hell.wien
Goto Top

SSL Zertifikate für Lokale Geräte

Hallo

Ist es in einen Privaten Heimnetzwerk möglich auf NAS, Lokale Server, Switch, etc. mit SSL-Zertifikat zuzugreifen?
Ohne ein Self-signed certificate zu benutzen
Ohne von außen erreichbar zu sein

Content-Key: 7465478008

Url: https://administrator.de/contentid/7465478008

Printed on: March 3, 2024 at 02:03 o'clock

Member: wiesi200
wiesi200 Jun 09, 2023 updated at 03:41:30 (UTC)
Goto Top
Guten Morgen,

Ja ist möglich.

Entweder du baust dir eine eigene interne Domäne auf mit eigener Zertifizierungsstelle. Die musst du dann aber bei all deinen Endgeräten als vertrauenswürdig hinterlegen. Die interne Namensauflösung muss auch passen. Du musst die Geräte ja über den fqdn anspreche.

Edit: mit Letsentcrypt könnte es auch funktionieren, aber eher sehr umständlich. Es muss ja dann ein Stellvertreter die Zertifikate abrufen und verteilen.

Alternativ du kaufst dir eine Domäne und ein / mehrere Zertifikat. Mit Letsentcrypt geht das nicht. Dann brauchst du aber trotzdem einen eignen DNS intern der den Namen der geräte entsprechend auflöst.
Member: Tezzla
Tezzla Jun 09, 2023 at 05:57:18 (UTC)
Goto Top
Moin,

ja, das geht.
Mach dich mal bzgl LetsEncrypt und DNS Challenge schlau. Nur für die HTTP Challenge werden offene Ports benötigt.

Wenn du da keine Lust zu hast (oder kein Knowhow), dann kannst du dir für deine Domain auch einfach welche kaufen.
Member: StefanKittel
StefanKittel Jun 09, 2023 at 08:10:13 (UTC)
Goto Top
Moin,

eigentlich gibt es nur die Option mit eigener CA.
LE können viele Geräte (Switch, IPMI, etc) nicht.
Und gekaufte Zertifikate muss man manuell alle 12 Monate, demnächst alle 3 Monate, aktualisieren.

Stefan
Member: hell.wien
hell.wien Jun 09, 2023 updated at 09:12:22 (UTC)
Goto Top
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
Member: Tezzla
Tezzla Jun 09, 2023 at 09:23:39 (UTC)
Goto Top
Zitat von @hell.wien:

Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???

Du hast ja bei irgendeinem Hoster diese Domain "domain.com" liegen. Nennen wir sie "bratwurstbude.com".
Dort legst du dann "pommes.bratwurstbude.com" an und lässt LE den TXT Eintrag dazu anlegen: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
Damit erhälst du dann dein Cert ohne die Ports zu exposen.
Member: wiesi200
wiesi200 Jun 09, 2023 at 10:02:07 (UTC)
Goto Top
Zitat von @Tezzla:

Zitat von @hell.wien:

Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???

Du hast ja bei irgendeinem Hoster diese Domain "domain.com" liegen. Nennen wir sie "bratwurstbude.com".
Dort legst du dann "pommes.bratwurstbude.com" an und lässt LE den TXT Eintrag dazu anlegen: https://letsencrypt.org/docs/challenge-types/#dns-01-challenge
Damit erhälst du dann dein Cert ohne die Ports zu exposen.

Das du aber vermutlich nicht automatisch den Systemen hinterlegen kannst. Und alle 3 Monate das von Hand ist nicht lustig.

Hier währ dann ein Reverse Proxy interessant. Ob man das so über die pfsense auf die reihe bekommt, kann ich jetzt nicht sagen.

Aber wenn ich lese "switch.domain.com", mir läuft gerade ein kalter Schauer den Rücken runter.
Member: hell.wien
hell.wien Jun 09, 2023 at 13:23:10 (UTC)
Goto Top
Benutze Cloudflare mit API (geht das auch?`)

Reverse Proxy (HAProxy) ist am laufen. Da mehrere Server von extern erreichbar sind.

Ich will einfach nur das Lokale nicht mehr "Diese Verbindung ist nicht sicher" angezeigt wird.... (Frau nervt mich immer damit)

Keine sorge ich will den Switch nicht von extern erreichbar machen... xD (dachte nur an DNS Resolver)
Member: Dani
Dani Jun 09, 2023 at 16:55:34 (UTC)
Goto Top
Moin,
Ich habe eine pfSense am laufen. Mit eigener Domain, wo ich mit Subdomains auf meine Dienste wie Home Assistant, Bitwarden etc von außen zugreife. Kann ich diese irgendwie dazu nützen? Bzw. neue Subdomain erstellen zb.: pfsense.domain.com oder switch.domain.com???
bei OPNsense gibt es ein kostenloses Plugin namens ACME Client. Dieses basiert wie der Name schon sagt auf der ACME Bibliothek. Sprich es sind eine ganze Reihe von Domain Hostern verfügbar. Ob Cloudflare in Kombination mit DNS Challenge unterstützt wird, musst du nachlesen.

Das Plugin ruft natürlich nur das SSL-Zertifikat ab. D.h. möchtest du das Zertifikat anschließend auf einem anderen Gerät nutzen (z.B. Switch), musst du natürlich Hirnschmalz in ein Bash-Skript stecken, damit alle 3 Monate das neue SSL-Zertifikat auf dem Gerät eingespielt wird.


