10
Lets Encrypt und Geo-IP
Moin,
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Den Umweg über DNS-01 möchte ich vermeiden (bitte keine Diskussionen der Art "Mach das doch anders"!) und Let's Encrypt rückt die IPs der eigenen Validierungsserver nicht raus.
Ich habe mal ein wenig rumgespielt und bisher funktionierte es, wenn ich Zugriffe von einer US-IP ebenfalls zulasse. Kann sich ja aber ändern, vielleicht hatte ich beim Testen einfach nur Glück. Hat da jemand Erfahrungen?
Gruß
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Den Umweg über DNS-01 möchte ich vermeiden (bitte keine Diskussionen der Art "Mach das doch anders"!) und Let's Encrypt rückt die IPs der eigenen Validierungsserver nicht raus.
Ich habe mal ein wenig rumgespielt und bisher funktionierte es, wenn ich Zugriffe von einer US-IP ebenfalls zulasse. Kann sich ja aber ändern, vielleicht hatte ich beim Testen einfach nur Glück. Hat da jemand Erfahrungen?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83412626092
Url: https://administrator.de/contentid/83412626092
Printed on: April 27, 2024 at 05:04 o'clock
10 Comments
Latest comment
Ahoi,
dann machs doch mit der acme.sh / certbot - die haben Plugins für ziemlich viele DNS anbieter - für dich ändert sich in der Verwendung wenig.
Alternativ kannst du den _acme-challenge auch als CNAME auf eine Box weiterleiten, die nicht so restriktiv gehandhabt wird, dort das Zertifikat generieren und dann bei dir einspielen.
Das zweite Szenario haben wir hier am laufen, macht halt hauptsächlich Sinn, wenn das Automatisiert ist.
Lg,
Stefan
dann machs doch mit der acme.sh / certbot - die haben Plugins für ziemlich viele DNS anbieter - für dich ändert sich in der Verwendung wenig.
Alternativ kannst du den _acme-challenge auch als CNAME auf eine Box weiterleiten, die nicht so restriktiv gehandhabt wird, dort das Zertifikat generieren und dann bei dir einspielen.
Das zweite Szenario haben wir hier am laufen, macht halt hauptsächlich Sinn, wenn das Automatisiert ist.
Lg,
Stefan
Moin Stefan,
danke für den Hinweis, schaue ich mir mal an.
Aktuelle "Lösung", ist zwar eher ein Workaround, funktioniert aber: Ich lege eine FW-Regel an, die den Zugriff nur für einige Minuten zulässt, danach ist wieder abgeschlossen.
Und automatisiert muss das schon funktionieren, sonst macht der ganze Aufriss keinen Sinn.
Gruß
danke für den Hinweis, schaue ich mir mal an.
Aktuelle "Lösung", ist zwar eher ein Workaround, funktioniert aber: Ich lege eine FW-Regel an, die den Zugriff nur für einige Minuten zulässt, danach ist wieder abgeschlossen.
Und automatisiert muss das schon funktionieren, sonst macht der ganze Aufriss keinen Sinn.
Gruß
Falls du Unterstützung brauchst, einfach melden - ich kann dir die Ansible Playbooks gerne bereit stellen.
LG,
Stefan
LG,
Stefan
1
Man kann Zertifikate auch kaufen, die dann 1 Jahr gültig sind.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.
Moin,
Ach was, tatsächlich? Ist aber nicht die Frage, trotzdem danke.
Gruß
Man kann Zertifikate auch kaufen, die dann 1 Jahr gültig sind.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.
Da die Prüfung dabei nicht via Webzugriff passiert, würde das mit der Firewall gehen.
Ach was, tatsächlich? Ist aber nicht die Frage, trotzdem danke.
Gruß
ich möchte für diverse Server Let's Encrypt einsetzen. Jetzt ist aber über unsere Firewall Geo-IP konfiguriert, idR sollen Aufrufe nur mit einer deutschen IP möglich sein. Das führt dann natürlich dazu, dass die Zertifikatüberprüfung geblockt wird.
Was ein Zufall. Genau damit war ich heute u.a. auch beschäftigt.
Ich habe es so gelöst, dass es im Geoblocking Ausnahmen gibt für die über Google gefundenen Hosts
acme-v01.api.letsencrypt.org
acme-staging.api.letsencrypt.org
acme-v02.api.letsencrypt.org
acme-staging-v02.api.letsencrypt.org
Manuel
2
Moin Manuel,
danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr. Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen, der das Kreischen anfängt, sobald ein Zertifikat nur noch 20 Tage gültig ist. Nach 30 Tagen ersetzt Let's Encrypt ja das alte Zertifikat.
Aktuell reicht es für uns, im Geo-IP die USA freizugeben, ist natürlich mit der Schrotflinte abgedrückt. Und auch das kann ja morgen anders sein. Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt. Gleichzeitig in den Linux-VMs nen Cron-Eintrag gesetzt, der zu der Zeit die Zertifikate abfragt.
