verbinden erschien zuerst auf dahlen.org.

ESP8266

Mit dem ESP8266 hat die chinesische Firma espressif eine Mikro-Controller-Familie im Programm, aus welchem sich günstige Boards mit CPU, RAM, Flash Speicher und WLAN erstellen lassen. Dazu kommen – je nach Version – bis zu 12 GPIO-Pins zum Messen, Regeln und Schalten. Die Programmierung kann in (Arduino-) C, Python oder Lua erfolgen, doch für eine einfache via WLAN schaltbare Steckdose ist das nicht notwendig. Die lästige Konfiguration wird für uns die freie Software ESPEasy übernehmen.

Wemos D1 Mini

In meinem Haushalt befinden sich aktuell 2 Boards mit ESP8266 CPU:

1. ein NodeMCU Board als Entwickler-Platine auf einem Steckbrett und
2. ein Wemos D1 Mini für den praktischen Einsatz.

Das D1 Mini Board gibt es für ca. 3 USD z.B. bei Ali Express aus China oder für ca. 8 EUR von Amazon. Es bietet 4MB Flash Speicher, 11 digitale und 1 analogen Ein/Ausgang und natürlich WLAN (802.11 b/g/n, 2,4GHz). Über eine Micro-USB-Buchse kann der D1 mit Strom und frischer Firmware versorgt werden. Auch serielle Kommunikation ist hierüber möglich.

Wemos Relay Shield

Für eine echte WLAN-Steckdose braucht es natürlich mehr als 5V Gleichstrom, ein Relais wird benötigt, um auch eine 230V Wechselstrom-Phase zu schalten. Hier kommt das Wemos Relay Shield für den D1 ins Spiel. Es schaltet das an der mittleren Schraubklemme anliegende Potential (den Strom) wechselseitig auf einen der beiden äußeren Ausgänge.

Wichtiger Hinweis: Die unsachgemäße Handhabung von 230V Wechselstrom birgt die Gefahr schwerer oder gar tödlicher Verletzungen. Personen ohne entsprechende Sachkenntnis sollten von entsprechenden Experimenten absehen und stattdessen sich an eine qualifizierte Fachkraft wenden.

Das Relay Shield ist für unter einen Dollar bei Ali Express bestellbar oder für ca. 7 EUR bei Amazon. Sowohl der D1 als auch das Relay Shield kommen ohne montierte Pfostenleiste bzw. -stecker, sie liegen allerdings bei. Wer nicht Löten möchte, kann auch mit Kabelbrücken oder einem Breadboard arbeiten. Es sind die Pins GND, +5V und D1 zu verbinden.

Mit ungefähr gleichen Ausmaßen wie der D1 ergibt sich eine kompakte Einheit, welche z.B. in einem Auf- oder Unterputz-Gehäuse neben der eigentlichen Steckdose untergebracht werden kann.

Investiert man etwas Geduld und bestellt die Komponenten in China, zahlt man für D1 Mini, das Relais und Versand unter 5 EUR. Hinzuzurechnen sind die eigentliche Steckdose, ein 230V/5V AC/DC Netzteil (extern oder als Bauteil) und ggfs. ein Gehäuse. Ich glaube, dass man letztendlich in der Nähe von 10-12 Euro landen wird. Fertige Steckdosen wie die HS100 von TP-Link kosten rund 20 Euro.

ESPEasy

ESPEasy ist eine freie Firmware für ESP8266-Boards. Sie vereinfacht die Konfiguration des ESP8266 durch ein schlankes Web-Interface. Via ESPEasy können eine Menge Sensoren und Aktoren (Schalter) mit einem ESP8266-Board verbunden werden, ohne das Programmierung notwendig ist.

ESPEasy ist aktuell in mehren Versionen erhältlich:

• master beinhaltet die stabile Version 1.x, welche allerdings keine Aktualisierung mehr erhält
• mega ist der aktuelle Entwicklungszweig, welcher auf die Veröffentlichung der Version 2.0.0 abziehlt
• v2.0 sind sog. release candidates, also Test-Abzüge des mega-Zweigs, welche für die meisten Anwendungen ausreichend stabil sein sollten

Installation

Ich verwende aktuell die Version 2.0-20180322, welche direkt von Github heruntergeladen wurde. Auf den Prozess des flashens und die Konfiguration für das heimische WLAN gehe ich hier im Detail nicht ein. Der Vorgang ist im ESPEasy Wiki unter Get Started ausreichend beschrieben und wirklich einfach:

1. D1 Mini per USB mit PC verbinden
2. das Firmware-Archiv herunterladen und entpacken
3. enthaltenes Programm ESPEasy Flasher (FlashESP8266.exe) starten
4. COM-Port und Firmware-Variante wählen und flashen – fertig

Bei einem initialen ESPEasy Flash verbindet man sich dann mit dem WLAN ESP_Easy_0 (Passwort configesp) und gibt im sog. Captive Portal (oder unter http://192.168.4.1) die Zugangsdaten für das heimische WLAN ein. Bei nachfolgenden Firmware-Updates bleibt die Konfiguration bestehen und der D1 bleibt im eigenen WLAN.

Steuerung

Bereits jetzt ist eine Steuerung des GPIO Pins D1 und damit des Relais möglich. ESPEasy stellt dazu eine HTTP-basierte Schnittstelle zur Verfügung, welche in der Command Reference beschrieben ist.

Unter der Annahme, das der D1 mini im eigenen WLAN die IP 192.168.0.2 zugewiesen bekommen hat, sind folgende URLs im Browser oder mit cURL aufzurufen:

• http://192.168.0.2/control?cmd=GPIO,5,0 schaltet den GPIO Pin D1 auf low und das Relais stromlos. Entsprechend sind der mittlere (Eingang) und der rechte Kontakt (Ausgang R) der Schraubklemme verbunden
• http://192.168.0.2/control?cmd=GPIO,5,1 schaltet den GPIO Pin D1 auf high und das Relais zieht an. Der mittlere Kontakt ist jetzt mit dem linken Kontakt (Ausgang L) der Schraubklemme verbunden

Während es sich bei GPIO D1 um den GPIO Namen handelt, ist für den Schaltvorgang die logische GPIO Nummer zu übergeben. Für GPIO D1 ist dies Pin Nummer 5. Eine Tabelle, welche GPIO Name und Nummer aufführt, ist in der ESPEasy Dokumentation unter Configuration zu finden.

