141128
Apr 24, 2022
3013
8
0
Einstieg in Zertifikate, Https im Homelab, Lokale Root CA?
Hi,
Ich kenn grundsätzlich Zertifikate von der Benutzer bzw anwendender Admin Seite.
Ich hab auch schonmal für einen nextcloud Server in meiner DMZ mit dem Let's Encrypt Bot n Cert gemacht...
Ich tu mir aber leider noch etwas schwer die andere Seite zu verstehen.
Also mir gehts um die Frage wie man für ein Netzwerk ein Root Cert quasi macht und daraus dann verschiedenen Servern n Zertifikat gibt damit auch interne Server https benutzen können. Mein Scope wärst erstmal mein Homelab, zum lernen eben...
Bzw auch wie das Firmen machen, Ich hab die Rollen für Certs bei Windows Servern gesehen, konnte damit aber nicht viel anfangen und hoffe das es auch ohne Microsoft geht...
Mir gehts jetzt hier nicht um ne komplette Anleitung in den Kommentaren keine Sorge,
ich hatte mehr auf Hinweise gehofft in welche Richtung ich schauen kann oder was gute Suchbegriffe sind um gutes zu dem Thema zu finden, meine bisherigen Suchen waren da leider nicht sehr erfolgreich, vermutlich weil ich garnicht so genau weiß was ich eben suchen soll.
Vielen Dank schonmal
Ich kenn grundsätzlich Zertifikate von der Benutzer bzw anwendender Admin Seite.
Ich hab auch schonmal für einen nextcloud Server in meiner DMZ mit dem Let's Encrypt Bot n Cert gemacht...
Ich tu mir aber leider noch etwas schwer die andere Seite zu verstehen.
Also mir gehts um die Frage wie man für ein Netzwerk ein Root Cert quasi macht und daraus dann verschiedenen Servern n Zertifikat gibt damit auch interne Server https benutzen können. Mein Scope wärst erstmal mein Homelab, zum lernen eben...
Bzw auch wie das Firmen machen, Ich hab die Rollen für Certs bei Windows Servern gesehen, konnte damit aber nicht viel anfangen und hoffe das es auch ohne Microsoft geht...
Mir gehts jetzt hier nicht um ne komplette Anleitung in den Kommentaren keine Sorge,
ich hatte mehr auf Hinweise gehofft in welche Richtung ich schauen kann oder was gute Suchbegriffe sind um gutes zu dem Thema zu finden, meine bisherigen Suchen waren da leider nicht sehr erfolgreich, vermutlich weil ich garnicht so genau weiß was ich eben suchen soll.
Vielen Dank schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2586479717
Url: https://administrator.de/contentid/2586479717
Printed on: April 26, 2024 at 22:04 o'clock
8 Comments
Latest comment
Moin,
dazu wäre es hilfreich, wenn Du Angaben zu den eingesetzten bzw. bevorzugten (Server-)Betriebssystemen machen würdest. Aber eine korrekt funktionierende lokale CA ist unter keinem Betriebsystem mal eben zwischen 12 und mittags eingerichtet. Bringt ja nix, wenn hier Links für Solaris gepostet werden, mit denen Du wenig anfangen kannst.
Gruß
cykes
P.S. Selbstsignierte Zertifikate werden immer weniger in Browsern unterstützt.
dazu wäre es hilfreich, wenn Du Angaben zu den eingesetzten bzw. bevorzugten (Server-)Betriebssystemen machen würdest. Aber eine korrekt funktionierende lokale CA ist unter keinem Betriebsystem mal eben zwischen 12 und mittags eingerichtet. Bringt ja nix, wenn hier Links für Solaris gepostet werden, mit denen Du wenig anfangen kannst.
Gruß
cykes
P.S. Selbstsignierte Zertifikate werden immer weniger in Browsern unterstützt.
1
Grundsätzlich gibt es zwei Möglichkeiten:
1) Du nutzt öffentliche Zertifikate. Die lässt du dir wie dir bereits bekannt bspw. mit LetsEncrypt ausstellen. Funktioniert supi, aber hat den Nachteil, dass du kurz eine Verbindung über die (Sub-)Domain herstellen musst, um zu bestätigen, dass es wirklich deine Domain ist. Die Stammzertifikate sind in den Browswern schon drin. Damit ersparst du dir auf Clientseite den Rollout.
2) Du nutzt eine eigene CA. Erstellst dir also ein Stammzertifikat (Priv&Pub) und mit Hilfe dessen wiederum die Serverzertifikate. Hier musst du allerdings den Rollout des Stammzertifikats (Pub) selbst auf den Clients vornehmen. Das ist etwas Arbeit. Dafür hast du wiederum alle Freiheiten und musst nicht zwangsläufig eine Verbindung zum Inet haben.
Da du mit einer eigenen CA anfangen willst, wäre XCA für dich interessant anzusehen. Tutorialvideo gibt es auf YT ausreichend. Ist auch m. W. n. gut dokumentiert.
1) Du nutzt öffentliche Zertifikate. Die lässt du dir wie dir bereits bekannt bspw. mit LetsEncrypt ausstellen. Funktioniert supi, aber hat den Nachteil, dass du kurz eine Verbindung über die (Sub-)Domain herstellen musst, um zu bestätigen, dass es wirklich deine Domain ist. Die Stammzertifikate sind in den Browswern schon drin. Damit ersparst du dir auf Clientseite den Rollout.
