visucius
Goto Top

"Offizielle" CA-Zertifikate im lokalen Netzwerk

Gegeben sei eine KU-Umgebung mit
ISP mit variabler IP/DynDNS
1xOPNsense,
2x Netzwerk/RouterOS
1xWifi Zyxel
1x Linux VM-BaseSystem mit div. VMs, Docker, Fileserver, Access-DB, usw.
Clients mit MacOS, iOS, Windows

a) nervig sind die diversen Popups bzgl. "ungültiger" Zertifikate beim aufrufen der Geräte
b) selbiges im Zusammenhang mit einer getesteten Radius-Authentifizierung
c) ebenso ist der Linux-Fileserver für Windows-Clients "nicht vertrauenswürdig"

Jetzt gibt es ja diverse Anleitungen, wie man mit dem acme-Modul der OPNsense und LetsEntrypt ein offiziell signiertes Zertifikat erhält und in der Folge aktuell halten kann.

Angeblich würde das bei mir auch mit DynDNS klappen.

D.h. ich erhalte ein Zertifikat, das den DynDNS-Namen per CA bestätigt. Das wähle ich dann in der OPNsense in den Settings aus und - bei dieser - habe ich dann das Problem der Popups nicht mehr.

Aber was mache ich denn mit all den anderen Geräten im Netzwerk?
1. Übertrage ich das Zertifikat einfach auf alle oder
2. muss ich bei jedem Gerät nach einem acme-Modul suchen?!
3. Oder lege ich mehrere DDNS-Namen an a la (firewall.ddns.de, switch1.ddns.de, wifi.ddns.de, fileserver.ddns.de, ...) und lasse die alle über das acme-Modul der OPNsense zertifizieren, bevor ich sie übertrage?

Mir ist durchaus bewusst, dass der (vermutlich) normale Weg eine eigene CA wäre, deren Zertifikate dann per AD auf alle Geräte "als vertrauensvoll" übertragen würde. Nur habe ich nicht auf alle Geräte entsprechenden Zugriff.

Vielen Dank für erhellende Infos und allen einen guten Start ins WE!

Content-Key: 71624503094

Url: https://administrator.de/contentid/71624503094

Printed on: May 30, 2024 at 13:05 o'clock

Member: Xerebus
Xerebus Apr 19, 2024 at 15:03:29 (UTC)
Goto Top
Da du ja vermutlich eh nur eine IP hast würde ich das alles über einen reverse Proxy machen und jeden Dienst sein eigenes Zert. geben.
Member: Crusher79
Crusher79 Apr 19, 2024 at 15:31:48 (UTC)
Goto Top
Hallo,

mehre Subdomänen gehen auch. Ups - meins ist gerade zu Hause abgelaufen. Nutze auch die OPNsense.

DNS Service via Strato
Challenge Type: HTTP

Via Automations kannst du dir eig. vieles sparen. Auto-Renew und Web-GUI neustarten z.B. Aber auch Upload via SSH, FTP geht.

Wenn die Zertifikate auf der OPNsense liegen musst du nur dafür sorgen dass die an die Geräte übertragen werden .Die GUI der OPNsense braucht einen Restart. Andere Geräte bei dir ggf. ebenfalls. Vollautomatisch würde es dann also nur gehen, wenn die Geräte nach dem Renew die Zertifikate automatisch laden. Das könnte man aber je nach Device hinbekommen.

Schau dir mal den Reiter/ Menüpunkt Automations an. Dann wird es klarer.

Proxmox, FritzBox und PaloAlto sind schon voreingestellt als Ziele. Du kannst also locker von diesen zentralen Punkt alles vollautomatisch verteilen.

Würd ja noch Screenshot post, nur meine Sense hat gerade ein Problem. Die ist auch nicht direkt am WAN. FritzBox der Schwiegereltern ist noch davor. Aber selbst hier klappt die ACME Challenge normal problemlos.

Automations kann auch Remote SSH Command absetzen. Damit + Scripte könnten man auch widerspenstige Geräte einfangen.
Member: Dani
Dani Apr 19, 2024 at 15:37:04 (UTC)
Goto Top
Moin,
3. Oder lege ich mehrere DDNS-Namen an a la (firewall.ddns.de, switch1.ddns.de, wifi.ddns.de, fileserver.ddns.de, ...) und lasse die alle über das acme-Modul der OPNsense zertifizieren, bevor ich sie übertrage?
Mit Anbieter wie ddns.de wirst du regelmäßig das Rate Limit von LE kennen lernen. Von Daher warum keine eigene Domain nutzen? Ich würde

2. muss ich bei jedem Gerät nach einem acme-Modul suchen?!
Um was für Geräte und Services geht es explizit? Dann können wir auch explizit antworten.