Fazit

Einfache, günstige ESP8266-Hardware und eine frei verfügbare, mächtige und dennoch einfach zu bedienende Software sind für den Aufbau einer WLAN-Steckdose erhältlich. Die Hardware-Arbeiten sind überschaubar, Programmierung und Konfiguration werden von ESPEasy übernommen.

Auch wenn kommerziell erhältliche Lösungen wie der HS100 schicker und einfacher in der Handhabung sind – sie haben ihren Preis. Und wohin und an wen die oftmals notwendigen Apps unsere Daten schicken, wissen wohl nur die Autoren selbst.

Der erste Schritt zur Verwendung der ESP8266-Steckdosen im Smart Home ist am Ende dieses Beitrags erreicht. In einem Folgeartikel werde ich auf die Anbindung an Home Assistant via REST und MQTT eingehen. Stay tuned!

Weiterführende Informationen

Software und Dokumentation

• Wemos D1 Mini Produktseite
• Wemos D1 Relay Shield Produktseite
• ESP Easy: Get Started
• ESP Easy: Flashing NodeMCU & Wemos D1 mini
• ESP Easy: Command Reference
• ESP Easy: Hardware Configuration
• ESP Easy v2.0-20180322 auf github.com
• Wikipedia: Captive Portal
• Home Assistant auf einem Raspberry Pi betreiben

Produkte*

• Wemos D1 Mini bei Ali Express
• Wemos D1 Mini bei Amazon
• Wemos Relay Shield (und Nachbauten) bei Ali Express
• Wemos Relay Shield bei Amazon
• NodeMCU bei Amazon
• Elegoo Electronic Fun Kit
• TP Link HS100 WLAN Steckdose

Der Beitrag WLAN-Steckdose mit ESP8266 und ESPEasy erschien zuerst auf dahlen.org.

Im privaten Umfeld stehen die verwandten Themen Heimautomatisierung und Smart Home im Fokus. Eine sehr gute Basis dafür sind ein Raspberry Pi 3, Docker und Home Assistant …

In den letzten beiden Jahren habe ich viel Zeit (und Geld) in die Vernetzung unseres Heims gesteckt. Bereits vorhandene Gerätschaften (wie Computer, AV-Receiver und Fernseher) wurden um neue Aktoren zum Schalten und Sensoren zum Messen ergänzt.

Im Mittelpunkt der Installation stehen dabei ein Raspberry Pi 3 und Home Assistant.

Raspberry Pi 3

Der Raspberry Pi 3 ist die ideale Plattform für Heimautomatisierung, nicht nur für Home Assistant. Er ist ausreichend schnell, bietet ausreichend Speicher und seine USB- und GPIO-Ports können für die Anbindung diverser Systeme und Standards (ZWave, Zigbee) genutzt werden. Außerdem verbraucht er minimal Strom und kann daher ohne Belastung des Öko-Gewissens 24/7 betrieben werde.

Dieser Artikel geht entsprechend davon aus, dass ein Raspberry Pi 3 mit einem aktuellen Raspbian Linux versorgt wurde und im heimischen Netz via LAN der WLAN erreichbar ist. Für Unterstützung bei der Einrichtung kann auf meine anderen Artikel zu diesem Thema zurückgegriffen werden.

Die Zusammenführung der teilweise isolierten Systeme übernimmt dabei die Software Home Assistant. Es gibt viele Wege Home Assistant auf einem Raspberry Pi zu installieren und alle sind hervorragend dokumentiert. Allerdings habe ich mich weder für eine direkte Installation via pip, noch für die Verwendung von hass.io entschieden, sondern für einen Mittelweg: Docker.

Docker

Der Grund ist einfach: Ich verwende auf dem Raspberry Pi Raspbian, also ein Debian Derrivat. Und die Paketverwaltung von Debian ist apt. Die Verwendung anderer Paketmanager, wie pip für Python oder npm für NodeJS, führt m.E. nur zu Chaos.

Andererseits möchte ich den Raspi nicht in eine Appliance verwandeln, sondern durchaus auch mit anderen Aufgaben bedenken. Ansätze wie HASS.IO oder Hassbian erschwerden dies durch die notwendige Abschottung des unterliegenden Betriebssystems.

Software, welche nicht per apt zur Verfügung steht wird also in einem Docker Container betrieben, um die Auswirkungen auf das Hostsystem zu minimieren.

Installation von Docker

Docker ist aktuell in den Raspbian Repositories vorhanden (Paket docker.io) und könnte somit direkt via apt installiert werden. Doch die Entwicklung von Docker läuft schneller als die Release-Zyklen von Raspbian, so dass ich das offizielle Docker-Respository nutze, um die aktuellste Version via apt installieren zu können.

$ curl -sSL https://get.docker.com | sh

Wer sich in das ausgeführte Skript einarbeitet erkennt, dass hier lediglich die Schritte zur Anbindung des Docker Debian Respositories inkl. GPG-Key Download automatisiert werden. Sie können alle auch manuell ausgeführt werden, aber das Skript ist einfach convenient.

