"Offizielle" CA-Zertifikate im lokalen Netzwerk
Gegeben sei eine KU-Umgebung mit
ISP mit variabler IP/DynDNS
1xOPNsense,
2x Netzwerk/RouterOS
1xWifi Zyxel
1x Linux VM-BaseSystem mit div. VMs, Docker, Fileserver, Access-DB, usw.
Clients mit MacOS, iOS, Windows
a) nervig sind die diversen Popups bzgl. "ungültiger" Zertifikate beim aufrufen der Geräte
b) selbiges im Zusammenhang mit einer getesteten Radius-Authentifizierung
c) ebenso ist der Linux-Fileserver für Windows-Clients "nicht vertrauenswürdig"
Jetzt gibt es ja diverse Anleitungen, wie man mit dem acme-Modul der OPNsense und LetsEntrypt ein offiziell signiertes Zertifikat erhält und in der Folge aktuell halten kann.
Angeblich würde das bei mir auch mit DynDNS klappen.
D.h. ich erhalte ein Zertifikat, das den DynDNS-Namen per CA bestätigt. Das wähle ich dann in der OPNsense in den Settings aus und - bei dieser - habe ich dann das Problem der Popups nicht mehr.
Aber was mache ich denn mit all den anderen Geräten im Netzwerk?
1. Übertrage ich das Zertifikat einfach auf alle oder
2. muss ich bei jedem Gerät nach einem acme-Modul suchen?!
3. Oder lege ich mehrere DDNS-Namen an a la (firewall.ddns.de, switch1.ddns.de, wifi.ddns.de, fileserver.ddns.de, ...) und lasse die alle über das acme-Modul der OPNsense zertifizieren, bevor ich sie übertrage?
Mir ist durchaus bewusst, dass der (vermutlich) normale Weg eine eigene CA wäre, deren Zertifikate dann per AD auf alle Geräte "als vertrauensvoll" übertragen würde. Nur habe ich nicht auf alle Geräte entsprechenden Zugriff.
Vielen Dank für erhellende Infos und allen einen guten Start ins WE!
ISP mit variabler IP/DynDNS
1xOPNsense,
2x Netzwerk/RouterOS
1xWifi Zyxel
1x Linux VM-BaseSystem mit div. VMs, Docker, Fileserver, Access-DB, usw.
Clients mit MacOS, iOS, Windows
a) nervig sind die diversen Popups bzgl. "ungültiger" Zertifikate beim aufrufen der Geräte
b) selbiges im Zusammenhang mit einer getesteten Radius-Authentifizierung
c) ebenso ist der Linux-Fileserver für Windows-Clients "nicht vertrauenswürdig"
Jetzt gibt es ja diverse Anleitungen, wie man mit dem acme-Modul der OPNsense und LetsEntrypt ein offiziell signiertes Zertifikat erhält und in der Folge aktuell halten kann.
Angeblich würde das bei mir auch mit DynDNS klappen.
D.h. ich erhalte ein Zertifikat, das den DynDNS-Namen per CA bestätigt. Das wähle ich dann in der OPNsense in den Settings aus und - bei dieser - habe ich dann das Problem der Popups nicht mehr.
Aber was mache ich denn mit all den anderen Geräten im Netzwerk?
1. Übertrage ich das Zertifikat einfach auf alle oder
2. muss ich bei jedem Gerät nach einem acme-Modul suchen?!
3. Oder lege ich mehrere DDNS-Namen an a la (firewall.ddns.de, switch1.ddns.de, wifi.ddns.de, fileserver.ddns.de, ...) und lasse die alle über das acme-Modul der OPNsense zertifizieren, bevor ich sie übertrage?
Mir ist durchaus bewusst, dass der (vermutlich) normale Weg eine eigene CA wäre, deren Zertifikate dann per AD auf alle Geräte "als vertrauensvoll" übertragen würde. Nur habe ich nicht auf alle Geräte entsprechenden Zugriff.
Vielen Dank für erhellende Infos und allen einen guten Start ins WE!
Please also mark the comments that contributed to the solution of the article
Content-ID: 71624503094
Url: https://administrator.de/contentid/71624503094
Printed on: November 4, 2024 at 01:11 o'clock
7 Comments
Latest comment
Hallo,
mehre Subdomänen gehen auch. Ups - meins ist gerade zu Hause abgelaufen. Nutze auch die OPNsense.
DNS Service via Strato
Challenge Type: HTTP
Via Automations kannst du dir eig. vieles sparen. Auto-Renew und Web-GUI neustarten z.B. Aber auch Upload via SSH, FTP geht.
