hendrik2586
Goto Top

Automatisieren von SSL Zertifikaten

Hallo @ all nur mal eine Frage in die Runde.

Das Thema SSL Zertifikat ist ja nun doch bei vielen ein wichtiges Thema.
Die Laufzeit wurde vor einiger Zeit von 24 auf 12 Monate gesenkt.
Jetzt stehen Diskussionen im Raum dies nochmal auf 3 Monate zu kürzen.


Was passiert also? Viele machen sich Gedanken über ein automatisiertes Verfahren
zur Erstellung und Einspielung.

Wie löst ihr das bei euch? Habt ihr Scripte gebastelt oder habt Ihr eine Anwendung, die ihr empfehlen könnt?
Klar kann man das Renew setzen beim Anbieter mit automatischem Download und dann ein Skript auf den Ordner setzen aber das ist nicht wirklich die beste Aufgabe.


Wie sind da eure Erfahrungen.

LG

Hendrik

Content-ID: 21600367217

Url: https://administrator.de/contentid/21600367217

Ausgedruckt am: 24.11.2024 um 13:11 Uhr

Crusher79
Crusher79 06.11.2023 um 12:56:39 Uhr
Goto Top
Hallo, naja so ähnlich.

3 Monate schocken nicht wirklich. Wir verwenden Let's Encrypt und da ist diese Zeitspanne seit langen oder immer?!? so.

Kommt auch auf den Dienst an. Bei Kerio Mail muss teils der Server neu gestartet werden. Wir verwenden für alles Scripte. Im anderen Zweig der Firma wird Exchange eingesetzt. auch hier nutzen wir ein Script https://github.com/rmbolger/Posh-ACME

Im Unrenehmen selber haben wir eine eigene CA.

So schwer ist es nicht. Ggf. das ganze Zentralisieren, so dass unter bestimmten Bedinungen Cert (nur neues) verteilt und ggf. Dienst neu gestartet wird. Bei der OPNsense Firewall wäre es z.B. nur die WebGUI. Was bei euch alles läuft, hast du nicht verraten. Um das Ganze zu optimieren müsste man wissen wie viele Endpunkte Cert aufweisen.

mfg Crusher
Hendrik2586
Hendrik2586 06.11.2023 um 13:07:01 Uhr
Goto Top
Nun ja es sind viele unterschiedliche Dienste/Clients. Da sind 3-4 Zabbix Server zwecks Monitoring, mehrere vCenter, Windows Server und Linux Hütten. Dazu kommen derzeit noch SonicWall Firewalls, die aber demnächst abgelöst werden durch FortiGate. Der Zeit nutzen wir Sectigo als CA.

Ich hab mir auch schon Gedanken gemacht zwecks Skripten, für jedes Zertifikat. Das ist aber irgendwie auch nichts Halbes und nichts Ganzes.
8030021182
8030021182 06.11.2023 aktualisiert um 14:03:20 Uhr
Goto Top
Dafür wurde SCEP geschaffen und das gibt's auch schon sehr lange.
https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol
Damit holen und updaten sich die Devices ihre Zertifikate selbständig. Supported so gut wie fast jedes Gerät für Enterprise-Umgebungen, CISCO sowieso. Das Cert wird dann bei der eigenen CA automatisiert abgerufen und/oder erneuert.
Wildcard-Zertifikate machen das Leben auch ein Stück einfacher.

Im Heimbereich mache ich das über ein Wildcard-Cert das über Lets-Encrypt abgerufen wird und dann über einen Reverse-Proxy die meisten internen Dienste bereitstellt.

Gruß Katrin.
StefanKittel
StefanKittel 06.11.2023 um 13:52:24 Uhr
Goto Top
Hallo,

erstellen von Zertifikaten ist nicht so dass Problem.
Aber das einspielen auf den Geräten ist meist sehr unterschiedlich.

Auf Fujitsu IPMI muss man das von Hand machen.
Das wird schon nervig. Eine richtige Lösung gibt es nicht immer.

abhilfe kann ein Proxy mit SSL-Offloading schaffen.
Z.B. HA-Proxy mit LE.

Stefan
Hendrik2586
Lösung Hendrik2586 06.11.2023 um 14:03:10 Uhr
Goto Top
Ich hab mir meine Frage zum Teil selbst beantwortet.

Sectigo selber bietet einen Network Agent an. Hier wird ein Installer auf die Hosts gespielt mit PrivatKey und Kennwort. Dieser Agent wacht über die Zertifikate und tauscht sie aus.

Für die übrigen paar Systeme kann man ein Script nehmen. face-smile


Ich dank euch trotzdem für eure schnellen und kompetenten Antworten. face-smile