Damit wir docker als regulärer Benutzer ohne sudo ausführen können, fügen wir – wie empfohlen – den aktuellen Benutzer der Gruppe docker hinzu. Der hier bespielhaft genannte Account pi ist durch den tatsächlichen Benutzernamen zu ersetzen:

$ sudo usermod -aG docker pi

Nach einer Ab- und Anmeldung sollte sich nun ein erster Docker Container ausführen lassen:

$ docker run --rm hello-world

Home Assistant

Nun da Docker einsatzbereit ist, können wir Home Assistant installieren und im Container betreiben. Für diese Einführung belasse ich die Konfiguration von Home Assistant unverändert, d.h.:

• es wird die integrierte SQLite Datenbank verwendet
• die Home Assistant Oberfläche ist auf Port 8123 zu erreichen
• die discovery-Komponente durchsucht das lokale Netz nach bekannten IoT-Geräten

Installation von Home Assistant mit Docker

Docker Container sind vergänglich (ephemeral), ebenso wie die in ihnen verwendeten Daten. Um Konfiguration und andere Laufzeitdaten zu persistieren, müssen wir Docker einen Platz zum Speichern außerhalb des Containers zuweisen. Dort wird Home Assistant seine initiale Konfiguration erzeugen und dauerhaft verwenden.

Zunächst erstellen wir ein lokales Verzeichnis (der Name ist beliebig):

$ cd ~
$ mkdir home-assistant

Anschließend starten wir unseren Container auf Basis des offiziellen Home-Assistant Images für den Raspberry Pi 3:

$ docker run -d  \
  --name=hass --net=host --restart=always \
  -v $PWD/home-assistant:/config \
  -v /etc/localtime:/etc/localtime:ro \
  homeassistant/raspberrypi3-homeassistant:latest

Durch obigen Befehl wird die aktuelle Version des Docker Image (und seine Basis) von Home Assistant für Raspberry Pi 3 heruntergeladen und ein darauf aufbauender Container namens „hass“ wird gestartet. Das lokale Verzeichnis home-assistant und die Zeitzone werden in den Container eingebunden. Die genaue Bedeutung der Parameter kann per $ docker run --help ermittelt werden.

Der Vorgang dauert ein wenig, aber nach einigen Sekunden sollte das Web-Interface von Home Assistant über den DNS-Namen oder die IP-Adresse des Raspberry zugänglich sein, z.B. http://raspberrypi:8123/.

Der tatsächliche Inhalt des Willkommen-Bereichs kann sich unterscheiden, da die in Home Assistant enthaltene Discovery Komponente möglicherweise Geräte (z.B. Philips Hue, Google Home oder Sonos Lautsprecher) bereits aufgespürt und eingebunden hat.

Konfiguration von Home Assistant

Das lokale Verzeichnis (home-assistant) wurde dem Container zur Verfügung gestellt. Entsprechend hat Home Assistant hier seine initiale Konfiguration abgelegt. Da der Container mit den Rechten des aktuellen Benutzers gestartet wurde, sind auch die Konfigurationsdateien in seinem Besitz. So kann jetzt mit einem Editor (z.B. vi oder nano) die grundsätzliche Konfiguration unter home-assistant/configuration.yaml bearbeitet werden. Beispielhaft kann der Eintrag „introduction:“ (ca. Zeile 17) entfernt werden, um den Einführungstext zu verwerfen.

Neustart von Home Assistant

Bei Änderung der Core-Konfiguration ist Home Assistant neu zu starten. Auch wenn dies über die Web-Oberfläche möglich ist (unter Einstellungen), ist der Neustart des Docker Containers oft die schnellere Lösung:

$ docker restart hass

Aktualisierung des Containers

Etwa alle 2 Wochen erscheint eine neue Version von Home Assistant, dazwischen werden Minor Releases mit Korrekturen veröffentlicht. Auch die Docker Images werden dabei zeitnah aktualisiert und können für neue Container-Instanzen verwendet werden. Existierende Container verwenden jedoch immer ihr ursprüngliches Image, daher ist die laufende Instanz zunächst zu löschen (keine Sorge, die Konfiguration im lokalen Verzeichnis bleibt bestehen):

$ docker rm -f hass

Anschließend kann ein neuer Container wie oben beschrieben gestartet werden.

Fazit

Der Einstieg in die Heim-Automatisierung ist einfach und kostengünstig möglich. Viele Geräte im Haushalt sind bereits netzwerk-fähig und können über diese Schnittstelle überwacht oder gesteuert werden. Andere dienen als einfache Sensoren, so kann ein Router zur Erkennung anwesender Mobiltelefone beitragen. Und nicht zuletzt existiert bereits eine Fülle von Internet-Diensten, welche als Signale in der Steuerung des Smart Home genutzt werden können.

Home Assistant ist eine einfach zu installierende und leicht zu verwendende Software, welche wie geschaffen für einen Raspberry Pi (3) ist. Die gute Dokumentation und eine aktive Community erleichtern den Einstieg und stehen für Fragen und Ratschläge zur Verfügung.

Weiterführende Informationen

Software und Dokumentation

• Home Assistant
• Home Assistant: Getting Started
• Home Assistant: HASS.IO
• Home Assistant Forum
• Raspbian Linux
• Raspberry Pi 3 Modell B für USB Boot vorbereiten
• Raspberry Pi Zero W headless Setup – so geht’s
• Docker Comes to Raspberry Pi
• Home Assistant: Docker Image für Raspberry Pi 3

Produkte*

Die folgenden Produkte wurden im Artikel besprochen bzw. verwendet:

• Raspberry Pi 3 Modell B

Der Beitrag Home Assistant mit Docker auf Raspberry Pi betreiben erschien zuerst auf dahlen.org.

Raspberry Pi 3B+

Beim neuen Modell 3B+ wurde im Wesentlichen Modellpflege betrieben, in der Automobilindustrie wäre vermutlich die Rede von einem Facelift:

• die CPU Geschwindigkeit wurde von 1,2GHz auf 1,4GHz erhöht
• die Anbindung des LAN-Ports erlaubt jetzt bis zu 300MBit/s
• WLAN funkt jetzt nach 802.11ac auch im 5GHz Band
• Bluetooth 4.2 wird jetzt unterstützt

Weitere Details lassen sich der entsprechenden Ankündigung der Raspberry Pi Foundation entnehmen.