Gruß,
Dani
Member: hell.wien
hell.wien Jun 11, 2023 at 01:17:25 (UTC)
Goto Top
Ich glaube ich wurde falsch verstanden, mir geht es wirklich nur um die Geräte die INTERN sind, und gar nicht von außen erreichbar sind. Hab zb eine alte Diskstation welche nur im LAN Netz erreichbar ist.... und Dort will ich nicht stehen haben das die Verbindung zur Webseite nicht sicher ist....
brave_jqmmx2fntk
Member: 62696f73
62696f73 Jun 11, 2023 at 18:02:03 (UTC)
Goto Top
HAProxy + Letsencrypt + Cloudflare Plugin
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.
Member: hell.wien
hell.wien Jun 11, 2023 at 18:52:53 (UTC)
Goto Top
Zitat von @62696f73:

HAProxy + Letsencrypt + Cloudflare Plugin
Dann kannst du alle deine Geräte über den Proxy mit einem gültigen Zertifikat das von certbot per cron aktualisiert wird mit einem gültigen Zertifikat aufrufen.

auch die Offline Geräte? face-smile
Member: 62696f73
62696f73 Jun 11, 2023 at 20:26:47 (UTC)
Goto Top
Ja. Solange HAProxy Konnektivität zu dem Gerät im Netzwerk hat.
Member: hell.wien
hell.wien Jun 11, 2023 at 20:53:21 (UTC)
Goto Top
Zitat von @62696f73:

Ja. Solange HAProxy Konnektivität zu dem Gerät im Netzwerk hat.

Hast du vl ein Screenshot von so einer Config?
Member: StefanKittel
StefanKittel Jun 11, 2023 at 21:14:24 (UTC)
Goto Top
Hallo,

die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.

Stefan
Member: hell.wien
hell.wien Jun 11, 2023 at 22:48:06 (UTC)
Goto Top
Zitat von @StefanKittel:

Hallo,

die Idee ist einfacher als Du denkst.
Du greift auf die Geräte nicht mehr direkt zu, sondern über den Proxy.
Dieser Proxy kümmert sich nur um die SSL-Zertifikate zentral für die Geräte.

Stefan

Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....
Member: 62696f73
62696f73 Jun 12, 2023 at 00:34:21 (UTC)
Goto Top
frontend www-https
bind 0.0.0.0:443 ssl crt /etc/letsencrypt/live/local.deinedomain.tld/local.deinedomain.tld.pem ssl-min-ver TLSv1.2 ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
http-request set-header X-Forwarded-Proto https
acl host_diskstation hdr(host) -i diskstation.local.deinedomain.tld
use_backend diskstation if host_diskstation

backend diskstation
http-request add-header X-Forwarded-Proto https if { ssl_fc }
server diskstation ip-oder-hostname:443 check ssl verify none
Member: helarion
helarion Jun 12, 2023 at 05:41:53 (UTC)
Goto Top
Heyo!

Alternative wäre wie schon erwähnt eine eigene CA. Das geht entweder über eine Microsoft-AD, oder über eine Software wie smallstep step-ca. step-ca bringt auch eigene ACME-Software mit.

Du musst dich natürlich für acme darum kümmern, dass DNS sauber tut (und zwar anfragendes Gerät -> ACME-Server und andersrum, bei http-Challenge)

Solltest du ein Gerät nutzen, welches keinen acme-Client mitliefert, kannst du das ggf. auch über die pfsense betanken... Ich nutze selber opnsense und das acme-Plugin hat die Möglichkeit, Certs aus dem lokalen Speicher bspw per SSH an andere Geräte zu übermitteln, vielleicht kann die pfsense das auch?

Wenn das Ausstellen der Certs funktioniert, musst du nur noch an allen Geräten, die drauf zugreifen wollen, die CA hinterlegen (Achtung, Firefox nutzt einen eigenen Zertifikatsspeicher) und weg sind die Meldungen über unsicheres Gedöns! face-smile
Member: StefanKittel
StefanKittel Jun 12, 2023 at 06:13:33 (UTC)
Goto Top
Zitat von @hell.wien:
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....

Moin
Der Proxy läuft als VM, Docker oder Software bei Dir im LAN.
Also z.B. https://switch01.privat.de (SSL Valid) = 192.168.0.50 was auf https://192.168.0.51 (SSL invalid) weiterleitet.

Du kannst nginx, apache2, haproxy oder andere Software verwenden.

Stefan
Member: hell.wien
hell.wien Jun 12, 2023 at 23:19:04 (UTC)
Goto Top
Zitat von @StefanKittel:

Zitat von @hell.wien:
Ich versteh nicht ganz wie ich das mit den LAN IP Adressen hinbekomme... bzw wie Verknüpfe ich das ganze, dass es intern bleibt....

Moin
Der Proxy läuft als VM, Docker oder Software bei Dir im LAN.
Also z.B. https://switch01.privat.de (SSL Valid) = 192.168.0.50 was auf https://192.168.0.51 (SSL invalid) weiterleitet.

Du kannst nginx, apache2, haproxy oder andere Software verwenden.

Stefan

Könntest du mir bitte ein Screenshot machen? gerne auch PMface-smile