19
SSL Zertifikate für Lokale Geräte
Hallo
Ist es in einen Privaten Heimnetzwerk möglich auf NAS, Lokale Server, Switch, etc. mit SSL-Zertifikat zuzugreifen?
Ohne ein Self-signed certificate zu benutzen
Ohne von außen erreichbar zu sein
Ist es in einen Privaten Heimnetzwerk möglich auf NAS, Lokale Server, Switch, etc. mit SSL-Zertifikat zuzugreifen?
Ohne ein Self-signed certificate zu benutzen
Ohne von außen erreichbar zu sein
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7465478008
Url: https://administrator.de/contentid/7465478008
Printed on: April 27, 2024 at 20:04 o'clock
19 Comments
Latest comment
Guten Morgen,
Ja ist möglich.
Entweder du baust dir eine eigene interne Domäne auf mit eigener Zertifizierungsstelle. Die musst du dann aber bei all deinen Endgeräten als vertrauenswürdig hinterlegen. Die interne Namensauflösung muss auch passen. Du musst die Geräte ja über den fqdn anspreche.
Edit: mit Letsentcrypt könnte es auch funktionieren, aber eher sehr umständlich. Es muss ja dann ein Stellvertreter die Zertifikate abrufen und verteilen.
Alternativ du kaufst dir eine Domäne und ein / mehrere Zertifikat. Mit Letsentcrypt geht das nicht. Dann brauchst du aber trotzdem einen eignen DNS intern der den Namen der geräte entsprechend auflöst.
Ja ist möglich.
Entweder du baust dir eine eigene interne Domäne auf mit eigener Zertifizierungsstelle. Die musst du dann aber bei all deinen Endgeräten als vertrauenswürdig hinterlegen. Die interne Namensauflösung muss auch passen. Du musst die Geräte ja über den fqdn anspreche.
Edit: mit Letsentcrypt könnte es auch funktionieren, aber eher sehr umständlich. Es muss ja dann ein Stellvertreter die Zertifikate abrufen und verteilen.
Alternativ du kaufst dir eine Domäne und ein / mehrere Zertifikat. Mit Letsentcrypt geht das nicht. Dann brauchst du aber trotzdem einen eignen DNS intern der den Namen der geräte entsprechend auflöst.
1
Moin,
ja, das geht.
Mach dich mal bzgl LetsEncrypt und DNS Challenge schlau. Nur für die HTTP Challenge werden offene Ports benötigt.
Wenn du da keine Lust zu hast (oder kein Knowhow), dann kannst du dir für deine Domain auch einfach welche kaufen.
ja, das geht.
Mach dich mal bzgl LetsEncrypt und DNS Challenge schlau. Nur für die HTTP Challenge werden offene Ports benötigt.
Wenn du da keine Lust zu hast (oder kein Knowhow), dann kannst du dir für deine Domain auch einfach welche kaufen.
1
Moin,
eigentlich gibt es nur die Option mit eigener CA.
LE können viele Geräte (Switch, IPMI, etc) nicht.
Und gekaufte Zertifikate muss man manuell alle 12 Monate, demnächst alle 3 Monate, aktualisieren.
Stefan
eigentlich gibt es nur die Option mit eigener CA.
LE können viele Geräte (Switch, IPMI, etc) nicht.
Und gekaufte Zertifikate muss man manuell alle 12 Monate, demnächst alle 3 Monate, aktualisieren.
Stefan
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Zitat von @hell.wien:
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Du hast ja bei irgendeinem Hoster diese Domain "domain.com" liegen. Nennen wir sie "bratwurstbude.com".
Dort legst du dann "pommes.bratwurstbude.com" an und lässt LE den TXT Eintrag dazu anlegen: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
Damit erhälst du dann dein Cert ohne die Ports zu exposen.
Zitat von @Tezzla:
Du hast ja bei irgendeinem Hoster diese Domain "domain.com" liegen. Nennen wir sie "bratwurstbude.com".