Booten von USB

Auch der 3B+ kann ab Werk nicht von USB-Medien booten. Doch analog zum Modell 3B (ohne Plus) kann dies mit wenigen Handgriffen geändert werden. Im Gegenteil, die für den 3B+ notwendige aktuelle Raspbian-Version macht den Vorgang sogar noch einfacher.

An dieser Stelle irrt der Autor, das 3B+ Modell des Raspberry Pi kann offenbar ohne Vorbereitung direkt von USB (und sicherlich auch via Netzwerk) booten. Die unten beschriebene Vorbereitung ist also für das Plus-Modell nicht notwendig, sondern nur für das Modell 3. Allerdings wird auch kein Schaden angerichtet, falls das Vorgehen für den 3B+ angewendet wird.

Für die Durchführung sind ein aktuelles Raspbian Linux, Etcher, ein guter USB-Stick (ab 16GB) und temporär eine Micro-SD-Karte (4GB) notwendig. Ich habe Produkte von SanDisk eingesetzt, welche noch in diversen Schubladen zu finden waren. Da der RPi 3B+ etwas stromhungriger ist, sollte außerdem auf ein gutes Netzteil (5,1V, 2,5A) geachtet werden.

Vorbereitung

Zunächst sind die aktuelle Raspbian (Lite)-Version und Etcher (Portable) herunterzuladen. Anschliessend sind die SD-Karte und der USB-Stick mit dem PC zu verbinden und Etcher zu starten. Evtl. Inhalte auf Stick und Karte müssen gesichert werden, denn ihr Inhalt geht durch das Flashen unwiderruflich verloren!

In Etcher wählt man folgendes Vorgehen:

• Über Select Image wählt man das heruntergeladene Raspbian-Abbild aus, z.B. 2018-03-13-raspbian-stretch-lite.zip. Das Archiv kann von Etcher direkt verarbeitet werden und muss nicht entpackt werden.
• Mittels Select Drive wählt man das zu beschreibende Medium aus. Für diesen Artikel wurde mit dem USB-Stick begonnen, aber die Reihenfolge ist letztendlich egal.
• Durch die Option Flash startet der Schreibvorgang, der je nach Rechnerleistung, Mediengröße und Lesegerät einige Sekunden bis Minuten dauert.
• Nach erfolgreicher Durchführung wählt man die Option Flash Another und beginnt mit der Vorbereitung des verbleibenden Speichermediums. In meinem Beispiel ist das die SD-Karte, welche in einem Lexar Lesegerät steckt.
• Wieder startet ein Klick auf Flash den eigentlichen Schreibvorgang. Nach Abschluss kann Etcher beendet werden.

Die Etcher-Dialog-Folge anbei nochmal in Bildern. Wie gesagt: Die Reihenfolge zwischen SD-Karte und USB-Stick ist unbedeutend, solange beide Medien mit dem selben Raspbian-Abbild beschrieben werden.

Wer den Raspberry „headless“ betreiben möchte, d.h. ohne Monitor und Tastatur, der kann jetzt auf dem USB-Stick noch die entsprechenden Vorbereitungen treffen, analog zu diesem Artikel. Andernfalls ist der Stick damit vorbereitet, er kann ausgeworfen, abgezogen und zur Seite gelegt werden.

Konfiguration

Der Inhalt der SD-Karte muss noch geändert werden, sie verbleibt zunächst im Lesegerät. Je nach Betriebssystem ist es evtl. notwendig die Karte zunächst zu entnehmen und dann wieder einzustecken, damit die Änderungen erkannt werden.

Auf der SD-Karte befindet sich nach dem Beschreiben eine Partition im DOS-Format (boot) und auf dieser wiederrum die Datei config.txt. In dieser Datei ist eine Zeile hinzuzufügen, wobei auf die Beibehaltung der Zeilenenden geachtet werden muss. Unter Windows ist daher Wordpad zu verwenden und nicht der Editor (Notepad).

Ans Ende der Datei fügen wir die Zeile program_usb_boot_mode=1 an, so dass (Stand 19.03.2018) die letzten 3 Zeilen von config.txt wie folgt aussehen:

# Enable audio (loads snd_bcm2835)
dtparam=audio=on
program_usb_boot_mode=1

Durch die neue Zeile werden beim nächsten Start des Raspberry Pi 3 (B/B+) unwiderruflich die USB- und Netzwerk- (PXE) Boot-Option aktiviert. Der Prozess ist nicht umkehrbar, da die Änderung im OTP-Speicher des RPi eingetragen wird. Details sind der Dokumentation zu entnehmen. Der Einsatz von SD-Karten ist allerdings unverändert möglich, die neue Boot-Reihenfolge lautet nun:

1. SD-Karte
2. USB-Medium
3. Netzwerk-Boot (PXE)

Aktivierung

Jetzt ist auch die SD-Karte fertig vorbereitet und kann ausgeworfen bzw. entnommen werden. Anschließend ist sie in den Raspberry einzustecken und dieser mit Strom zu versorgen. Der Startvorgang und die Aktivierung des USB-Boots läuft ohne manuellen Eingriff ab. Ein eindeutiges Zeichen für einen abgeschlossenen Boot-Vorgang gibt es leider nicht, bei meinem 3B blinkt die grüne LED jede Sekunde, beim 3B+ blitzt sie. Es ist wichtig, dass die rote LED dauerhaft leuchtet, andernfalls ist die Stromversorgung zu schwach.

Gebt dem Raspi einfach 1-2 Minuten, bevor er wieder vom Strom getrennt wird. Eventuellen Datenverlust der SD-Karte nehmen wir hin, denn sie wird nicht mehr benötigt.

Nun wird der USB-Stick in einen beliebigen Port des Raspberrys gesteckt und wieder mit Strom versorgt. Der Start sollte jetzt von USB erfolgen, wobei auch hier beim ersten Start zunächst das Filesystem auf die volle Partitionsgröße erweitert und dann automatisch neu gestartet wird.

