5
Automatisieren von SSL Zertifikaten
Hallo @ all nur mal eine Frage in die Runde.
Das Thema SSL Zertifikat ist ja nun doch bei vielen ein wichtiges Thema.
Die Laufzeit wurde vor einiger Zeit von 24 auf 12 Monate gesenkt.
Jetzt stehen Diskussionen im Raum dies nochmal auf 3 Monate zu kürzen.
Was passiert also? Viele machen sich Gedanken über ein automatisiertes Verfahren
zur Erstellung und Einspielung.
Wie löst ihr das bei euch? Habt ihr Scripte gebastelt oder habt Ihr eine Anwendung, die ihr empfehlen könnt?
Klar kann man das Renew setzen beim Anbieter mit automatischem Download und dann ein Skript auf den Ordner setzen aber das ist nicht wirklich die beste Aufgabe.
Wie sind da eure Erfahrungen.
LG
Hendrik
Das Thema SSL Zertifikat ist ja nun doch bei vielen ein wichtiges Thema.
Die Laufzeit wurde vor einiger Zeit von 24 auf 12 Monate gesenkt.
Jetzt stehen Diskussionen im Raum dies nochmal auf 3 Monate zu kürzen.
Was passiert also? Viele machen sich Gedanken über ein automatisiertes Verfahren
zur Erstellung und Einspielung.
Wie löst ihr das bei euch? Habt ihr Scripte gebastelt oder habt Ihr eine Anwendung, die ihr empfehlen könnt?
Klar kann man das Renew setzen beim Anbieter mit automatischem Download und dann ein Skript auf den Ordner setzen aber das ist nicht wirklich die beste Aufgabe.
Wie sind da eure Erfahrungen.
LG
Hendrik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21600367217
Url: https://administrator.de/contentid/21600367217
Printed on: April 27, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hallo, naja so ähnlich.
3 Monate schocken nicht wirklich. Wir verwenden Let's Encrypt und da ist diese Zeitspanne seit langen oder immer?!? so.
Kommt auch auf den Dienst an. Bei Kerio Mail muss teils der Server neu gestartet werden. Wir verwenden für alles Scripte. Im anderen Zweig der Firma wird Exchange eingesetzt. auch hier nutzen wir ein Script https://github.com/rmbolger/Posh-ACME
Im Unrenehmen selber haben wir eine eigene CA.
So schwer ist es nicht. Ggf. das ganze Zentralisieren, so dass unter bestimmten Bedinungen Cert (nur neues) verteilt und ggf. Dienst neu gestartet wird. Bei der OPNsense Firewall wäre es z.B. nur die WebGUI. Was bei euch alles läuft, hast du nicht verraten. Um das Ganze zu optimieren müsste man wissen wie viele Endpunkte Cert aufweisen.
mfg Crusher
3 Monate schocken nicht wirklich. Wir verwenden Let's Encrypt und da ist diese Zeitspanne seit langen oder immer?!? so.
Kommt auch auf den Dienst an. Bei Kerio Mail muss teils der Server neu gestartet werden. Wir verwenden für alles Scripte. Im anderen Zweig der Firma wird Exchange eingesetzt. auch hier nutzen wir ein Script https://github.com/rmbolger/Posh-ACME
Im Unrenehmen selber haben wir eine eigene CA.
So schwer ist es nicht. Ggf. das ganze Zentralisieren, so dass unter bestimmten Bedinungen Cert (nur neues) verteilt und ggf. Dienst neu gestartet wird. Bei der OPNsense Firewall wäre es z.B. nur die WebGUI. Was bei euch alles läuft, hast du nicht verraten. Um das Ganze zu optimieren müsste man wissen wie viele Endpunkte Cert aufweisen.
mfg Crusher
Nun ja es sind viele unterschiedliche Dienste/Clients. Da sind 3-4 Zabbix Server zwecks Monitoring, mehrere vCenter, Windows Server und Linux Hütten. Dazu kommen derzeit noch SonicWall Firewalls, die aber demnächst abgelöst werden durch FortiGate. Der Zeit nutzen wir Sectigo als CA.
Ich hab mir auch schon Gedanken gemacht zwecks Skripten, für jedes Zertifikat. Das ist aber irgendwie auch nichts Halbes und nichts Ganzes.
Ich hab mir auch schon Gedanken gemacht zwecks Skripten, für jedes Zertifikat. Das ist aber irgendwie auch nichts Halbes und nichts Ganzes.
Dafür wurde SCEP geschaffen und das gibt's auch schon sehr lange.
https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol
Damit holen und updaten sich die Devices ihre Zertifikate selbständig. Supported so gut wie fast jedes Gerät für Enterprise-Umgebungen, CISCO sowieso. Das Cert wird dann bei der eigenen CA automatisiert abgerufen und/oder erneuert.
Wildcard-Zertifikate machen das Leben auch ein Stück einfacher.
Im Heimbereich mache ich das über ein Wildcard-Cert das über Lets-Encrypt abgerufen wird und dann über einen Reverse-Proxy die meisten internen Dienste bereitstellt.
Gruß Katrin.
https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol
Damit holen und updaten sich die Devices ihre Zertifikate selbständig. Supported so gut wie fast jedes Gerät für Enterprise-Umgebungen, CISCO sowieso. Das Cert wird dann bei der eigenen CA automatisiert abgerufen und/oder erneuert.
Wildcard-Zertifikate machen das Leben auch ein Stück einfacher.
Im Heimbereich mache ich das über ein Wildcard-Cert das über Lets-Encrypt abgerufen wird und dann über einen Reverse-Proxy die meisten internen Dienste bereitstellt.
Gruß Katrin.
Hallo,
erstellen von Zertifikaten ist nicht so dass Problem.
Aber das einspielen auf den Geräten ist meist sehr unterschiedlich.
Auf Fujitsu IPMI muss man das von Hand machen.
Das wird schon nervig. Eine richtige Lösung gibt es nicht immer.
abhilfe kann ein Proxy mit SSL-Offloading schaffen.
Z.B. HA-Proxy mit LE.
Stefan
erstellen von Zertifikaten ist nicht so dass Problem.
Aber das einspielen auf den Geräten ist meist sehr unterschiedlich.
Auf Fujitsu IPMI muss man das von Hand machen.
Das wird schon nervig. Eine richtige Lösung gibt es nicht immer.
abhilfe kann ein Proxy mit SSL-Offloading schaffen.
Z.B. HA-Proxy mit LE.
Stefan
Ich hab mir meine Frage zum Teil selbst beantwortet.
Sectigo selber bietet einen Network Agent an. Hier wird ein Installer auf die Hosts gespielt mit PrivatKey und Kennwort. Dieser Agent wacht über die Zertifikate und tauscht sie aus.
Für die übrigen paar Systeme kann man ein Script nehmen.
Ich dank euch trotzdem für eure schnellen und kompetenten Antworten.
Sectigo selber bietet einen Network Agent an. Hier wird ein Installer auf die Hosts gespielt mit PrivatKey und Kennwort. Dieser Agent wacht über die Zertifikate und tauscht sie aus.
Für die übrigen paar Systeme kann man ein Script nehmen.
Ich dank euch trotzdem für eure schnellen und kompetenten Antworten.
1