Intranet SSL Zertifikat

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
gugus
Beiträge: 322
Registriert: 04.09.2002 17:41:17
Wohnort: da wo ich zu Hause bin

Intranet SSL Zertifikat

Beitrag von gugus » 25.11.2021 16:52:25

Servus
Ich habe wie wahrscheinlich viele hier ein kleines Heimnetz aufgebaut und verschiedene Dienste laufen. Einige der Dienste/Apps meckern bei jedem Aufruf dass es kein sicherer Dienst ist, dann kann mit "einer Ausnahme" den Dienst/App aktiviert werden.

Nun dachte ich mir dass ich alles zertifiziere und gut ist. Hm, da ich keinen Server im I-Net habe fällt natürlich let's encrypt aus.

Somit bleibt nur die selbst Zertifizierung übrig. Eingelesen habe ich mich schon mal bei diversen Artikeln
Link1
Link2

Meine Frage ist, hat dies bereits jemand aufgesetzt/installiert. Gibt es Erfahrungen oder ist es abwegig so etwas aufzusetzen da es mehr Aufwand (Unterhalt) bedeutet im Gegensatz zu "ein paar" Ausnahmen aufzunehmen.

Gruss
gugus

Meine Systeme sind XenServer mit Dateiserver, Nextcloud, MQTT sowie Raspberries für Backup, Pihole, Ubiquiti, check_mk, WLED etc. und einige Basteleien mit Docker.

Benutzeravatar
niemand
Beiträge: 15205
Registriert: 18.07.2004 16:43:29

Re: Intranet SSL Zertifikat

Beitrag von niemand » 25.11.2021 17:09:49

gugus hat geschrieben: ↑ zum Beitrag ↑
25.11.2021 16:52:25
Meine Frage ist, hat dies bereits jemand aufgesetzt/installiert. Gibt es Erfahrungen oder ist es abwegig so etwas aufzusetzen da es mehr Aufwand (Unterhalt) bedeutet im Gegensatz zu "ein paar" Ausnahmen aufzunehmen.
Ich hatte das früher™ (sprich: vor Let’s Encrypt) für Server im Inet. Da konnte man das entsprechende Zertifikat der lokalen CA in den Client importieren (oder systemweit verfügbar machen), und hatte fortan keine Probleme mit damit signierten Certs. So eine CA „aufzusetzen“ ist kein Aufwand – wenn man sehr langsam schreibt und liest, schafft man das in einer halben Stunde. Aufwendiger war’s zum Teil, das CA-Cert in die Clients zu bekommen. Da weiß ich nicht einmal, ob das heutzutage noch ohne größere Umstände geht, oder ob’s gar nicht mehr vorgesehen ist. Der Weg über das System sollte aber noch funktionieren.

Das größte Problem war eh, dass ich mir ’nen Satz Zertifikate mit Laufzeiten von 1-2 Jahren signiert habe, und als die dann abgelaufen sind, regelmäßig die Passphrase für den CA-Schlüssel vergessen hatte :mrgreen:
„The wise man doesn't give the right answers, he poses the right questions.“ (C. Levi-Strauss – gefunden im Manual des Apachen)

non serviam.

Benutzeravatar
bluestar
Beiträge: 1795
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Intranet SSL Zertifikat

Beitrag von bluestar » 25.11.2021 17:37:14

gugus hat geschrieben: ↑ zum Beitrag ↑
25.11.2021 16:52:25
Servus
Ich habe wie wahrscheinlich viele hier ein kleines Heimnetz aufgebaut und verschiedene Dienste laufen. Einige der Dienste/Apps meckern bei jedem Aufruf dass es kein sicherer Dienst ist, dann kann mit "einer Ausnahme" den Dienst/App aktiviert werden.

Nun dachte ich mir dass ich alles zertifiziere und gut ist. Hm, da ich keinen Server im I-Net habe fällt natürlich let's encrypt aus.
Ich habe das Problem bei Bedarf immer dahingehend gelöst, dass ich im Heimnetz einfach eine Domain einrichte (z.B. example.com) und über Split-DNS gehe, d.h. in der öffentlich erreichbaren Zone lege ich keinerlei A/AAAA Records an und in der internen Zone lege ich die A/AAAA Records an.

Danach nutze ich intern LetsEncrypt via DNS-Challenge meine Dienste (z.B. intranet.example.com) und lasse die DNS-Challenge jedoch in den öffentlichen DNS-Server eintragen. Somit kann LetsEncrypt dir ganz einfach Zertifikate für dein Heimnetz ausstellen.

Der Certbot kümmert sich dann in bei ablaufenden Zertifikaten auch automatisch um die Erneuerung und du bist fein raus.

gugus
Beiträge: 322
Registriert: 04.09.2002 17:41:17
Wohnort: da wo ich zu Hause bin

Re: Intranet SSL Zertifikat

Beitrag von gugus » 25.11.2021 18:27:27

Danke für die schnellen Antworten.
Ich würde dementsprechend den Link für die CA nachfolgen, sprich eine eigene Zertifizierungsstelle aufsetzen. Klingt für mich erst mal gut und sieht auch nicht nach gröberen Aufwand aus.

@niemand, Passwörter habe ich mit Keepass im Griff :mrgreen: (hoffentlich)
@bluestar, das mit Split_DNS verstehe ich nicht wirklich. Aber egal, ich habe keinerlei öffentlich zugängliche Server. Von daher würde das zumindest ausscheiden.
Aber das mit DNS-Challenge muss ich näher ansehen.

Gruss
gugus

Antworten