Somit wurde der Raspberry Pi 3 auf USB-Boot umgestellt und kann nun dauerhaft ohne SD-Karte betrieben werden.

tl;dr;

Hier nochmal die Zusammenfassung:

• Für das Modell 3B+
  1. aktuelles Raspbian Lite via Etcher auf USB-Stick flashen
  2. USB-Stick einstecken und Raspberry Pi 3 starten und konfigurieren
• Für das Modell 3B:
  1. aktuelles Raspbian Lite via Etcher auf SD-Karte und USB-Stick flashen
  2. Zeile program_usb_boot_mode=1 an Datei config.txt auf SD-Karte anfügen
  3. SD-Karte in Raspberry Pi 3 einstecken, starten und wieder runterfahren
  4. SD-Karte entfernen, USB-Stick einstecken und Raspberry Pi 3 starten und konfigurieren

Links

1. Raspberry Pi Foundation: Ankündigung Raspberry Pi 3B+
2. Raspberry Pi Foundation: Dokumentation Boot-Modi
3. Raspbian Linux (Übersicht)
4. Raspbian Linux Lite (Download)
5. Etcher
6. Raspberry Pi Headless Setup

Produkte*

Die folgenden Produkte wurden im Artikel besprochen bzw. verwendet:

• Raspberry Pi 3 Modell B+
• SanDisk Ultra Fit USB Stick, 16GB, USB 3.0
• SanDisk Ultra 16GB microSDHC Speicherkarte
• RAVPower 4-Port USB Ladegerät 40W 5V /8A
• Lexar SD- und CF-Kartenleser USB 3.0

Der Beitrag Raspberry Pi 3 Modell B für USB Boot vorbereiten erschien zuerst auf dahlen.org.

Eine lösbare Herausforderung …

Den Zero W gibt es für unter 15 EUR (ohne Zubehör) bzw. für unter 30 Euro als Essential Paket (z.B. bei Amazon). Für die Installation wird eine geeignete Micro-SD-Karte mit mindestens 8GB Kapazität benötigt. Außerdem ein Kartenleser (z.B. von Lexar, bei Amazon), welcher an einen weiteren Rechner angeschlossen wird.

Vorbereitung

Das Bespielen der SD-Karte mit Raspbian lt. Install Guide ist schnell erledigt und mündet folgender Partitionierung:

1. die boot-Partition, welche das DOS-Dateisystem nutzt und
2. die root-Partition, welche das Linux Ext-Dateisystem nutzt.

Wir werden ausschließlich den Inhalt der boot-Partition erweitern, dank DOS-Dateisystem sind die folgenden Änderungen unter allen populären Betriebssystemen möglich.

OpenSSH-Service aktivieren

Gemäß offizieller Anleitung (Abs. 3) ist im Stammverzeichnis der boot-Partition eine Datei namens ssh zu erstellen. Die reine Existenz dieser Datei führt im Raspian-Boot-Prozess dazu, dass der OpenSSH Server automatisch aktiviert wird und eingehende Verbindungen auf Port 22 annimmt.

WLAN-Konfiguration vorbereiten

Der zweite Schritt ist etwas umfangreicher. Ebenfalls im Stammverzeichnis der boot-Partition wird die Datei wpa_supplicant.conf erstellt. Lt. ungeprüfter Aussagen muss sie Linux-Zeilenenden aufweisen. Wie in den Hintergrundinformationen angekündigt, wird diese Datei beim Start automatisch an die richtige Stelle /etc/wpa_supplicant/ verschoben.

Die Datei hat folgenden Inhalt:

country=DE 
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev 
update_config=1 
network={
     ssid="WLAN SSID"
     scan_ssid=1
     psk="WLAN PASSWORT"
     key_mgmt=WPA-PSK
}

Die Werte WLAN SSID und WLAN PASSWORT sind natürlich durch die tatsächlichen Angaben zu ersetzen. Befindet man sich nicht in Deutschland, ist DE durch den ISO-Code des aktuellen Landes zu ersetzen.

Start

Damit sind die Vorbereitungen für den ersten Start abgeschlossen. Die SD-Karte wird nun in den Raspberry Pi gesteckt und dieser mit Energie versorgt. Nach einigen Sekunden sollte der Raspberry Pi im WLAN auftauchen, als Standard-Hostname wird dabei raspberrypi verwendet. Im WLAN-Access Point sollte sich auch die vergebene IP-Adresse ermitteln lassen.

Mittels eines geeigneten SSH-Clients kann nun die Anmeldung erfolgen. Das Passwort zum Standard-Benutzer pi ist in der offiziellen Dokumentation zu finden und sollte nach der 1. Anmeldung unbedingt geändert werden.

Das Verfahren zur WLAN-Client-Definition kann übrigens wiederholt werden und eignet sich somit auch, um eine nachträgliche Änderung headless durchzuführen.

Der Beitrag Raspberry Pi Zero W „headless“ Setup – so geht’s erschien zuerst auf dahlen.org.

In diesem dritten und vorerst letzten Teil wird auf die Anbindung von stationären und mobilen Clients eingegangen. Dabei kommen vorerst iOS und Mozilla Thunderbird zum Einsatz. Der fiktive ownCloud Server ist dabei unter der URL https://owncloud.dahlen.org/ mit dem Benutzer cloudmaster zu erreichen.

Client-Geräte und -Software

Die Nutzungsmöglichkeiten von ownCloud via iPhone oder anderen mobilen Geräten sind vielfältig. Neben einem Zugriff über die entsprechende ownCloud App können Kontakte und Kalenderdaten über das CardDAV resp. CalDAV Protokoll verwaltet werden, welches von iOS direkt unterstützt wird.

Geräte mit Apples iOS

Die entsprechenden Assistenten zur Einrichung in iOS sind recht straight-forward, benötigen aber etwas Vorarbeit auf der Server-Seite. Zur automatischen Erkennung der Möglichkeiten fragt iOS zunächst die Pfade

• /.well-known/carddav bzw.
• /.well-known/caldav ab.

