Viper780
Er ist tot, Jim!
|
Mich stört schon länger dass ich keine sinnvolle Lösung habe für die ganzen Webinterfaces im LAN.
entweder es ist nur http, da meckern die Browser
Ich verwende selfsigned Zertifikate, dann muss man die Meldungen zuerst weg klicken oder überall das root cert importieren, was mobil auch ned sauber geht
Jetzt wäre meine Idee ich verwende das letsencrypt Zertifikat meine Domain und verwende diese Domain auch intern.
Dazu müsste ich aber alle 3 Monate das Zertifikat für alle Services tauschen was auch ein großer Aufwand ist (und ich müsste einen internen DNS Server betreiben)
Wie macht ihr das?
|
COLOSSUS
AdministratorGNUltra
|
(und ich müsste einen internen DNS Server betreiben) Das tust du doch sowieso, wenn du im LAN einen zentralen Resolver hast. Kann der keine A-Records spoofen und "split horizon" implementieren? Der Host, der die Zertifikate via ACME signieren laesst und austauscht im LAN darf davon halt nicht negativ beeintraechtigt sein. Ich hab einfach kein TLS im LAN. Sue me.
|
ica
hmm
|
Entweder via letsencrypt mit auto renewal via certbot oder wildcard certificate für 2 Jahre kaufen...
|
UnleashThebeast
Mr. Midlife-Crisis
|
Musst du so oft in irgendwelche Webinterfaces? Mein Zeug läuft einfach...
|
Viper780
Er ist tot, Jim!
|
Sonarr, radarr, sabnzbplus, nzbhydra, transmission, Statistiken für Sensoren, Nas, unifi controller, kodi webinterface,...
Acme geht nur wenn ich Zugriff auf den Name Server hab, den will ich aber bei meinem Provider lassen und tunlichst nicht selbst betreiben.
Die ganzen Services sind natürlich vom Internet nichts t erreichbar und deren Hostnamen mag ich auch nicht public machen. Somit hilft der certbot nicht.
Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen.
|
COLOSSUS
AdministratorGNUltra
|
Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen. Das Problem hast du ja in anderen Faellen/Szenarien auch, wo du das CA-signierte Zertifikat deployen musst. Vielleicht muesstest du es mit einer anderen CA als LE weniger oft machen - aber meiner Erfahrung nach ist der beste Nebeneffekt einer Migration zu LE der, dass man das quasi automatisieren *muss*, und dann auch nicht mehr darauf vergessen kann.
|
userohnenamen
leider kein name
|
Intern hab ich meine eigene CA oder ich scheiß einfach drauf
ganz ehrlich, du siehst die meldung einmal, das wär mir den aufwand nicht wert außer ich will mich eben gezielt in der richtung spielen/selbst weiterbilden
|
Viper780
Er ist tot, Jim!
|
Wie bekommst du das Zertifikat auf Handy und Tablet (ohne dass er dauernd schreit dass da ein fremdes zertifikat rum liegt?)
|
userohnenamen
leider kein name
|
gar nicht, aber ich surf mein internes zeug auch nicht am handy an (bzw wenn dann eigentlich nur das was auch extern erreichbar ist bzw. über den jeweiligen haproxy der dann LE hat)
aber selbst dann wärs wohl nicht so das problem die eigene CA als trusted root am handy unterzubringen
aber ich geb zu, handy hab ich nicht betrachtet weil ich den fall wirklich noch nicht hatte
|
UnleashThebeast
Mr. Midlife-Crisis
|
Sorry, aber ich versteh das Problem noch immer nicht. Die ganzen USenet-automation-Services sind doch dafür da, um das Zeug zu automatisieren, warum krebst man dann die ganze Zeit im Webinterface herum?
Same beim Unifi Controler - den hab i das letzte Mal offen gehabt, als ich ihn installiert und den AP ins Netz gehängt hab.
|
Viper780
Er ist tot, Jim!
|
der automatisierer muss halt wissen was er automatisch machen soll.
Serie/Film hinzufügen, evtl mal andere qualität auswählen. Da bin ich jeden 2ten Tag drinnen.
Unifi Controller hab ich gerade ein kleines Projekt für die Firma und da verbring ich grad mehr Zeit. Sonst schau ich mir halt alle 2-3 Wochen die Statistiken an.
@uon
versuch das bitte mal ein self signed als trusted CA am mobilen device einzurichten.
Sogar am rooted android schreit er dann die ganze zeit das da ein zertifikat drinnen ist das evtl böse dinge machen kann
|
userohnenamen
leider kein name
|
ich hab jetzt grad meine CA am iphone eingerichtet.
.cer export importiert und dann noch extra in den einstellungen "root" rechte vergeben (da kommt eine warnung, das ist imho auch ok so)
also das ist jetzt überraschend problemlos gegangen, ich hätte gedacht ich muss mit sicherheit noch extra ein profil irgendwie einrichten damit ichs in ios importieren kann
android hab ich halt leider nicht ums damit auch mal zu probieren
|
banjoe
Addicted
|
@selfsigned CA am Handy, wir haben in der Firma für einen internen Service sowohl am iOS als auch am Android ein Root-Zertifikat installiert und eigentlich keine Probleme damit.
|
hctuB
Bloody Newbie
|
Wüsste jetzt auch nicht warum es das tun sollte, dafür kannst es ja selbst einspielen.
Self signed könnte ein issue sein aber ein ca, sollte gehen.
Wie sollen Firmen das sonst ordentlich managen können
|
Viper780
Er ist tot, Jim!
|
Also bei mir kommt dann ständig die Warnung dass ein unbekanntes Zertifikat als Root installiert ist
|
Anmeldung