Wenn die Zertifikate auf der OPNsense liegen musst du nur dafür sorgen dass die an die Geräte übertragen werden .Die GUI der OPNsense braucht einen Restart. Andere Geräte bei dir ggf. ebenfalls. Vollautomatisch würde es dann also nur gehen, wenn die Geräte nach dem Renew die Zertifikate automatisch laden. Das könnte man aber je nach Device hinbekommen.
Schau dir mal den Reiter/ Menüpunkt Automations an. Dann wird es klarer.
Proxmox, FritzBox und PaloAlto sind schon voreingestellt als Ziele. Du kannst also locker von diesen zentralen Punkt alles vollautomatisch verteilen.
Würd ja noch Screenshot post, nur meine Sense hat gerade ein Problem. Die ist auch nicht direkt am WAN. FritzBox der Schwiegereltern ist noch davor. Aber selbst hier klappt die ACME Challenge normal problemlos.
Automations kann auch Remote SSH Command absetzen. Damit + Scripte könnten man auch widerspenstige Geräte einfangen.
mehre Subdomänen gehen auch. Ups - meins ist gerade zu Hause abgelaufen. Nutze auch die OPNsense.
DNS Service via Strato
Challenge Type: HTTP
Via Automations kannst du dir eig. vieles sparen. Auto-Renew und Web-GUI neustarten z.B. Aber auch Upload via SSH, FTP geht.
Wenn die Zertifikate auf der OPNsense liegen musst du nur dafür sorgen dass die an die Geräte übertragen werden .Die GUI der OPNsense braucht einen Restart. Andere Geräte bei dir ggf. ebenfalls. Vollautomatisch würde es dann also nur gehen, wenn die Geräte nach dem Renew die Zertifikate automatisch laden. Das könnte man aber je nach Device hinbekommen.
Schau dir mal den Reiter/ Menüpunkt Automations an. Dann wird es klarer.
Proxmox, FritzBox und PaloAlto sind schon voreingestellt als Ziele. Du kannst also locker von diesen zentralen Punkt alles vollautomatisch verteilen.
Würd ja noch Screenshot post, nur meine Sense hat gerade ein Problem. Die ist auch nicht direkt am WAN. FritzBox der Schwiegereltern ist noch davor. Aber selbst hier klappt die ACME Challenge normal problemlos.
Automations kann auch Remote SSH Command absetzen. Damit + Scripte könnten man auch widerspenstige Geräte einfangen.
Moin,
Gruß,
Dani
3. Oder lege ich mehrere DDNS-Namen an a la (firewall.ddns.de, switch1.ddns.de, wifi.ddns.de, fileserver.ddns.de, ...) und lasse die alle über das acme-Modul der OPNsense zertifizieren, bevor ich sie übertrage?
Mit Anbieter wie ddns.de wirst du regelmäßig das Rate Limit von LE kennen lernen. Von Daher warum keine eigene Domain nutzen? Ich würde2. muss ich bei jedem Gerät nach einem acme-Modul suchen?!
Um was für Geräte und Services geht es explizit? Dann können wir auch explizit antworten.Mir ist durchaus bewusst, dass der (vermutlich) normale Weg eine eigene CA wäre, deren Zertifikate dann per AD auf alle Geräte "als vertrauensvoll" übertragen würde. Nur habe ich nicht auf alle Geräte entsprechenden Zugriff.
Ich weiß nicht, ob das in deinem Fall helfen würde. Weil die Zertifikate müssen immer noch auf die Geräte "gebracht" werden.Gruß,
Dani
Hallo @Visucius,
Mit Let's Encrypt-Zertifikaten wird das IMO nicht (lange) funktionieren. Deren Gültigkeit beträgt 90 Tage. Alle 90 Tage händisch tauschen ist wohl etwas viel Aufwand.
Eigenes Zertifikat, zB. auf der Sense erstellen (auf dem Mikrotik ginge auch).
Edit: Bei Mikrotik führt diese Anleitung zu einem Aufruf ohne Sicherheitswarnung: https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
Viele Grüße, commodity
Aber was mache ich denn mit all den anderen Geräten im Netzwerk?
1. Übertrage ich das Zertifikat einfach auf alle oder ...
... lasse es sein 1. Übertrage ich das Zertifikat einfach auf alle oder ...
Mit Let's Encrypt-Zertifikaten wird das IMO nicht (lange) funktionieren. Deren Gültigkeit beträgt 90 Tage. Alle 90 Tage händisch tauschen ist wohl etwas viel Aufwand.
Eigenes Zertifikat, zB. auf der Sense erstellen (auf dem Mikrotik ginge auch).
Edit: Bei Mikrotik führt diese Anleitung zu einem Aufruf ohne Sicherheitswarnung: https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
Viele Grüße, commodity
Korrekt!
Normal nutzt man ja eigene Windows CA als Zwischenzertifizierungsstelle. Ich hatte mit der OPNsense da Probleme.
Die oben angeführte Chain mit der OPNsense wäre aber das MIttel der Wahl.
Ich nutze es nur privat mit der OPNsense. IN der Firma haben wir eigene Reverse Proxy die die Zertifikate verlängern. HTTP lief mit Strato bis Anfang des Jahres (Wohl Update der OPNsense) einwandfrei. Danach kommt ein Fehler. Bin da dran. Privat interessiert mich das eher weniger.
Ich hab 3 Geräte damit versorgt. Klar hat LE Limits. Bei deiner Aufstellung oben bin ich aber fest davon überzeugt, dass du es mit der Anzahl der Request nicht sprengen wirst. Dennoch hat @Dani damit absolut recht. Wenn man es übertreibt, macht es später keinen Spaß.
Für eine kleine Firma könnte es sich aber locker ausgehen.
Normal nutzt man ja eigene Windows CA als Zwischenzertifizierungsstelle. Ich hatte mit der OPNsense da Probleme.
Die oben angeführte Chain mit der OPNsense wäre aber das MIttel der Wahl.
Ich nutze es nur privat mit der OPNsense. IN der Firma haben wir eigene Reverse Proxy die die Zertifikate verlängern. HTTP lief mit Strato bis Anfang des Jahres (Wohl Update der OPNsense) einwandfrei. Danach kommt ein Fehler. Bin da dran. Privat interessiert mich das eher weniger.
Ich hab 3 Geräte damit versorgt. Klar hat LE Limits. Bei deiner Aufstellung oben bin ich aber fest davon überzeugt, dass du es mit der Anzahl der Request nicht sprengen wirst. Dennoch hat @Dani damit absolut recht. Wenn man es übertreibt, macht es später keinen Spaß.
Für eine kleine Firma könnte es sich aber locker ausgehen.
D.h. bei Dir wäre das ne eigene CA mit entsprechenden Zertifikaten für alle Geräte. Aber ich verstehe nicht, warum die plötzlich "vertrauenswürdig" sein sollen?!
Es ist so. Gerade nen Brother-Drucker mit Zertifikat versehen. Da heißt das übrigens "Hochsicherheitsverbindung" Wenn ich das richtig verstehe, braucht man mehrere Dinge:
1. eigene CA
2. Gerätezertifikat mit exakter Angabe des FQDN im common-name, signiert von der CA - dieses ins Gerät importiert
3. Clientzertifikat, das von der CA signiert wurde (FQDN nicht erforderlich) - dieses in den Client importiert. Ich gehe davon aus, dass ein Clientzertifikat für alle Clients genügt, habe es aber noch nicht probiert.
An letzterem fehlt es bei den "originären" Zertifikaten der Hersteller. Ob man ein Clientzertifikat aus diesen generieren kann, weiß ich nicht. Ich denke aber, das müsste auf dem Gerät geschehen.
Sollte alles auch auf der OPNsense ohne Weiteres machbar sein.
Der Prozess ist recht mühsam, da jedes Gerät seine Zertifikate anderswo ablegt. Automatik wäre bei LE zwingend, ob und wo das funktioniert, da mache ich mal ein Fragezeichen. Händisch ist das nicht so schlimm, wenn es nur einmal gemacht werden muss. Wenn man die Zertifikatslaufzeit an die erwartete Lebensdauer des Gerätes/des FQDN anpasst sollte das akzeptabel sein.
Viele Grüße, commodity
Edit: Erforderlich bei oben 2. ist auch der FQDN im subject-alt-name mit Prefix DNS, also "DNS:<FQDN>". Wildcard ist möglich.
Ebenso ist ein Clientzertifikat (oben 3.) nicht notwendig sein, wenn das CA-Zertifikat (.crl) im Client korrekt importiert wird. Dieses muss in "Vertrauenswürdige Stammzertifizierungsstellen" importiert werden.
Achtung: Beim automatischen Import von Windows wird es aber in die "Zwischenzertifizierungsstellen" gespeichert. Das klappt dann nicht.
Wenn hingegen ein Clientzertifikat importiert wird, wird das zugehörige CA-Zertifikat von Windows korrekt abgelegt.
Mit Router OS lässt sich die Zertifikatsvergabe auch weitgehend automatisieren - für Geräte, die entsprechende Anfragen beherrschen. Dort ist ein SCEP-Server an Bord, den man auf dem Router, der die CA beherbergt, aktivieren kann.
Lt. neuer Doku gilt:
SCEP certificates are renewed when 3/4 of their validity time has passed.