Diese existieren in ownCloud nicht, ihre Funktionalität allerdings sehr wohl, nur an anderer Stelle. Am einfachsten ist es jetzt, die Anfragen per HTTP Redirect umzuleiten. Dazu wird die Konfiguration unter /etc/lighttpd/lighttpd.conf um einen Eintrag ergänzt, z.B. ab Zeile 22:

url.access-deny = ( „~“, „.inc“ )
url.redirect = (
„^/.well-known/carddav$“ => „/remote.php/carddav/“,
„^/.well-known/caldav$“ => „/remote.php/caldav/“
)

Außerdem ist es wichtig, daß man den eigenen Kalender in ownCloud über den Browser mindestens 1x aufruft. Erst dann werden die notwendigen Strukturen in ownClouds CalDAV-Server eingerichtet.

Dann kann die Anbindung via iPhone beginnen. Die Assistenten befinden sich in Einstellungen – Mail, Kontakte, Kalender – Account hinzufügen …. Aus der Liste der Möglichen Anbieter (iCloud, Exchange usw.) wählt man den letzten Punkt (Andere):

Die Dialoge für CardDAV und CalDAV sind im Wesentlichen identisch. Durch unsere Vorbereitung reicht es, den Namen des Server (owncloud.dahlen.org, ohne https://), den Benutzernamen und das Paßwort einzutragen. Alles andere wird bei Wahl von Weiter oben rechts automatisch ermittelt.

Und das war es dann auch schon. Der neue Kalender taucht in der Kalender-App auf und nimmt Termine entgegen. Die Enrichtung eines Kontakt-Accounts geschieht völlig analog und wird hier nicht weiter beschrieben.

Mozilla Thunderbird mit Lightning Add-On

Mozillas Mail-Client Thunderbird wird durch das Kalender-AddOn Lightning in die Richtung eines Personal Information Assistents, wie z.B. Outlook gerückt. Als Vertreter der Open Source Idee war zu erwarten, daß eine Anbindung an offene Standards möglich ist.

Zumindest für den Kalender gilt das auch. Nach der Installation von Lightning und dem Neustart von Thunderbird wird über das Menü Datei – Neu – Kalender der Assistent für einen neuen Kalender gestartet. Zunächst entscheidet man sich für einen Kalender im Netzwerk.

Im folgenden Dialog wählt man das Kalender-Format, was hier CalDAV ist. Der Dialog erwartet auch die Adresse, unter welcher der Kalender erreichbar ist. An dieser Stelle ist es leider nicht ausreichend einfach nur die URL des ownCloud-Servers anzugeben. Vielmehr wird hier die vollständige URL zum persönlichen Kalender erwartet.

Diese URL kann in ownCloud ausgelesen werden. Dazu wählt man in der Web-Oberfläche von ownCloud den Kalender und klickt dann oben rechts auf das Kalender-Symbol. Ein weiterer Klick auf das Weltkugel-Symbol offenbart dann den CalDAV-Link.

Gemäß den Beispieldaten in diesem Artikel lautet die CalDAV-Adresse meines Default-Kalenders
https://owncloud.dahlen.org/remote.php/caldav/principals/cloudmaster/defaultcalendar. Diese trägt man in den offenen Dialog ein und bestätigt mit Weiter.

Im nächsten Dialog-Schritt hat man noch die Möglichkeit die Darstellung des Kalendars zu personalisieren und eine E-Mail-Adresse zuzuordnen. Außerdem werden in einem Popup die Anmeldedaten abgefragt.

Schließlich kommt es zum letzten Schritt des Dialogs, in welchem man einfach nur auf Fertigstellen klickt. Das war’s.

Damit hat mein Protokoll zur Einrichtung des eigenen, abgesicherten ownCloud-Servers auf dem Raspberry PI und die Anbindung an Clients sein vorläufiges Ende erreicht. Es ist nicht ausgeschlossen, daß Ergänzungen für weiter Clients wie Android oder Outlook folgen.

Ich hoffe, daß meine Ausführungen dem ein oder anderem zur Hilfe reichen und freue mich auf Feedback.

Der Beitrag Die eigene Cloud auf dem Raspberry PI (Teil 3: Anbindung von Clients) erschien zuerst auf dahlen.org.

Dazu wurde die Web-Server-Software lighttpd installiert und die Kommunikation via Transport Layer Security (TLS) abgesichert. Mein (fiktiver) Web-Server ist nun ausschließlich unter https://owncloud.dahlen.org/ erreichbar.

Installation von ownCloud

Wegen der begrenzten Ressourcen des Raspberry PI wurde nicht auf das ownCloud-Paket der Distribution (Raspian) zurückgegriffen, da hier eine Abhängigkeit zum Apache 2 http-Server besteht. Dennoch kann das Gros der notwendigen Software aus den Paketquellen der Distribution genommen werden, z.B. PHP5 mit seinen Modulen:
$ sudo apt-get install php5-gd php5-curl php5-sqlite php5-cgi

PHP5

Nach der Installation von PHP5 sind bei Bedarf zwei Einstellungen anzupassen, welche Auswirkung auf den gleichen Aspekt haben: Die maximale Größe für Uploads nach ownCloud. Es handelt sich um folgende Parameter, die sich in der Datei /etc/php5/cgi/php.ini befinden:

• upload_max_filesize
• post_max_size

Ich habe beide Werte auf 16M gesetzt. In erster Linie möchte ich ownCloud für Kalender- und Kontaktdaten nutzen, aber mit 16MB sind auch mal ein Bild oder ein größeres Dokument drin.