Dort legst du dann "pommes.bratwurstbude.com" an und lässt LE den TXT Eintrag dazu anlegen: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
Damit erhälst du dann dein Cert ohne die Ports zu exposen.
Zitat von @hell.wien:
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Du hast ja bei irgendeinem Hoster diese Domain "domain.com" liegen. Nennen wir sie "bratwurstbude.com".
Dort legst du dann "pommes.bratwurstbude.com" an und lässt LE den TXT Eintrag dazu anlegen: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
Damit erhälst du dann dein Cert ohne die Ports zu exposen.
Das du aber vermutlich nicht automatisch den Systemen hinterlegen kannst. Und alle 3 Monate das von Hand ist nicht lustig.
Hier währ dann ein Reverse Proxy interessant. Ob man das so über die pfsense auf die reihe bekommt, kann ich jetzt nicht sagen.
Aber wenn ich lese "switch.domain.com", mir läuft gerade ein kalter Schauer den Rücken runter.
Benutze Cloudflare mit API (geht das auch?`)
Reverse Proxy (HAProxy) ist am laufen. Da mehrere Server von extern erreichbar sind.
Ich will einfach nur das Lokale nicht mehr "Diese Verbindung ist nicht sicher" angezeigt wird.... (Frau nervt mich immer damit)
Keine sorge ich will den Switch nicht von extern erreichbar machen... xD (dachte nur an DNS Resolver)
Reverse Proxy (HAProxy) ist am laufen. Da mehrere Server von extern erreichbar sind.
Ich will einfach nur das Lokale nicht mehr "Diese Verbindung ist nicht sicher" angezeigt wird.... (Frau nervt mich immer damit)
Keine sorge ich will den Switch nicht von extern erreichbar machen... xD (dachte nur an DNS Resolver)
Moin,
Das Plugin ruft natürlich nur das SSL-Zertifikat ab. D.h. möchtest du das Zertifikat anschließend auf einem anderen Gerät nutzen (z.B. Switch), musst du natürlich Hirnschmalz in ein Bash-Skript stecken, damit alle 3 Monate das neue SSL-Zertifikat auf dem Gerät eingespielt wird.
Gruß,
Dani
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
bei OPNsense gibt es ein kostenloses Plugin namens ACME Client. Dieses basiert wie der Name schon sagt auf der ACME Bibliothek. Sprich es sind eine ganze Reihe von Domain Hostern verfügbar. Ob Cloudflare in Kombination mit DNS Challenge unterstützt wird, musst du nachlesen.Das Plugin ruft natürlich nur das SSL-Zertifikat ab. D.h. möchtest du das Zertifikat anschließend auf einem anderen Gerät nutzen (z.B. Switch), musst du natürlich Hirnschmalz in ein Bash-Skript stecken, damit alle 3 Monate das neue SSL-Zertifikat auf dem Gerät eingespielt wird.
Gruß,
Dani
Ich glaube ich wurde falsch verstanden, mir geht es wirklich nur um die Geräte die INTERN sind, und gar nicht von außen erreichbar sind. Hab zb eine alte Diskstation welche nur im LAN Netz erreichbar ist.... und Dort will ich nicht stehen haben das die Verbindung zur Webseite nicht sicher ist....
HAProxy + Letsencrypt + Cloudflare Plugin
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.
Zitat von @62696f73:
HAProxy + Letsencrypt + Cloudflare Plugin
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.
HAProxy + Letsencrypt + Cloudflare Plugin
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.
auch die Offline Geräte?
Ja. Solange HAProxy Konnektivität zu dem Gerät im Netzwerk hat.
Hast du vl ein Screenshot von so einer Config?
Hallo,
die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.
Stefan
die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.
Stefan
Zitat von @StefanKittel:
Hallo,
die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.
Stefan
Hallo,
die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.
