Wildcard-Zertifikate

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Wildcard-Zertifikate

Beitrag von scientific » 29.03.2018 09:26:56

Hi Leute. Ich hab mir ein Skriot geschrieben, mit dem ich ein Root-CA erstellen kann.
Dieses ist bei mir.

Vom Root-CA erstelle ich mir mit dem Skript ein Intermediate-CA-Cert, welches ich über meine website veröffentliche.

Mit dem Intermediate-ca-cert generiere ich dann für verschiedene Server (imap, smto, http, ldap...) jeweils eigene Zertifikate um meine Verbindungen zu diesen Rechnern abzusichern.

Meine Services sind unter zwei Domains gleichartig erreichbar.

Damit ich nicht bei jedem neuen Service ein neues Intermediate-CA-Cert erstellen muss, wo die fqdn mit dabei ist (und damit auf allen Geräten erneuert werden muss), hatte ich die gute Idee, dieser Zertifikat als WildcardgZertifikat auszustellen.

Ich nutze dazu das Alternativnamen-System von ssl.

Das schaut dann so aus, dass ich meine Domains folgend einbinde:

Code: Alles auswählen

 
DNS.1=webmail.domain.example
DNS.2=webmail.altdomain.example
DNS.3=ldap.domain.example
DNS.4=ldap.altdomain.example
DNS.5=*.domain.example
DNS.6=*.altdomain.example
DNS.7=*.local


Ich importiere das Intermediate-chain-CA.crt (das Root-CA.crt ist da mit dabei) nun in die verschiedenen Zertifikatsspeicher als vertrauenswürdige CA. (btw. es ist richtig oasch, dass da jede Applikation irgendwie ihr eigenes Süppchen kocht, wo das Abgelegt wird. Allen voran die Mozillen)

Ich hab *.local mit dabei, da ich es auf der Maschine selbt testen können möchte. Bin mir aber eh nicht sicher, ob das eine gute idee ist...

Egal.

Auf Linux akzeptiert Firefox sowohl die echten domains (hab diese in /etc/hosts erzeugt), als auch die local als wildcard und zeigt eine gesicherte Verbindung.

Chromium verweigert bei der local die gesicherte Verbindung.

Auf Windows ist es ähnlich. Hier verweigert Chrome gänzlich, da das Root-CA.cert als nicht vertrauenswürdig deklariert wird, obwohl ich es extra als vertrauenswürdig gekennzeichnet habe.

Edge verweigert ebenfalls vollkommen.

Ich hab die Zertifikate in Windoof als vertrauenswürdige CA, intermediate-ca, eigenes Zert und Herausgeber-cert installiert (systemweit), wie es die Hilfe von Chrome vorschlägt.

Firefox ist seitdem beim TLS-Handshake extrem langsam. Sowohl auf Linux und Android, als auch auf Windoof. Auch bei anderen https-Sites...das dürfte mit dem Parsen der Zertifikate zusammenhängen, wie ich einer Mozilla-helpsite entnehmen konnte...

Was mache ich falsch?
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten