"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

SSL Zertifikat für interne Services?

Viper780 08.07.2020 - 19:20 3030 15
Posts

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Mich stört schon länger dass ich keine sinnvolle Lösung habe für die ganzen Webinterfaces im LAN.

entweder es ist nur http, da meckern die Browser
Ich verwende selfsigned Zertifikate, dann muss man die Meldungen zuerst weg klicken oder überall das root cert importieren, was mobil auch ned sauber geht

Jetzt wäre meine Idee ich verwende das letsencrypt Zertifikat meine Domain und verwende diese Domain auch intern.

Dazu müsste ich aber alle 3 Monate das Zertifikat für alle Services tauschen was auch ein großer Aufwand ist (und ich müsste einen internen DNS Server betreiben)

Wie macht ihr das?

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Zitat aus einem Post von Viper780
(und ich müsste einen internen DNS Server betreiben)


Das tust du doch sowieso, wenn du im LAN einen zentralen Resolver hast. Kann der keine A-Records spoofen und "split horizon" implementieren? Der Host, der die Zertifikate via ACME signieren laesst und austauscht im LAN darf davon halt nicht negativ beeintraechtigt sein.

Ich hab einfach kein TLS im LAN. Sue me.

ica

hmm
Avatar
Registered: Jul 2002
Location: Graz
Posts: 9798
Entweder via letsencrypt mit auto renewal via certbot oder wildcard certificate für 2 Jahre kaufen...

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3445
Musst du so oft in irgendwelche Webinterfaces? Mein Zeug läuft einfach...

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Sonarr, radarr, sabnzbplus, nzbhydra, transmission, Statistiken für Sensoren, Nas, unifi controller, kodi webinterface,...

Acme geht nur wenn ich Zugriff auf den Name Server hab, den will ich aber bei meinem Provider lassen und tunlichst nicht selbst betreiben.
Die ganzen Services sind natürlich vom Internet nichts t erreichbar und deren Hostnamen mag ich auch nicht public machen. Somit hilft der certbot nicht.

Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen.

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Zitat aus einem Post von Viper780
Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen.

Das Problem hast du ja in anderen Faellen/Szenarien auch, wo du das CA-signierte Zertifikat deployen musst. Vielleicht muesstest du es mit einer anderen CA als LE weniger oft machen - aber meiner Erfahrung nach ist der beste Nebeneffekt einer Migration zu LE der, dass man das quasi automatisieren *muss*, und dann auch nicht mehr darauf vergessen kann.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15840
Intern hab ich meine eigene CA oder ich scheiß einfach drauf
ganz ehrlich, du siehst die meldung einmal, das wär mir den aufwand nicht wert außer ich will mich eben gezielt in der richtung spielen/selbst weiterbilden

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Wie bekommst du das Zertifikat auf Handy und Tablet (ohne dass er dauernd schreit dass da ein fremdes zertifikat rum liegt?)

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15840
gar nicht, aber ich surf mein internes zeug auch nicht am handy an (bzw wenn dann eigentlich nur das was auch extern erreichbar ist bzw. über den jeweiligen haproxy der dann LE hat)
aber selbst dann wärs wohl nicht so das problem die eigene CA als trusted root am handy unterzubringen

aber ich geb zu, handy hab ich nicht betrachtet weil ich den fall wirklich noch nicht hatte

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3445
Sorry, aber ich versteh das Problem noch immer nicht. Die ganzen USenet-automation-Services sind doch dafür da, um das Zeug zu automatisieren, warum krebst man dann die ganze Zeit im Webinterface herum?
Same beim Unifi Controler - den hab i das letzte Mal offen gehabt, als ich ihn installiert und den AP ins Netz gehängt hab.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
der automatisierer muss halt wissen was er automatisch machen soll.
Serie/Film hinzufügen, evtl mal andere qualität auswählen. Da bin ich jeden 2ten Tag drinnen.

Unifi Controller hab ich gerade ein kleines Projekt für die Firma und da verbring ich grad mehr Zeit. Sonst schau ich mir halt alle 2-3 Wochen die Statistiken an.

@uon
versuch das bitte mal ein self signed als trusted CA am mobilen device einzurichten.
Sogar am rooted android schreit er dann die ganze zeit das da ein zertifikat drinnen ist das evtl böse dinge machen kann

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15840
ich hab jetzt grad meine CA am iphone eingerichtet.
.cer export importiert und dann noch extra in den einstellungen "root" rechte vergeben (da kommt eine warnung, das ist imho auch ok so)
also das ist jetzt überraschend problemlos gegangen, ich hätte gedacht ich muss mit sicherheit noch extra ein profil irgendwie einrichten damit ichs in ios importieren kann

android hab ich halt leider nicht ums damit auch mal zu probieren

banjoe

Addicted
Avatar
Registered: Jan 2003
Location: 4820
Posts: 500
@selfsigned CA am Handy, wir haben in der Firma für einen internen Service sowohl am iOS als auch am Android ein Root-Zertifikat installiert und eigentlich keine Probleme damit.

hctuB

Bloody Newbie
Avatar
Registered: Feb 2002
Location: Pampa LL
Posts: 2389
Wüsste jetzt auch nicht warum es das tun sollte, dafür kannst es ja selbst einspielen.

Self signed könnte ein issue sein aber ein ca, sollte gehen.

Wie sollen Firmen das sonst ordentlich managen können

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Also bei mir kommt dann ständig die Warnung dass ein unbekanntes Zertifikat als Root installiert ist
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz