SSL Zertifikat für interne Services?

Seite 1 von 2 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/ssl-zertifikat-fuer-interne-services_256028/page_1 - zur Vollversion wechseln!

Viper780 schrieb am 08.07.2020 um 19:20

Mich stört schon länger dass ich keine sinnvolle Lösung habe für die ganzen Webinterfaces im LAN.

entweder es ist nur http, da meckern die Browser
Ich verwende selfsigned Zertifikate, dann muss man die Meldungen zuerst weg klicken oder überall das root cert importieren, was mobil auch ned sauber geht

Jetzt wäre meine Idee ich verwende das letsencrypt Zertifikat meine Domain und verwende diese Domain auch intern.

Dazu müsste ich aber alle 3 Monate das Zertifikat für alle Services tauschen was auch ein großer Aufwand ist (und ich müsste einen internen DNS Server betreiben)

Wie macht ihr das?

COLOSSUS schrieb am 08.07.2020 um 19:29

Zitat aus einem Post von Viper780
(und ich müsste einen internen DNS Server betreiben)

Das tust du doch sowieso, wenn du im LAN einen zentralen Resolver hast. Kann der keine A-Records spoofen und "split horizon" implementieren? Der Host, der die Zertifikate via ACME signieren laesst und austauscht im LAN darf davon halt nicht negativ beeintraechtigt sein.

Ich hab einfach kein TLS im LAN. Sue me.

ica schrieb am 08.07.2020 um 19:44

Entweder via letsencrypt mit auto renewal via certbot oder wildcard certificate für 2 Jahre kaufen...

UnleashThebeast schrieb am 08.07.2020 um 19:50

Musst du so oft in irgendwelche Webinterfaces? Mein Zeug läuft einfach...

Viper780 schrieb am 09.07.2020 um 00:25

Sonarr, radarr, sabnzbplus, nzbhydra, transmission, Statistiken für Sensoren, Nas, unifi controller, kodi webinterface,...

Acme geht nur wenn ich Zugriff auf den Name Server hab, den will ich aber bei meinem Provider lassen und tunlichst nicht selbst betreiben.
Die ganzen Services sind natürlich vom Internet nichts t erreichbar und deren Hostnamen mag ich auch nicht public machen. Somit hilft der certbot nicht.

Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen.

COLOSSUS schrieb am 09.07.2020 um 07:56

Zitat aus einem Post von Viper780
Ich hab aber ein Wildcard Letsencrypt bei meinem Provider der es brav für mich aktualisiert. Nur muss ich das auf die einzelnen Server bringen.

Das Problem hast du ja in anderen Faellen/Szenarien auch, wo du das CA-signierte Zertifikat deployen musst. Vielleicht muesstest du es mit einer anderen CA als LE weniger oft machen - aber meiner Erfahrung nach ist der beste Nebeneffekt einer Migration zu LE der, dass man das quasi automatisieren *muss*, und dann auch nicht mehr darauf vergessen kann.

userohnenamen schrieb am 09.07.2020 um 08:12

Intern hab ich meine eigene CA oder ich scheiß einfach drauf
ganz ehrlich, du siehst die meldung einmal, das wär mir den aufwand nicht wert außer ich will mich eben gezielt in der richtung spielen/selbst weiterbilden

Viper780 schrieb am 09.07.2020 um 09:57

Wie bekommst du das Zertifikat auf Handy und Tablet (ohne dass er dauernd schreit dass da ein fremdes zertifikat rum liegt?)

userohnenamen schrieb am 09.07.2020 um 10:32

gar nicht, aber ich surf mein internes zeug auch nicht am handy an (bzw wenn dann eigentlich nur das was auch extern erreichbar ist bzw. über den jeweiligen haproxy der dann LE hat)
aber selbst dann wärs wohl nicht so das problem die eigene CA als trusted root am handy unterzubringen

aber ich geb zu, handy hab ich nicht betrachtet weil ich den fall wirklich noch nicht hatte

UnleashThebeast schrieb am 09.07.2020 um 10:37

Sorry, aber ich versteh das Problem noch immer nicht. Die ganzen USenet-automation-Services sind doch dafür da, um das Zeug zu automatisieren, warum krebst man dann die ganze Zeit im Webinterface herum?
Same beim Unifi Controler - den hab i das letzte Mal offen gehabt, als ich ihn installiert und den AP ins Netz gehängt hab.

Viper780 schrieb am 09.07.2020 um 10:52

der automatisierer muss halt wissen was er automatisch machen soll.
Serie/Film hinzufügen, evtl mal andere qualität auswählen. Da bin ich jeden 2ten Tag drinnen.

Unifi Controller hab ich gerade ein kleines Projekt für die Firma und da verbring ich grad mehr Zeit. Sonst schau ich mir halt alle 2-3 Wochen die Statistiken an.

@uon
versuch das bitte mal ein self signed als trusted CA am mobilen device einzurichten.
Sogar am rooted android schreit er dann die ganze zeit das da ein zertifikat drinnen ist das evtl böse dinge machen kann

userohnenamen schrieb am 09.07.2020 um 11:15

ich hab jetzt grad meine CA am iphone eingerichtet.
.cer export importiert und dann noch extra in den einstellungen "root" rechte vergeben (da kommt eine warnung, das ist imho auch ok so)
also das ist jetzt überraschend problemlos gegangen, ich hätte gedacht ich muss mit sicherheit noch extra ein profil irgendwie einrichten damit ichs in ios importieren kann

android hab ich halt leider nicht ums damit auch mal zu probieren

banjoe schrieb am 09.07.2020 um 22:21

@selfsigned CA am Handy, wir haben in der Firma für einen internen Service sowohl am iOS als auch am Android ein Root-Zertifikat installiert und eigentlich keine Probleme damit.

hctuB schrieb am 10.07.2020 um 18:00

Wüsste jetzt auch nicht warum es das tun sollte, dafür kannst es ja selbst einspielen.

Self signed könnte ein issue sein aber ein ca, sollte gehen.

Wie sollen Firmen das sonst ordentlich managen können

Viper780 schrieb am 10.07.2020 um 18:02

Also bei mir kommt dann ständig die Warnung dass ein unbekanntes Zertifikat als Root installiert ist