Stefan
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
frontend www-https
bind 0.0.0.0:443 ssl crt /etc/letsencrypt/live/local.deinedomain.tld/local.deinedomain.tld.pem ssl-min-ver TLSv1.2 ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
http-request set-header X-Forwarded-Proto https
acl host_diskstation hdr(host) -i diskstation.local.deinedomain.tld
use_backend diskstation if host_diskstation
backend diskstation
http-request add-header X-Forwarded-Proto https if { ssl_fc }
server diskstation ip-oder-hostname:443 check ssl verify none
bind 0.0.0.0:443 ssl crt /etc/letsencrypt/live/local.deinedomain.tld/local.deinedomain.tld.pem ssl-min-ver TLSv1.2 ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
http-request set-header X-Forwarded-Proto https
acl host_diskstation hdr(host) -i diskstation.local.deinedomain.tld
use_backend diskstation if host_diskstation
backend diskstation
http-request add-header X-Forwarded-Proto https if { ssl_fc }
server diskstation ip-oder-hostname:443 check ssl verify none
Heyo!
Alternative wäre wie schon erwähnt eine eigene CA. Das geht entweder über eine Microsoft-AD, oder über eine Software wie smallstep step-ca. step-ca bringt auch eigene ACME-Software mit.
Du musst dich natürlich für acme darum kümmern, dass DNS sauber tut (und zwar anfragendes Gerät -> ACME-Server und andersrum, bei http-Challenge)
Solltest du ein Gerät nutzen, welches keinen acme-Client mitliefert, kannst du das ggf. auch über die pfsense betanken... Ich nutze selber opnsense und das acme-Plugin hat die Möglichkeit, Certs aus dem lokalen Speicher bspw per SSH an andere Geräte zu übermitteln, vielleicht kann die pfsense das auch?
Wenn das Ausstellen der Certs funktioniert, musst du nur noch an allen Geräten, die drauf zugreifen wollen, die CA hinterlegen (Achtung, Firefox nutzt einen eigenen Zertifikatsspeicher) und weg sind die Meldungen über unsicheres Gedöns!
Alternative wäre wie schon erwähnt eine eigene CA. Das geht entweder über eine Microsoft-AD, oder über eine Software wie smallstep step-ca. step-ca bringt auch eigene ACME-Software mit.
Du musst dich natürlich für acme darum kümmern, dass DNS sauber tut (und zwar anfragendes Gerät -> ACME-Server und andersrum, bei http-Challenge)
Solltest du ein Gerät nutzen, welches keinen acme-Client mitliefert, kannst du das ggf. auch über die pfsense betanken... Ich nutze selber opnsense und das acme-Plugin hat die Möglichkeit, Certs aus dem lokalen Speicher bspw per SSH an andere Geräte zu übermitteln, vielleicht kann die pfsense das auch?
Wenn das Ausstellen der Certs funktioniert, musst du nur noch an allen Geräten, die drauf zugreifen wollen, die CA hinterlegen (Achtung, Firefox nutzt einen eigenen Zertifikatsspeicher) und weg sind die Meldungen über unsicheres Gedöns!
Zitat von @hell.wien:
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
Moin
Der Proxy läuft als VM, Docker oder Software bei Dir im LAN.
Also z.B. https://switch01.privat.de (SSL Valid) = 192.168.0.50 was auf https://192.168.0.51 (SSL invalid) weiterleitet.
Du kannst nginx, apache2, haproxy oder andere Software verwenden.
Stefan
1Zitat von @StefanKittel:
Moin
Der Proxy läuft als VM, Docker oder Software bei Dir im LAN.
Also z.B. https://switch01.privat.de (SSL Valid) = 192.168.0.50 was auf https://192.168.0.51 (SSL invalid) weiterleitet.
Du kannst nginx, apache2, haproxy oder andere Software verwenden.
Stefan
Zitat von @hell.wien:
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
Moin
Der Proxy läuft als VM, Docker oder Software bei Dir im LAN.
Also z.B. https://switch01.privat.de (SSL Valid) = 192.168.0.50 was auf https://192.168.0.51 (SSL invalid) weiterleitet.
Du kannst nginx, apache2, haproxy oder andere Software verwenden.
Stefan
Könntest du mir bitte ein Screenshot machen? gerne auch PM