Mir ist durchaus bewusst, dass der (vermutlich) normale Weg eine eigene CA wäre, deren Zertifikate dann per AD auf alle Geräte "als vertrauensvoll" übertragen würde. Nur habe ich nicht auf alle Geräte entsprechenden Zugriff.
Ich weiß nicht, ob das in deinem Fall helfen würde. Weil die Zertifikate müssen immer noch auf die Geräte "gebracht" werden.


Gruß,
Dani
Member: commodity
commodity Apr 20, 2024 updated at 12:48:27 (UTC)
Goto Top
Hallo @Visucius,
Aber was mache ich denn mit all den anderen Geräten im Netzwerk?
1. Übertrage ich das Zertifikat einfach auf alle oder ...
... lasse es sein face-smile
Mit Let's Encrypt-Zertifikaten wird das IMO nicht (lange) funktionieren. Deren Gültigkeit beträgt 90 Tage. Alle 90 Tage händisch tauschen ist wohl etwas viel Aufwand.

Eigenes Zertifikat, zB. auf der Sense erstellen (auf dem Mikrotik ginge auch).

Edit: Bei Mikrotik führt diese Anleitung zu einem Aufruf ohne Sicherheitswarnung: https://wiki.mikrotik.com/wiki/Manual:Create_Certificates


screenshot 2024-04-20 144635

Viele Grüße, commodity
screenshot 2024-04-20 144238
Member: Visucius
Visucius Apr 20, 2024 updated at 15:48:18 (UTC)
Goto Top
Danke erstmal in die erlauchte Runde für die diversen Lösungsansätze!

@Xerebus:
Vielen Dank. Ja "reverse proxy" hatte ich in den Zusammenhang schon mal irgendwo gesehen. HA-Proxy oder eher squid? Wenn ich mich über "reverse proxy" anlese verstehe ich allerdings nicht, wie mir das hilft. Ich benötige dafür ja trotzdem mehrere(?) Zertifikate? Könnte ich im Proxy nicht evtl. die jeweils in den Geräten vorhandenen Zertifikate "anlernen" und mit dem "CA"-zertifizierten "verheiraten" um das Problem (Popups) zu umgehen? Oder nutzte ich dafür dann eine eigen CA?

@Crusher79:
Das mit dem verteilen der Zertifikate ist ja mal richtig cool. D.h. aber doch schon, dass ich mir über DynDNS für jedes Gerät ein Zertifikat ausstellen lasse und diese dann per Script verteile oder läuft das ggfs. auch mit einem Zertifikat für alle Geräte?

@Dani:
Ist nicht ddns.de. Mein bisheriger DynDNS ist goip.de und jetzt für den Test ipv64.de. Zumindest ipv64.de kann ich über acme/DNS verifizieren. Das andere könnte evtl. über http funktionieren?! goip ist recht rudimentär, keine Ahnung ob der Challanges unterstützt.

Geräte und Services
Naja, wie oben geschrieben: RouterOS, Zyxel NWA oder ggfs. Ruckus, OPNsense, Unraid, Windows, Synology und als Services: shtml, smb, VPN, Radius. Vielleicht auch später mal eine zertifikatebasierte Authentifizierung für Netzwerk-Clients.

Das letzte ist aber natürlich eher ein Homelab-Träumchen als technische Notwendigkeit face-wink Bis Ende des Monats steht meine "neue" OPNsense hier noch auf dem Tisch und ich kann noch etwas rumspielen, bevor sie das alte Modell Ende nächste Woche ersetzen soll.

@commodity:
Ja, das sehe ich rückblickend ein. Allerdings hat @Crusher79 da ja nen guten Tipp für das automatische verteilen der Zertifikate.

D.h. bei Dir wäre das ne eigene CA mit entsprechenden Zertifikaten für alle Geräte. Aber ich verstehe nicht, warum die plötzlich "vertrauenswürdig" sein sollen?! Das klappt doch miit den originären Zertifikaten der jeweiligen Hersteller auch nicht?!