Bin jetzt noch an unserem Mailstore-Server, aktuell habe ich noch nicht herausgefunden, wann der sich bei Let's Encrypt meldet und ob man die Zeit selbst irgendwo festlegen kann. Ticket beim Support, die sind erst mal misstrauisch und fragen, warum ich das wissen will Ich werde berichten...
Gruß
danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr. Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen, der das Kreischen anfängt, sobald ein Zertifikat nur noch 20 Tage gültig ist. Nach 30 Tagen ersetzt Let's Encrypt ja das alte Zertifikat.
Aktuell reicht es für uns, im Geo-IP die USA freizugeben, ist natürlich mit der Schrotflinte abgedrückt. Und auch das kann ja morgen anders sein. Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt. Gleichzeitig in den Linux-VMs nen Cron-Eintrag gesetzt, der zu der Zeit die Zertifikate abfragt.
Bin jetzt noch an unserem Mailstore-Server, aktuell habe ich noch nicht herausgefunden, wann der sich bei Let's Encrypt meldet und ob man die Zeit selbst irgendwo festlegen kann. Ticket beim Support, die sind erst mal misstrauisch und fragen, warum ich das wissen will
Ich werde berichten...Gruß
allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken... Wäre doof, wenn das Wochen läuft und dann plötzlich nicht mehr.
Solange die nicht neue Hosts nutzen sollte es eigentlich laufen. Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.
Ich für meinen Teil würde aber in jedem Fall einen PRTG-Sensor drauf setzen
Ich auch.
Moin,
Gruß,
Dani
danke! Sowas hatte ich schon gesehen, allerdings ist damit zu rechnen, dass die das immer wieder drehen, sonst könnten sie ja gleich die IPs rausrücken...
das kann sich schon ändern, wenn du einen anderen DNS-Server abfragst. Wir haben in den letzten 5 Jahren keine Lösung dafür gefunden, welche alle Betroffenen zufrieden stellt. Letzt endlich haben wir alles auf DNS-01 umgestellt und alle Neuentwicklungen werden daran ausgerichtet. Alles andere ist früher oder später eine ABM.Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt.
Perfekt. Hast du mir noch eure WAN IP-Adresse? Alles andere findet sich. Die Ausnahme in der Firewall ist auf FQDN gemünzt. Wechselnde IPs dürften also eigentlich kein Problem darstellen. Wechselnde oder neue Hostnamen natürlich schon.
Die Firewall Cached aber auch die IP-Adressen. D.h. auch das ist eine potenzielle Fehlerquelle, was den Abruf verhindern kann.Gruß,
Dani
Moin,
meine FW-Lösung wird durch Mailstore torpediert, Frechheit
Falls es andere interessiert, hier mal die Antwort des Supports auf die Frage, wann Mailstore eine Validierung probiert:
Hindert mich nicht zwingend dran, starte ich halt in der Nacht den Dienst neu, angepasst an die Freigabe in der FW. So als Hintenrumarbeit aka Workaround.
@Dani
Na ja, das Risiko halte ich eher für überschaubar. Da würde es für 10 Minuten ein Zeitfenster geben. Gehen wir mal davon aus, dass da automatisierte Versuche laufen, ist das aus meiner Sicht eher unwahrscheinlich, dass da was passiert. Und wenn es gezielt jemand mit ausreichenden Kenntnissen auf uns abgesehen hat, mal ehrlich, da bin ich eh geliefert. Wie übrigens die allermeisten bei gezielten und maßgeschneiderten Angriffen hier auch
Ich sehe mir das aber mit DNS-01 noch einmal genauer an, scheint mir die idealere Lösung zu sein.
Gruß
meine FW-Lösung wird durch Mailstore torpediert, Frechheit
Falls es andere interessiert, hier mal die Antwort des Supports auf die Frage, wann Mailstore eine Validierung probiert:
Sobald ein Let´s Encrypt Zertifikat das Alter von 60 Tagen erreicht hat, versucht der MailStore Server Dienst alle 12 Stunden, ein neues Let´s Encrypt Zertifikat zu erhalten.
Die Uhrzeit richtet sich nach dem letzten Start des MailStore Serverdienstes.Hindert mich nicht zwingend dran, starte ich halt in der Nacht den Dienst neu, angepasst an die Freigabe in der FW. So als Hintenrumarbeit aka Workaround.
@Dani
Ich habe eine FW-Regel gebaut, die in der Nacht für 10 Minuten den Zugriff aus USA freigibt.
Perfekt. Hast du mir noch eure WAN IP-Adresse? Alles andere findet sich.Na ja, das Risiko halte ich eher für überschaubar. Da würde es für 10 Minuten ein Zeitfenster geben. Gehen wir mal davon aus, dass da automatisierte Versuche laufen, ist das aus meiner Sicht eher unwahrscheinlich, dass da was passiert. Und wenn es gezielt jemand mit ausreichenden Kenntnissen auf uns abgesehen hat, mal ehrlich, da bin ich eh geliefert. Wie übrigens die allermeisten bei gezielten und maßgeschneiderten Angriffen hier auch
Ich sehe mir das aber mit DNS-01 noch einmal genauer an, scheint mir die idealere Lösung zu sein.
Gruß