Vor dem Beginn der eigentlichen Installation von ownCloud muß PHP5 noch via FastCGI angebunden werden. Dazu ist auch ein Neustart des Web-Servers notwendig:
$ sudo lighttpd-enable-mod fastcgi-php
$ sudo service lighttpd force-reload

ownCloud

Jetzt kann das ownCloud-Setup-Skript direkt vom Anbieter gezogen werden. Abgelegt wird es im Document-Root des Web-Servers /var/www/:
$ sudo wget -O /var/www/setup-owncloud.php \
https://download.owncloud.com/download/community/setup-owncloud.php

Außerdem sind noch Berechtigungen anzupassen, damit ownCloud Daten nachladen und installieren kann:
$ sudo chown www-data:www-data /var/www /var/www/setup-owncloud.php

Schließlich wird das Skript im Browser aufgerufen, gemäß Beispiel lautet die URL zum Setup https://owncloud.dahlen.org/setup-owncloud.php.

Es erscheint der Begrüßungsbildschirm der Installation. Dieser kann ohne Änderungen per Next bestätigt werden.
Der Startbildschirm der OwnCloud Installation

Im folgenden Dialog kann man das Zielverzeichnis der Installation auswählen, relativ zum Document Root. Auch hier reicht ein Klick auf Next, auch wenn man mit owncloud nicht einverstanden ist (dazu später mehr):

Im Hintergrund lädt ownCloud nun die aktuelle Version vom ownCloud-Server und entpackt sie im vorhin gewählten Zielverzeichnis. Je nach Internet-Anbindung kann dieser Schritt etwas dauern. Sein Abschluß wird durch den dritten Dialog berichtet, den man wieder über Next bestätigt.

Schließlich wird nach den Anmeldedaten des ersten Benutzers gefragt. Dieser wird automatisch zum Administrator. Nachdem man Benutzernamen und Passwort eingetragen hat, kann die Installation über die entsprechende Schaltfläche abgeschlossen werden.

Im letzten Dialog war ein roter Textabschnitt zu sehen. Sinngemäß wird dadrin darauf hingewiesen, daß alle Daten, die man ownCloud anvertraut ohne jede Zugangskontrolle abrufbar sind. Darum wird lighttpd (und damit ownCloud) jetzt erstmal runtergefahren:
$ sudo service lighttpd stop

Nun zu Ursache und Beseitigung der Warnung: ownCloud speichert die meisten seiner Daten in einem Unterverzeichnis namens data. Dieses Verzeichnis wird in der Regel über eine Datei namens .htaccess vor direkten Zugriffen aus dem Internet geschützt. Nur indirekt, über die ownCloud-Software und das dort integrierte Rechtemanagement soll der Zugriff erfolgen.

lighttpd bietet aber keine Unterstützung für die Anweisungen in der .htaccess-Datei, darum besteht auch kein Zugriffsschutz. Zwar bietet auch lighttpd ähnliche Mechanismen, aber ich wähle einen anderen Weg.

Als erstes ersetze ich /var/www/owncloud durch /var/www, weil ich keine weitere Anwendung auf dem Raspberry PI laufen lassen werde.
$ sudo mv /var/www /var/www.off
$ sudo mv /var/www.off/owncloud /var/www
$ sudo rm -r /var/www.off

Dann verschiebe ich das data-Verzeichnis aus dem Bereich des Webservers.
$ sudo mkdir -p /srv/owncloud
$ sudo chown www-data:www-data /srv/owncloud
$ sudo mv /var/www/data /srv/owncloud

Den neuen Ort des data-Verzeichnisses müssen wir ownCloud bekannt machen, dazu wird der alte Wert in der Konfigurationsdatei /var/www/config/config.php geändert.

Aus
'datadirectory' => '/var/www/owncloud/data',
wird also
'datadirectory' => '/srv/owncloud/data',

Zeit lighttpd (und damit owncloud) neu zu starten.
$ sudo service lighttpd start

Damit ist die Installation von ownCloud abgeschlossen. Sie steht (nur lt. meinem Beispiel) jetzt direkt unter https://owncloud.dahlen.org/ zur Verfügung.

Im nächsten Teil gehe ich auf die Anbindung von Kontakten und Kalender via iOS und anderen Clients ein.

Der Beitrag Die eigene Cloud auf dem Raspberry PI (Teil 2: ownCloud Installation) erschien zuerst auf dahlen.org.

Jetzt habe ich auch endlich eine Verwendung für die Himbeere 3,1415 gefunden: Meine eigene, kleine Cloud – mein Wölkchen also.

Motivation

Zunächst möchte ich noch meine Zielsetzung schärfen: Trotz der Auswahl von ownCloud als Server-Software geht es mir primär nicht um die Einrichtung einer Dateiablage oder ähnlichem. Vielmehr steht der weltweite Zugriff auf Kontakte und Kalenderdaten via Browser oder mobilem Endgerät im Vordergrund. Die dafür notwendigen Protokolle CalDAV und CardDAV sind in ownCloud integriert und die Installation der ownCloud-Software ist um ein Vielfaches einfacher als der dedizierten Varianten (z.B. DaviCAL).

Zwar kann man alle Leistungen kostenlos bei Google bekommen, doch liegen die persönlichen Daten dann eben bei Google. Natürlich muß das nicht zwangsläufig zu Mißbrauch führen (Don’t be evil, sagt Google). Aber ab und an wird Google sicherlich mal einen Blick auf die Daten werden, um die Benutzererfahrung zu verbessern. Anders wären Dienste wie Google Now gar nicht möglich.

Hard- und Software-Basis

Meine Beschreibung orientiert sich dabei an den Möglichkeiten eines Raspberry Pi, Modell B, 256MB Variante. Als Betriebssystem kommt die Debian Wheezy basierte Raspbian-Distribution zum Einsatz. Wegen der begrenzten Ressourcen wird nicht auf das ownCloud-Paket der Distribution zurückgegriffen, da hier eine Abhängigkeit zum Apache 2 http-Server besteht. Stattdessen wird auf LigHTTPd zurückgegriffen:
$ sudo apt-get install lighttpd

Damit ist der Webserver bereits installiert und liefert sein Platzhalter-Seite über HTTP aus. Allerdings handelt es sich um eine unverschlüsselte Verbindung. Die später notwendigen Anmelde-, meine Kontakt- und Kalenderdaten sollen so nicht verschickt werden. Vielmehr muß eine Absicherung über TLS, besser bekannt als SSL.

