Lokales Zertmanagement

Shihatsu

Shihatsu

Legende
Thread Starter
Mitglied seit
16.08.2005
Beiträge
5.014
Moin, für verschiedene Webserver nutze ich certbot mit let's encrypt. Soweit so gut, jetzt dachte ich mir "hey, machst mal für was lokales", aber o weh: certbot kann nicht mit .local, sondern erwartet eine "echte" TLD. Gibt es etwas vergleichbar elegantes für "zu Hause"?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hey,

Stehen die Kisten denn verteilt auf der Welt herum oder lokal alle an einem ort?

Ich regel das hier zu Hause ueber meine Firewall. Sie organisiert die Zertifikate und aktualisiert sie, terminiert dann dementsprechend SSL und leitet als Proxy weiter an den echten Webserver.
 
Ich wollte mir mal https://www.dogtagpki.org/wiki/PKI_Main_Page für daheim anschauen, bin aber noch nicht dazu gekommen. Bei mir sollte dann aber auch ein HSM die Root CA beherbergen, und Dogtag dann via ACME die Certs entsprechend verteilen/revoken.
 
Shihatsu schrieb:
certbot kann nicht mit .local, sondern erwartet eine "echte" TLD. Gibt es etwas vergleichbar elegantes für "zu Hause"?
Zum Vergrößern anklicken....
Klar, weil die könnte ja ansonsten jeder machen und das ist nicht der Sinn hinter den Zertifikaten von LE. Wenn Du denn unbedingt etwas "vertrauenswürdiges" haben willst, musst Du eine eigene, globale Domain dafür benutzen. Ich selbst mache das nicht, sondern klicke mir einmalig für jedes selbst signiertes Zertifikat eine Ausnahme in den FF und der merkt sich das auch und gut ist.
Nur auch extern erreichbare Sachen bekommen von mir ein Zertifikat mit LE.
 
Zuletzt bearbeitet:
p4n0 schrieb:
Hey,

Stehen die Kisten denn verteilt auf der Welt herum oder lokal alle an einem ort?

Ich regel das hier zu Hause ueber meine Firewall. Sie organisiert die Zertifikate und aktualisiert sie, terminiert dann dementsprechend SSL und leitet als Proxy weiter an den echten Webserver.
Zum Vergrößern anklicken....
Das ist alles lokal.
Wie machst du das mit der Firewall? Ich setze opnsense ein.
sch4kal schrieb:
Ich wollte mir mal https://www.dogtagpki.org/wiki/PKI_Main_Page für daheim anschauen, bin aber noch nicht dazu gekommen. Bei mir sollte dann aber auch ein HSM die Root CA beherbergen, und Dogtag dann via ACME die Certs entsprechend verteilen/revoken.
Zum Vergrößern anklicken....
Das sieht toll aus. Und ziemlich komplex. Call me scared!
BobbyD schrieb:
Klar, weil die könnte ja ansonsten jeder machen und das ist nicht der Sinn hinter den Zertifikaten von LE. Wenn Du denn unbedingt etwas "vertrauenswürdiges" haben willst, musst Du eine eigene, globale Domain dafür benutzen. Ich selbst mache das nicht, sondern klicke mir einmalig für jedes selbst signiertes Zertifikat eine Ausnahme in den FF und der merkt sich das auch und gut ist.
Nur auch extern erreichbar Sachen bekommen von mir ein Zertifikat mit LE.
Zum Vergrößern anklicken....
Macht Sinn. Also selfsigned Zertifikate.... Huom. Find ich unschön. :(
 
Shihatsu schrieb:
Das ist alles lokal.
Wie machst du das mit der Firewall? Ich setze opnsense ein.
Zum Vergrößern anklicken....
Nutze hierfuer keine 'Lokale' Domäne sondern ne public TLD. FW ist aktuell noch ne Sophos UTM, wird aber abgerissen werden.
 
Ich hab auch eine TLD für billig Geld bei Strato und nutze die (mit cloudflare als DNS und dyndns).
 
Öhm, ich habe eine TLD - nutze für meine public services (nichts zu Hause gehostet, wird sich vielleicht mal ändern, alles auf root servern) halt "shihatsusdomain.org" und zu hause halt "shihatsusdomain.local" für interne Dienste. Ich könnte intern natürlich auch die .org domain nutzen.... Wie würde ich das denn in unbound configurieren? Das wäre ja quasi die einfachste Lösung, dann einfach certbot nehmen und glücklich sein, oder?
 