2) Du nutzt eine eigene CA. Erstellst dir also ein Stammzertifikat (Priv&Pub) und mit Hilfe dessen wiederum die Serverzertifikate. Hier musst du allerdings den Rollout des Stammzertifikats (Pub) selbst auf den Clients vornehmen. Das ist etwas Arbeit. Dafür hast du wiederum alle Freiheiten und musst nicht zwangsläufig eine Verbindung zum Inet haben.
Da du mit einer eigenen CA anfangen willst, wäre XCA für dich interessant anzusehen. Tutorialvideo gibt es auf YT ausreichend. Ist auch m. W. n. gut dokumentiert.
1
Zitat von @it-fraggle:
1) Du nutzt öffentliche Zertifikate. Die lässt du dir wie dir bereits bekannt bspw. mit LetsEncrypt ausstellen. Funktioniert supi, aber hat den Nachteil, dass du kurz eine Verbindung über die (Sub-)Domain herstellen musst, um zu bestätigen, dass es wirklich deine Domain ist.
1) Du nutzt öffentliche Zertifikate. Die lässt du dir wie dir bereits bekannt bspw. mit LetsEncrypt ausstellen. Funktioniert supi, aber hat den Nachteil, dass du kurz eine Verbindung über die (Sub-)Domain herstellen musst, um zu bestätigen, dass es wirklich deine Domain ist.
Nicht zwangsläufig.
Das geht auch vollständig ohne Portforwarding etc.
Ist also auch für den Betrieb von internen Servern eine Alternative.
1
Hi cykes,
sorry, natürlich, ich bin generell am lernen, ich komm mit Windows und Linux (hab auch noch keine Main Distro) relativ klar.
Mal eben muss auch garnicht, ich würd generell gern in Richtung sysadmin lernen und halt komplette Netzwerke einrichten können...
(schon klar, viel und verschieden. Ich bin eben noch auf der Suche was ich "später" machen will und versuche einen möglichst breiten Überblick zu bekommen)
Danke für den Hinweis
sorry, natürlich, ich bin generell am lernen, ich komm mit Windows und Linux (hab auch noch keine Main Distro) relativ klar.
Mal eben muss auch garnicht, ich würd generell gern in Richtung sysadmin lernen und halt komplette Netzwerke einrichten können...
(schon klar, viel und verschieden. Ich bin eben noch auf der Suche was ich "später" machen will und versuche einen möglichst breiten Überblick zu bekommen)
Danke für den Hinweis
Hi it-fraggle,
danke
Das mit der eigenen CA war nur ne Idee / Vermutung, ich bin da an sich komplett offen für die beste Lösung.
Ich werd mir beide Vorschläge anschauen vielen Dank, auch an Tezzla
Eine dumme Frage noch wenns ok ist 😅
Soweit ich das bisher verstanden habe soll man ja dann für jeden Server ein unter Cert machen das dann vom Client anhand der Chain zertifiziert wird? Also wie mach ich denn dann das unter Cert?
Passiert das auf dem Server indem ich das Haupt Cert das ich hab da angebe und der Server bastelt sich da selber was draus oder muss ich das dann irgendwie zentral machen bzw wenn ja wie?
Danke
danke
Das mit der eigenen CA war nur ne Idee / Vermutung, ich bin da an sich komplett offen für die beste Lösung.
Ich werd mir beide Vorschläge anschauen vielen Dank, auch an Tezzla
Eine dumme Frage noch wenns ok ist 😅
Soweit ich das bisher verstanden habe soll man ja dann für jeden Server ein unter Cert machen das dann vom Client anhand der Chain zertifiziert wird? Also wie mach ich denn dann das unter Cert?
Passiert das auf dem Server indem ich das Haupt Cert das ich hab da angebe und der Server bastelt sich da selber was draus oder muss ich das dann irgendwie zentral machen bzw wenn ja wie?
Danke
Soweit ich das bisher verstanden habe soll man ja dann für jeden Server ein unter Cert machen das dann vom Client anhand der Chain zertifiziert wird? Also wie mach ich denn dann das unter Cert?
Intermediate Certs machst du nicht für jeden Server. Das wäre etwas drüber. Du machst erst deine Root Cert und mit der machst du das das Intermediate Cert. Bei der Ausstellung darauf achten, dass es auch Zertifikate ausstellen darf. Dann machst du die Server-Certs. Hier drauf achten, dass sie NICHT ausstellen dürfen.Passiert das auf dem Server indem ich das Haupt Cert das ich hab da angebe und der Server bastelt sich da selber was draus oder muss ich das dann irgendwie zentral machen bzw wenn ja wie?
Das machst du mit deiner PKI. Wie gesagt schaust du dir am besten mal XCA an. Das bringt alles mit was du brauchst. Nimm dir was Zeit bis dass du es verstanden hast und dann läuft das schon.1
Super,
Ich schau mir XCA mit ruhe an.
Vielen Dank
Ich schau mir XCA mit ruhe an.
Vielen Dank
Hallo
XCA macht kostenlos alles was du so vor hast.
Ist nicht so ganz einfach. Musst eben viel nachlesen. Wenn du jedoch die Sache verstehst ist es ein Kinderspiel verschiedene Zertifikate zu erstellen.
So long
Yumper
XCA macht kostenlos alles was du so vor hast.
Ist nicht so ganz einfach. Musst eben viel nachlesen. Wenn du jedoch die Sache verstehst ist es ein Kinderspiel verschiedene Zertifikate zu erstellen.
So long
Yumper
1