Absicherung der Kommunikation

Ich will erreichen, daß die Kommunikation mit den Clients (iPhone, Browser, etc.) verschlüsselt abläuft. Dazu würde theoretisch ein einfaches, selbst-signiertes Zertifikat reichen. Allerdings würden dann unbedarfte Anwender mit Dialogen konfrontiert werden, in denen Begriffe wie Gefahr, Sicherheitshinweis und nicht empfohlen vorkommen.

Der Grund ist, daß ein selbst-signiertes Zertifikat zwar für den Aufbau einer verschlüsselten Verbindung ausreicht, aber die Identität des Servers nicht bestätigt. Dies geht nur über eine Zertifikatskette, welche ausschließlich aus dem Client bekannten Certification Authorities (CA) besteht. Das heißt: Eine dem Client bekannte und als vertrauenswürdig eingestufte CA hat die Validität meines Server-Zertifikats mit ihrer Signatur bestätigt.

In meiner Beschreibung verwende ich als Hostnamen owncloud.dahlen.org und einen Benutzer namens cloudmaster. Weder die Domäne, noch der Benutzer existieren in der Realität.

Leider verlangen die im Browser vorinstallierten CAs teilweise horrende Gebühren für ihre Signatur. Doch es gibt kostenlose Ausnahmen, welche für meinen Anwendungsfall auch völlig ausreichend sind. Eine davon ist die Firma StartSSL.

Wichtig: Für die Erstellung eines durch StartSSL-signierten Zertifikats wird die eigene Domäne benötigt (wie dahlen.org). Ohne diese Domäne bleibt euch nur die Möglichkeit eines selbst-signierten Zertifikats. Auch muß der ownCloud-Host über einen Fully Qualified Domain Name (FQDN) erreichbar sein, also über einen Namen wie owncloud.dahlen.org.

Das erforderliche Software (OpenSSL) sollte bereits bei der Installation von Raspian mitgekommen sein, ansonsten schadet eine erneuter Versuch auch nicht.
$ sudo apt-get install openssl

Schlüssel und Zertifikate

Zunächst erstellt man einen privaten Schlüssel, mit welchem das spätere Server-Zertifikat abgesichert ist. Auf die Möglichkeit, diesen private key mit einem weiteren Kennwort abzusichern wird bewußt verzichtet:
$ openssl genrsa -out server.key 2048

Dann erstellt man einen Certificate Signing Request (CSR), eigentlich ist das der öffentliche Teil des privaten Schlüssels, welcher zur Signatur bei der CA eingereicht wird (oder eben selbst signiert wird):
$ openssl req -new -key server.key -out server.csr

Die gestellten Fragen sind gemäß der eigenen Umgebung anzugeben. Wichtig dabei: Das Feld Common Name (CN) muß den Namen und die Domäne (Fully Qualified Domain Name, FQDN) des eigenen ownCloud-Servers beinhalten. Der vollständige Dialog kann also wie folgt aussehen:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Toenisvorst
Organization Name (eg, company) [Internet Widgits Pty Ltd]:dahlen.org
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:owncloud.dahlen.org
Email Address []:cloudmaster@dahlen.org

Der erzeugte CSR wird jetzt bei StartSSL zur Signatur eingereicht. Diesen Prozeß muß ich glücklicherweise nicht beschreiben, denn das haben die Kollegen auf heise Security bereits getan. Im Ergebnis wird das signierte Zertifikat angezeigt, welches man kopiert und eine Datei namens server.crt speichert. Es ist dabei enorm wichtig, daß der Inhalt der Datei nicht durch Umbrüche oder ähnliches verändert wird.

Drei Dateien befinden sich nun im aktuellen Verzeichnis:

• server.key – der private Schüssel zum Zertifikat
• server.csr – der öffentliche, unsignierte Schlüssel
• server.crt – das öffentliche, signierte und damit „zertifizierte“ Schlüssel

Der CSR wird nicht mehr benötigt und kann gelöscht werden. Eine weitere Datei muss noch besorgt werden, um die Kette der Zertifikat-Signaturen zu schliessen: Das Intermediate Certificate von StartSSL. Diese lässt sich direkt abrufen:
$ wget -O ca.pem http://www.startssl.com/certs/sub.class1.server.ca.pem

Damit ist die Zertifikatskette geschlossen und die Gültigkeit des eigenen Server-Zertifikats kann überprüft werden:
$ openssl verify -CAfile ca.pem server.crt
Erwartetes Ergebnis:

server.crt: OK

Als letzten Schritt der Zertifikat-Vorbereitung müssen jetzt noch der private Schlüssel und das Zertifikat in eine Datei überführt werden.
$ cat server.key server.crt > server.pem

Installation in lighttpd

Nun ist es Zeit, die generierten Teile der SSL-Infrastruktur dem Webserver bekannt zu machen:
$ sudo cp server.pem /etc/lighttpd/
$ sudo cp ca.pem /etc/lighttpd/

Außerdem muß die Konfiguration unter /etc/lighttpd/lighttpd.conf angepasst werden. Die Änderungen beginnen mit der Änderung der Port-Nummer (ca. ab Zeile 15). Aus
server.port = 80
wird
server.port = 443
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/server.pem"
ssl.ca-file = "/etc/lighttpd/ca.pem"

Letztendlich wird damit der Zugriff über einfaches, unverschlüsseltes HTTP abgeschaltet. Durch einen Neustart wird dies aktiviert:
$ sudo service lighttpd restart

Danach ist der Dienst nur noch über HTTPS auf Port 443 zu erreichen, also https://owncloud.dahlen.org/.

Im nächsten Teil beschreibe ich, wie jetzt ownCloud ins Spiel kommt.

Der Beitrag Die eigene Cloud auf dem Raspberry PI (Teil 1: lighttpd und SSL) erschien zuerst auf dahlen.org.