@Shihatsu Du nutzt doch OPNsense oder? Damit sollte doch Split-DNS kein Problem sein und damit dann auch das Nutzen der Domain und Zertifikate für interne Zwecke.
Beitrag automatisch zusammengeführt:

Bzw. Du wirst vermutlich einen Reverse Proxy nutzen müssen, wenn Du intern alles "versorgen" möchtest, wie Switche etc.. Wenn es nur Server sind, dann sollte auch reines Split-DNS reichen.
 
Zuletzt bearbeitet:
Hast du einen Ansatzpunkt wo ich etwas darüber anchlesen kann? Und ja, opnsense.
 
Was sind denn das für "Webserver", wie bzw. worauf laufen sie? Weil Docker bin ich raus, weil keine Ahnung.
 
Ach, so ziemlich alles - das einzige was bei mir gedockert ist sind meine ersten versuche mit ner private docker registry (die läudft aber auf debian) und portainer. Das meiste sind aber debian-basierte VMs die services bereitstellen, z.B. jellyfin, debmatic, diverse nginx dinger, saltstack Geschichten und sowas halt.
 
Shihatsu schrieb:
z.B. jellyfin, debmatic, diverse nginx dinger, saltstack Geschichten und sowas halt.
Zum Vergrößern anklicken....
Und die Dinger haben vermutlich alle keine eigenen LE-Certs? Dann wirst Du einen Reverse-Proxy brauchen, zu dem Du deine Verbindungen aufbaust (der hat dann LE) und dieser wiederum baut dann die Verbindungen zu den eigentlichen Webservern auf (ohne LE, das siehst Du dann aber nicht).

Viel Aufwand für wenig Nutzen in meinen Augen. Auf der pfSense würde man HA Proxy benutzen, OPNsense weiß ich nicht, hab aber gehört, dass dort jemand erfolgreich Caddy nutzt. Der Reverse-Proxy muss auch nicht auf der Sense laufen, er muss aber halt überall rankommen.

NGINX soll das auch können, möglicherweise hast Du das schon so am Start. Du musst natürlich die DNS-Anfragen aus dem internen Netz dann noch zum funktionierenden Reverse-Proxy umleiten.

Soweit zur Theorie, mehr kann ich nicht geben.
 
BobbyD schrieb:
NGINX soll das auch können, möglicherweise hast Du das schon so am Start. Du musst natürlich die DNS-Anfragen aus dem internen Netz dann noch zum funktionierenden Reverse-Proxy umleiten.
Zum Vergrößern anklicken....
Ja genau so mache ich das auch. DNS macht in meinem Fall AdGuard Home auf der sense, geht aber mit Unbound genauso. Da trägst du den FQDN ein und leitest den auf den NGINX Proxy weiter. So bekomm ich auch von intern ne TLS-Verbindung mit dem Zertifikat was zur Public Domain gehört. Bzw. erreiche den Dienst eben auch von intern mit ner Public Domain. Bei .local wird Lets Encrypt wahrscheinlich auch nicht mitspielen
 
Ich bin gerade darüber gestolpert das das auch einfacher geht:
schnerring.net

OPNsense Baseline Guide with Mullvad VPN Multi-WAN, Guest, and VLAN Support

This beginner-friendly, step-by-step guide walks you through the initial configuration of your OPNsense firewall. The title of this guide is an homage to the pfSense baseline guide with VPN, Guest, and VLAN support that some of you guys might know, and this is an OPNsense migration of it. I...
schnerring.net schnerring.net
Den ganzen Mullvad und sonstigen KRam kann man ignorieren, mir geht es vor allem hier rum:
The final step is to add a custom SOA record to the local zone making Unbound the authoritative name server for corp.example.com. This way, we prevent Unbound from querying external nameservers for the internal domain and exposing our network structure to the outside world. For advanced Unbound configuration like this,we use Templates.
Mal schauen ob ich das ohne andere DNS und ohne DNS leaking hin kriege...
 
Anmelden, um zu antworten.

Ähnliche Themen

Redbull0329
[Kaufberatung] Mein erstes NAS
2
Antworten
40
Aufrufe
2K
Redbull0329
Redbull0329
L
Server und netzwerkumbau richtung 10 g wenn möglich
Antworten
2
Aufrufe
315
loaded
L
T
[Kaufberatung] Der x-te Neuling, der euch mit einer Kaufberatung auf den Senkel geht :)
Antworten
16
Aufrufe
964
the_root
T
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
1K
Speeddeamon
Speeddeamon
RiseAgainst92
Ryzen 8700G / Radeon 780M Overwatch 2 fühlt sich sehr verzögert an trotz 100+ FPS hoher input lag / Eingabeverzögerung
Antworten
4
Aufrufe
454
RiseAgainst92
RiseAgainst92
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh