Automatisieren von SSL Zertifikaten
Hallo @ all nur mal eine Frage in die Runde.
Das Thema SSL Zertifikat ist ja nun doch bei vielen ein wichtiges Thema.
Die Laufzeit wurde vor einiger Zeit von 24 auf 12 Monate gesenkt.
Jetzt stehen Diskussionen im Raum dies nochmal auf 3 Monate zu kürzen.
Was passiert also? Viele machen sich Gedanken über ein automatisiertes Verfahren
zur Erstellung und Einspielung.
Wie löst ihr das bei euch? Habt ihr Scripte gebastelt oder habt Ihr eine Anwendung, die ihr empfehlen könnt?
Klar kann man das Renew setzen beim Anbieter mit automatischem Download und dann ein Skript auf den Ordner setzen aber das ist nicht wirklich die beste Aufgabe.
Wie sind da eure Erfahrungen.
LG
Hendrik
Das Thema SSL Zertifikat ist ja nun doch bei vielen ein wichtiges Thema.
Die Laufzeit wurde vor einiger Zeit von 24 auf 12 Monate gesenkt.
Jetzt stehen Diskussionen im Raum dies nochmal auf 3 Monate zu kürzen.
Was passiert also? Viele machen sich Gedanken über ein automatisiertes Verfahren
zur Erstellung und Einspielung.
Wie löst ihr das bei euch? Habt ihr Scripte gebastelt oder habt Ihr eine Anwendung, die ihr empfehlen könnt?
Klar kann man das Renew setzen beim Anbieter mit automatischem Download und dann ein Skript auf den Ordner setzen aber das ist nicht wirklich die beste Aufgabe.
Wie sind da eure Erfahrungen.
LG
Hendrik
Please also mark the comments that contributed to the solution of the article
Content-ID: 21600367217
Url: https://administrator.de/contentid/21600367217
Printed on: October 10, 2024 at 01:10 o'clock
5 Comments
Latest comment
Hallo, naja so ähnlich.
3 Monate schocken nicht wirklich. Wir verwenden Let's Encrypt und da ist diese Zeitspanne seit langen oder immer?!? so.
Kommt auch auf den Dienst an. Bei Kerio Mail muss teils der Server neu gestartet werden. Wir verwenden für alles Scripte. Im anderen Zweig der Firma wird Exchange eingesetzt. auch hier nutzen wir ein Script https://github.com/rmbolger/Posh-ACME
Im Unrenehmen selber haben wir eine eigene CA.
So schwer ist es nicht. Ggf. das ganze Zentralisieren, so dass unter bestimmten Bedinungen Cert (nur neues) verteilt und ggf. Dienst neu gestartet wird. Bei der OPNsense Firewall wäre es z.B. nur die WebGUI. Was bei euch alles läuft, hast du nicht verraten. Um das Ganze zu optimieren müsste man wissen wie viele Endpunkte Cert aufweisen.
mfg Crusher
3 Monate schocken nicht wirklich. Wir verwenden Let's Encrypt und da ist diese Zeitspanne seit langen oder immer?!? so.
Kommt auch auf den Dienst an. Bei Kerio Mail muss teils der Server neu gestartet werden. Wir verwenden für alles Scripte. Im anderen Zweig der Firma wird Exchange eingesetzt. auch hier nutzen wir ein Script https://github.com/rmbolger/Posh-ACME
Im Unrenehmen selber haben wir eine eigene CA.
So schwer ist es nicht. Ggf. das ganze Zentralisieren, so dass unter bestimmten Bedinungen Cert (nur neues) verteilt und ggf. Dienst neu gestartet wird. Bei der OPNsense Firewall wäre es z.B. nur die WebGUI. Was bei euch alles läuft, hast du nicht verraten. Um das Ganze zu optimieren müsste man wissen wie viele Endpunkte Cert aufweisen.
mfg Crusher
Dafür wurde SCEP geschaffen und das gibt's auch schon sehr lange.
https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol
Damit holen und updaten sich die Devices ihre Zertifikate selbständig. Supported so gut wie fast jedes Gerät für Enterprise-Umgebungen, CISCO sowieso. Das Cert wird dann bei der eigenen CA automatisiert abgerufen und/oder erneuert.
Wildcard-Zertifikate machen das Leben auch ein Stück einfacher.
Im Heimbereich mache ich das über ein Wildcard-Cert das über Lets-Encrypt abgerufen wird und dann über einen Reverse-Proxy die meisten internen Dienste bereitstellt.
Gruß Katrin.
https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol
Damit holen und updaten sich die Devices ihre Zertifikate selbständig. Supported so gut wie fast jedes Gerät für Enterprise-Umgebungen, CISCO sowieso. Das Cert wird dann bei der eigenen CA automatisiert abgerufen und/oder erneuert.
Wildcard-Zertifikate machen das Leben auch ein Stück einfacher.
Im Heimbereich mache ich das über ein Wildcard-Cert das über Lets-Encrypt abgerufen wird und dann über einen Reverse-Proxy die meisten internen Dienste bereitstellt.
Gruß Katrin.
Hallo,
erstellen von Zertifikaten ist nicht so dass Problem.
Aber das einspielen auf den Geräten ist meist sehr unterschiedlich.
Auf Fujitsu IPMI muss man das von Hand machen.
Das wird schon nervig. Eine richtige Lösung gibt es nicht immer.
abhilfe kann ein Proxy mit SSL-Offloading schaffen.
Z.B. HA-Proxy mit LE.
Stefan
erstellen von Zertifikaten ist nicht so dass Problem.
Aber das einspielen auf den Geräten ist meist sehr unterschiedlich.
Auf Fujitsu IPMI muss man das von Hand machen.
Das wird schon nervig. Eine richtige Lösung gibt es nicht immer.
abhilfe kann ein Proxy mit SSL-Offloading schaffen.
Z.B. HA-Proxy mit LE.
Stefan