Jetzt könnte ich ja z.B. über Rapidssl (https://www.sslmarket.de/ssl/rapidssl/) für ein paar EUR/Jahr ein Zertifikat mieten. Für ein paar EUR mehr gäbs ja auch "Wildcertificates" für mehrere Unterdomains. Verstehe ich das richtig, dass ich dafür zusätzlich aber auch die "richtige" Domäne (inkl. der Fähigkeit für Unterdomains) bei nem Provider mieten muss, bzw. besitzen muss?! Bzw. ich kaufe das Zertifikat - namentlich passend - zu meiner vorhanden Domain hinzu?
Member: Crusher79
Crusher79 Apr 20, 2024 at 16:42:42 (UTC)
Goto Top
Korrekt!

Normal nutzt man ja eigene Windows CA als Zwischenzertifizierungsstelle. Ich hatte mit der OPNsense da Probleme.

Die oben angeführte Chain mit der OPNsense wäre aber das MIttel der Wahl.

Ich nutze es nur privat mit der OPNsense. IN der Firma haben wir eigene Reverse Proxy die die Zertifikate verlängern. HTTP lief mit Strato bis Anfang des Jahres (Wohl Update der OPNsense) einwandfrei. Danach kommt ein Fehler. Bin da dran. Privat interessiert mich das eher weniger.

Ich hab 3 Geräte damit versorgt. Klar hat LE Limits. Bei deiner Aufstellung oben bin ich aber fest davon überzeugt, dass du es mit der Anzahl der Request nicht sprengen wirst. Dennoch hat @Dani damit absolut recht. Wenn man es übertreibt, macht es später keinen Spaß.

Für eine kleine Firma könnte es sich aber locker ausgehen.
Member: commodity
commodity Apr 20, 2024, updated at Apr 21, 2024 at 17:04:01 (UTC)
Goto Top
D.h. bei Dir wäre das ne eigene CA mit entsprechenden Zertifikaten für alle Geräte. Aber ich verstehe nicht, warum die plötzlich "vertrauenswürdig" sein sollen?!
Es ist so. Gerade nen Brother-Drucker mit Zertifikat versehen. face-smile Da heißt das übrigens "Hochsicherheitsverbindung" face-big-smile

Wenn ich das richtig verstehe, braucht man mehrere Dinge:

1. eigene CA
2. Gerätezertifikat mit exakter Angabe des FQDN im common-name, signiert von der CA - dieses ins Gerät importiert
3. Clientzertifikat, das von der CA signiert wurde (FQDN nicht erforderlich) - dieses in den Client importiert. Ich gehe davon aus, dass ein Clientzertifikat für alle Clients genügt, habe es aber noch nicht probiert.

An letzterem fehlt es bei den "originären" Zertifikaten der Hersteller. Ob man ein Clientzertifikat aus diesen generieren kann, weiß ich nicht. Ich denke aber, das müsste auf dem Gerät geschehen.

Sollte alles auch auf der OPNsense ohne Weiteres machbar sein.

Der Prozess ist recht mühsam, da jedes Gerät seine Zertifikate anderswo ablegt. Automatik wäre bei LE zwingend, ob und wo das funktioniert, da mache ich mal ein Fragezeichen. Händisch ist das nicht so schlimm, wenn es nur einmal gemacht werden muss. Wenn man die Zertifikatslaufzeit an die erwartete Lebensdauer des Gerätes/des FQDN anpasst sollte das akzeptabel sein.

Viele Grüße, commodity

Edit: Erforderlich bei oben 2. ist auch der FQDN im subject-alt-name mit Prefix DNS, also "DNS:<FQDN>". Wildcard ist möglich.
Ebenso ist ein Clientzertifikat (oben 3.) nicht notwendig sein, wenn das CA-Zertifikat (.crl) im Client korrekt importiert wird. Dieses muss in "Vertrauenswürdige Stammzertifizierungsstellen" importiert werden.
Achtung: Beim automatischen Import von Windows wird es aber in die "Zwischenzertifizierungsstellen" gespeichert. Das klappt dann nicht.
Wenn hingegen ein Clientzertifikat importiert wird, wird das zugehörige CA-Zertifikat von Windows korrekt abgelegt.

Mit Router OS lässt sich die Zertifikatsvergabe auch weitgehend automatisieren - für Geräte, die entsprechende Anfragen beherrschen. Dort ist ein SCEP-Server an Bord, den man auf dem Router, der die CA beherbergt, aktivieren kann.
Lt. neuer Doku gilt:
SCEP certificates are renewed when 3/4 of their validity time has passed.