Lokales Zertmanagement

Shihatsu

Legende
Thread Starter
Mitglied seit
16.08.2005
Beiträge
5.017
Moin, für verschiedene Webserver nutze ich certbot mit let's encrypt. Soweit so gut, jetzt dachte ich mir "hey, machst mal für was lokales", aber o weh: certbot kann nicht mit .local, sondern erwartet eine "echte" TLD. Gibt es etwas vergleichbar elegantes für "zu Hause"?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hey,

Stehen die Kisten denn verteilt auf der Welt herum oder lokal alle an einem ort?

Ich regel das hier zu Hause ueber meine Firewall. Sie organisiert die Zertifikate und aktualisiert sie, terminiert dann dementsprechend SSL und leitet als Proxy weiter an den echten Webserver.
 
Ich wollte mir mal https://www.dogtagpki.org/wiki/PKI_Main_Page für daheim anschauen, bin aber noch nicht dazu gekommen. Bei mir sollte dann aber auch ein HSM die Root CA beherbergen, und Dogtag dann via ACME die Certs entsprechend verteilen/revoken.
 
certbot kann nicht mit .local, sondern erwartet eine "echte" TLD. Gibt es etwas vergleichbar elegantes für "zu Hause"?
Klar, weil die könnte ja ansonsten jeder machen und das ist nicht der Sinn hinter den Zertifikaten von LE. Wenn Du denn unbedingt etwas "vertrauenswürdiges" haben willst, musst Du eine eigene, globale Domain dafür benutzen. Ich selbst mache das nicht, sondern klicke mir einmalig für jedes selbst signiertes Zertifikat eine Ausnahme in den FF und der merkt sich das auch und gut ist.
Nur auch extern erreichbare Sachen bekommen von mir ein Zertifikat mit LE.
 
Zuletzt bearbeitet:
Hey,

Stehen die Kisten denn verteilt auf der Welt herum oder lokal alle an einem ort?

Ich regel das hier zu Hause ueber meine Firewall. Sie organisiert die Zertifikate und aktualisiert sie, terminiert dann dementsprechend SSL und leitet als Proxy weiter an den echten Webserver.
Das ist alles lokal.
Wie machst du das mit der Firewall? Ich setze opnsense ein.
Ich wollte mir mal https://www.dogtagpki.org/wiki/PKI_Main_Page für daheim anschauen, bin aber noch nicht dazu gekommen. Bei mir sollte dann aber auch ein HSM die Root CA beherbergen, und Dogtag dann via ACME die Certs entsprechend verteilen/revoken.
Das sieht toll aus. Und ziemlich komplex. Call me scared!
Klar, weil die könnte ja ansonsten jeder machen und das ist nicht der Sinn hinter den Zertifikaten von LE. Wenn Du denn unbedingt etwas "vertrauenswürdiges" haben willst, musst Du eine eigene, globale Domain dafür benutzen. Ich selbst mache das nicht, sondern klicke mir einmalig für jedes selbst signiertes Zertifikat eine Ausnahme in den FF und der merkt sich das auch und gut ist.
Nur auch extern erreichbar Sachen bekommen von mir ein Zertifikat mit LE.
Macht Sinn. Also selfsigned Zertifikate.... Huom. Find ich unschön. :(
 
Das ist alles lokal.
Wie machst du das mit der Firewall? Ich setze opnsense ein.
Nutze hierfuer keine 'Lokale' Domäne sondern ne public TLD. FW ist aktuell noch ne Sophos UTM, wird aber abgerissen werden.
 
Ich hab auch eine TLD für billig Geld bei Strato und nutze die (mit cloudflare als DNS und dyndns).
 
Öhm, ich habe eine TLD - nutze für meine public services (nichts zu Hause gehostet, wird sich vielleicht mal ändern, alles auf root servern) halt "shihatsusdomain.org" und zu hause halt "shihatsusdomain.local" für interne Dienste. Ich könnte intern natürlich auch die .org domain nutzen.... Wie würde ich das denn in unbound configurieren? Das wäre ja quasi die einfachste Lösung, dann einfach certbot nehmen und glücklich sein, oder?
 
@Shihatsu Du nutzt doch OPNsense oder? Damit sollte doch Split-DNS kein Problem sein und damit dann auch das Nutzen der Domain und Zertifikate für interne Zwecke.
Beitrag automatisch zusammengeführt:

Bzw. Du wirst vermutlich einen Reverse Proxy nutzen müssen, wenn Du intern alles "versorgen" möchtest, wie Switche etc.. Wenn es nur Server sind, dann sollte auch reines Split-DNS reichen.
 
Zuletzt bearbeitet:
Hast du einen Ansatzpunkt wo ich etwas darüber anchlesen kann? Und ja, opnsense.
 
Was sind denn das für "Webserver", wie bzw. worauf laufen sie? Weil Docker bin ich raus, weil keine Ahnung.
 
Ach, so ziemlich alles - das einzige was bei mir gedockert ist sind meine ersten versuche mit ner private docker registry (die läudft aber auf debian) und portainer. Das meiste sind aber debian-basierte VMs die services bereitstellen, z.B. jellyfin, debmatic, diverse nginx dinger, saltstack Geschichten und sowas halt.
 
z.B. jellyfin, debmatic, diverse nginx dinger, saltstack Geschichten und sowas halt.
Und die Dinger haben vermutlich alle keine eigenen LE-Certs? Dann wirst Du einen Reverse-Proxy brauchen, zu dem Du deine Verbindungen aufbaust (der hat dann LE) und dieser wiederum baut dann die Verbindungen zu den eigentlichen Webservern auf (ohne LE, das siehst Du dann aber nicht).

Viel Aufwand für wenig Nutzen in meinen Augen. Auf der pfSense würde man HA Proxy benutzen, OPNsense weiß ich nicht, hab aber gehört, dass dort jemand erfolgreich Caddy nutzt. Der Reverse-Proxy muss auch nicht auf der Sense laufen, er muss aber halt überall rankommen.

NGINX soll das auch können, möglicherweise hast Du das schon so am Start. Du musst natürlich die DNS-Anfragen aus dem internen Netz dann noch zum funktionierenden Reverse-Proxy umleiten.

Soweit zur Theorie, mehr kann ich nicht geben.
 
NGINX soll das auch können, möglicherweise hast Du das schon so am Start. Du musst natürlich die DNS-Anfragen aus dem internen Netz dann noch zum funktionierenden Reverse-Proxy umleiten.
Ja genau so mache ich das auch. DNS macht in meinem Fall AdGuard Home auf der sense, geht aber mit Unbound genauso. Da trägst du den FQDN ein und leitest den auf den NGINX Proxy weiter. So bekomm ich auch von intern ne TLS-Verbindung mit dem Zertifikat was zur Public Domain gehört. Bzw. erreiche den Dienst eben auch von intern mit ner Public Domain. Bei .local wird Lets Encrypt wahrscheinlich auch nicht mitspielen
 
Ich bin gerade darüber gestolpert das das auch einfacher geht:
Den ganzen Mullvad und sonstigen KRam kann man ignorieren, mir geht es vor allem hier rum:
The final step is to add a custom SOA record to the local zone making Unbound the authoritative name server for corp.example.com. This way, we prevent Unbound from querying external nameservers for the internal domain and exposing our network structure to the outside world. For advanced Unbound configuration like this,we use Templates.
Mal schauen ob ich das ohne andere DNS und ohne DNS leaking hin kriege...
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh