Automatisches Deployment von SSL Zertifikaten im internen Netz

martingo

martingo

Experte
Thread Starter
Mitglied seit
17.01.2017
Beiträge
1.300
Hi,

kennt jemand ein automatisches Deployment von SSL Zertifikaten im internen Netz? Automatisiert Zertifikate vor Ende der Laufzeit zu erstellen, ist ja kein Problem. Die Frage ist - wie kommen die Zertifikate auf die diversen Systeme/Appliances?
Ich meine damit keine "normalen" Webserver, sondern z.B. VMware Server, Remotekonsolen wie HPE iLO, ggf. WebUI von Routern, Firewalls usw.
Natürlich kann man sich da etwas scripten, aber vor diesem Problem muss doch fast jeder stehen, der seine interne Infrastruktur absichern will.

Viele Grüße
Martin
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wir machen das mit Redhat IDM (FreeIPA ist das FOSS Gegenstück). Das hat auch Webhooks mit dem man bei uns Ansible Playbooks triggert. Das kann afaik auch Certs auf BMCs pushen.
 
Vermutlich dürfte da ein Wildcard certificate und ein automatisches Skript für den Heimgebrauch aber leichter sein ... ? (Haben pfsense/Opnsense ja grds eingebaut)
 
Hi,

ich bin nicht sicher, ob wir vom gleichen sprechen - die Zertifikate hätte ich über das ohnehin vorhandene PKI System der Windows Domäne erstellt. Natürlich könnte man das mit Intermediate auch auf einen Linux Server auslagern und dann gewisse Zertifikate von diesem erstellen lassen. Aber ist FreeIPA nicht eher eine Art LDAP-basierter Microsoft AD Ersatz mit Zertifizierungsstelle als zusätzliches Feature?
Relevanter wäre aus meiner Sicht eher, das Deployment via Ansible, aber da habe ich noch nicht gefunden, für welche Systeme Ansible Zertifikat verteilen kann.
Ob Wildcard oder nicht spielt für mich vom Aufwand her keine Rolle. Erstellen kann ich automatisiert, aber bei immer mehr Clients wird eine Laufzeit größer 2 Jahre nicht mehr erlaubt. Teilweise sogar nur noch 1 Jahr. Wichtig ist, dass ich die fiktiv 50 erstellten Zertifikate nicht jedes Jahr auf die 50 Systeme händisch verteilen muss. Also gerade das "automatische Script" fehlt mir. Und das wäre ja für jede Systemart eigens zu bauen (VMware, vSphere, VMware ESXi, NetApp, HPE iLO, Fujitsu Remote Console, CheckMK, Nessus, ...).
Und auch wenn es möglich ist, das Rad neu zu erfinden, denke ich, dass das doch ein gängiges Problem in jedem Unternehmen mit eigenen Servern sein muss und dass dieses Rad sicher schon jemand vor mir erfunden hat. Mein erster Gedanke dafür waren Deployment Systeme wie Ansible, aber damit hatte ich bisher nicht beschäftigt und wollte erstmal auf Erfahrungen im Forum horchen.

Viele Grüße
Martin
 
martingo schrieb:
Hi,

ich bin nicht sicher, ob wir vom gleichen sprechen - die Zertifikate hätte ich über das ohnehin vorhandene PKI System der Windows Domäne erstellt. Natürlich könnte man das mit Intermediate auch auf einen Linux Server auslagern und dann gewisse Zertifikate von diesem erstellen lassen. Aber ist FreeIPA nicht eher eine Art LDAP-basierter Microsoft AD Ersatz mit Zertifizierungsstelle als zusätzliches Feature?
Relevanter wäre aus meiner Sicht eher, das Deployment via Ansible, aber da habe ich noch nicht gefunden, für welche Systeme Ansible Zertifikat verteilen kann.
Ob Wildcard oder nicht spielt für mich vom Aufwand her keine Rolle. Erstellen kann ich automatisiert, aber bei immer mehr Clients wird eine Laufzeit größer 2 Jahre nicht mehr erlaubt. Teilweise sogar nur noch 1 Jahr. Wichtig ist, dass ich die fiktiv 50 erstellten Zertifikate nicht jedes Jahr auf die 50 Systeme händisch verteilen muss. Also gerade das "automatische Script" fehlt mir. Und das wäre ja für jede Systemart eigens zu bauen (VMware, vSphere, VMware ESXi, NetApp, HPE iLO, Fujitsu Remote Console, CheckMK, Nessus, ...).
Und auch wenn es möglich ist, das Rad neu zu erfinden, denke ich, dass das doch ein gängiges Problem in jedem Unternehmen mit eigenen Servern sein muss und dass dieses Rad sicher schon jemand vor mir erfunden hat. Mein erster Gedanke dafür waren Deployment Systeme wie Ansible, aber damit hatte ich bisher nicht beschäftigt und wollte erstmal auf Erfahrungen im Forum horchen.

Viele Grüße
Martin
Zum Vergrößern anklicken....
Für HP iLO hab ich das gefunden:

community.general.hponcfg module – Configure HP iLO interface using hponcfg — Ansible Community Documentation

docs.ansible.com docs.ansible.com

Document Display | HPE Support Center

support.hpe.com support.hpe.com

Damit dürften sich SSH und SSL Keys hinzufügen lassen. Eine fertige Plug&Play Lösung ist das noch nicht, du müsstest das entsprechende XML File generieren (lassen), und ich denke darin dann die CA und den Pubkey unterbringen.
 
Hört sich gut an, dann werde ich mich Mal näher mit Ansible beschäftigen, das wollte ich eh schon länger. Vielen Dank.
 
martingo schrieb:
Hört sich gut an, dann werde ich mich Mal näher mit Ansible beschäftigen, das wollte ich eh schon länger. Vielen Dank.
Zum Vergrößern anklicken....
Alternativ könnte man auch mit der Redfish API arbeiten, das unterstützt iLO afaik auch:

Redfish – Thomas-Krenn-Wiki

Die Redfish Scalable Platforms Management API (Redfish) ist eine Spezifikation zur Fernwartung von Server-Systemen (Out-of-band Systems Management). Die erste Version der Spezifikation wurde im August 2015 von der Distributed Management Task Force (DMTF) veröffentlicht, seither wird Redfish...
www.thomas-krenn.com www.thomas-krenn.com

community.general.redfish_config module – Manages Out-Of-Band controllers using Redfish APIs — Ansible Community Documentation

docs.ansible.com docs.ansible.com

Dann müsstest du, sofern du z.B. noch andere BMCs wie iDRAC oder ein Supermicro Board nutzt, nur ein Template schreiben.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh