Zertifikate fürs Homelab

Shihatsu

Shihatsu

Legende
Thread Starter
Mitglied seit
16.08.2005
Beiträge
5.069
Ja moin! Ich hätte gern das "Problem" gelöst das jede API und ihr Hund, jedes Seite und alles mittlerweile auf HTTPS setzt. Was für Otto-normal-Internetjoe sicherlich gut ist, nervt im Homelab dann doch immer öfters an.
Ich habe zur Verfügung: Eine Domain, einen Proxmox Server auf den ich beliebiges Zeug schmeißen kann, nutze unbound als lokalen resolver (opnsense) und habe zuhause eine "meinzuhause.local" domain.
Ich habe zig Services (Homematic, Home Assistant, Webserver, diversteste Dienste, NAS, proxmox....) die gerne alle "sicher" kommunizieren würden mit diverstenen Endgeräten (Telefonen, Computern, ...) und/oder APIs (Homeassistant, Homepage, ...).

Wie löst ihr das bei euch, wie würdet ihr das lösen in meiner Situation?

P.S.: Schonmal frohes Fest...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich nutze den Cert-Manager bzw. Let's Encrypt Addon bei Homeassistant mit der DNS Challenge. Der große Vorteil ist, dass man keine Webseite zum Internet offen braucht, wie bei der normalen Challenge.

Domain braucht man natürlich dafür, aber die hast du ja laut Aussage. Aufgelöst wird das ganze intern auch über pihole/unbound.
 
Shihatsu schrieb:
Wie löst ihr das bei euch, wie würdet ihr das lösen in meiner Situation?
Zum Vergrößern anklicken....
Idealerweise besorgst du dir für ein paar € im Jahr eine normale öffentliche Domain (für dein Lab), über welche du dann Lets Encrypt Zertifikate besorgst.
Umsetzbar bspw. dann über Split Horizon DNS oÄ

P.S. von .local Domains würde ich sowieso weiten Abstand nehmen, das Schreit immer nach Problemen mit mDNS oÄ. Mittlerweile ist für sowas .internal empfohlen
 
Reverse Proxy:
Caddy
Traefik
Zoraxy
Npm
Dann gibts Subdomains homeassistant.domain.com und diese wird vom Proxy auf "nur aus dem LAN erreichbar" eingestellt.
Mit nem Wildcard Lets Encrypt Zertifikat sind automatisch alle Subdomains okay.

Cloudflare ist einer der wenigen DNS provider bei dem man * Wildcard Zertifikate auch für Lets Encrypt bekommt.

Dazu muss nur die Main Domain von aussen erreichbar sein, aber ich vermute mindestens eine (vpn) wird eh von aussen erreichbar oder?
 
Ich lasse einen Docker-Container mit Nginx Proxy Manager laufen, habe eine günstige domain bei do.de gemietet und NPM kümmert sich um das Wildcard-Zertifikat (Let's Encrypt) automatisch, da es ein Plugin für diesen Anbieter bei NPM gibt. DHCP/DNS dazu kommen von einer Pi-Hole Instanz, die Fritzbox aktualisiert meine IP bei do.de.
 
@Kavendish
Magst du das Mal etwas genauer beschreiben, besonders die grobe Konfiguration? Welche Container benötigt man da genau?
Das find ich spannend und würde gern etwas in der Art aufbauen
 
Alternativ ein eigener ACME Service, wenn man unbedingt eine eigene CA betreiben will. Zb FreeIPA, da ist Dogtag fürs Zertifikatsmanagement mit drin, und man fackelt die User Auth für Linux/Netzwerkgeräte direkt mit ab.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh