atomique
Goto Top

SSL Zertifikate - Unklarheiten bei der Planung

Hallo zusammen,

ich habe da ein paar Fragen zur Nutzung von SSL-Zertifikaten. Ich habe bereits einen Server mit Apache und SSL am laufen, im Zuge der Neuinstallation möchte ich nun aber ein paar "Fehler" beseitigen und die Konfiguration optimieren.

Alte Umgebung:
- Debian 7
- Apache 2.2
- SSL Wildcard-Zertifikat das alle Subdomains absichert (*.domain.tld)
- Kein Intermediate-Zertifikat (Möchte ich in die neue Umgebung einbauen (Chain-of-Trust))
- Selbstsigniertes Zertifikat

Neue geplante Umgebung:
- Debian 8
- Apache 2.4
- SSL Wildcard-Zertifikat das alle Subdomains absichert (*.domain.tld)
- Intermediate Zertifikat
- Möglichst nicht Selbstsigniert -> Diesen Punkt würde ich aber eher kippen, wenn es zu teuer wird, da es hier "nur" um Dienste wie owncloud, tinyRSS, usw. geht, die mit 2-3 privat bekannten Freunden genutzt wird.

Ich habe mich jetzt etwas durch das Thema let's encrypt, StartSSL, usw. gelesen, da ich ungern 100€/Jahr ausgeben möchte "nur" um meinen privaten Server abzusichern. Bei StartSSL kann ich mir ein kostenloses Zertifikat besorgen, dass dann aber nur meine Hauptdomain absichern würde und keine Subdomains. Ebenso bei let's encrypt (mal abgesehen davon, dass mir unwohl dabei ist, wenn eine Software auf meinem mühsam abgesicherten Webserver läuft, die sich automatisch alle drei Monate zu einem Dienst anmeldet um Zertifikate zu erstellen), hier werden die Subdomains ja nur als SAN eingetragen. und dafür auch "nur" 10 Stück - was aber wahrscheinlich langen würde.

Nun zur eigentlichen Frage:

Fall 1 StartSSL - Vorgehensweise: Ich erstelle mir ein openSSL Root Zertifikat und ein Intermediate-Zertifikat auf meine Hauptdomain (domain.tld) und lasse diese beiden zusammen als Chain signieren. Ist es dann möglich meinetwegen mit diesem Intermediate CA / CERT weitere Zertifikate zu erstellen die meine Subdomains absichern, ohne das weitere Kosten auf mich zukommen? Ich meine die Vertrauenswürdigkeit wäre meiner Meinung nach noch gegeben, oder nicht?

Fall 2 let's encrypt - Vorgehensweise: Mal angenommen ich installiere let's encrypt und erstelle mir ein Zertifikat. Dann bekomme ich von let's encrypt ein Intermediate Zertifikat. Zumindest habe ich das so laut deren Dokumentation verstanden. Kann ich hier dann wie in Fall 1 beispielsweise meine eigene CA bauen die Vertrauenswürdig ist, weil dem Intermediate Root CA vertraut wurde?

Ich hoffe ich habe diese Frage nicht all zu verwirrt gestellt. Ich empfinde das Thema Zertifikate und SSL als zum Teil recht komplex, würde es aber dennoch gerne verstehen um mich ein bisschen "fortzubilden" in dieser Richtung, gerade um meine eigenen Services absichern zu können.

Lasst es mich wissen, wenn noch weitere Informationen benötigt werden um der Lösung auf den Grund zu gehen =)

Vielen Vielen Dank im Voraus!

Gruß Atomique

Content-ID: 303916

Url: https://administrator.de/forum/ssl-zertifikate-unklarheiten-bei-der-planung-303916.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Snuffchen
Lösung Snuffchen 07.05.2016 um 20:42:02 Uhr
Goto Top
Du bekommst weder bei Let's Encrypt noch bei StartSSL ein Zwischenzertifizierungsstellen-Zertifikat ausgestellt, mit dem du weitere Zertifikate ausstellen kannst. Du bekommst immer nur für den konkreten Domainnamen ein Zertifikat. Ab der Class2-Zertifizierung bei StartSSL (~ 80 EUR) kannst du auch Wildcard-Zertifikate ausstellen lassen.

Bei StartSSL brauchst du dafür eine Class4-Zertifizierung (macht schon mal ~ 200 EUR Kosten pro Jahr), dann kannst du die ein eigenes Zwischenzertifizierungszertifikat (StartPKI) ausstellen lassen.
atomique
atomique 07.05.2016 um 20:59:18 Uhr
Goto Top
Vielen Dank für deine schnelle Antwort!

Wie würdest du in diesem Fall voran gehen? Würdest du Let's encrypt nutzen, Domain und SAN eintragen und nachfolgend alle 90 Tage das Zertifikat erneuern? Meine Bauchschmerzen sind hier halt auf die Software bezogen, die ich auf meinem Webserver installieren muss. Mal abgesehen davon, dass ich den Webserver neustarten muss um das Zertifikat alle 3 Monate auszutauschen.

Oder würdest du hier eher ein Class2-Zertifikat nutzen und die ~80€/Jahr berappen? (Class 1 bedeutet hier zwingend Domains und nicht Sub-Domains, richtig?

Oder doch selbstsigniert?

Ich hoffe ihr/du habt etwas Geduld mit mir, ich würde nur gerne mal einfach alle Möglichkeiten durchgehen um entgütlig Unklarheiten beseitigen zu können :D

Dankeschön und anbei noch nen Ausschnitt von StartSSL

https://www.startssl.com/

Ps.: Wann benötige ich ein "Microsoft Kernel-Code Zertifikat"? Das wird bei StartSSL auch angeboten, aber nur für Class 4 (utopisch für meine Zwecke).

Gruß Atomique

2016-05-07 20_54_36-startssl™ certificates; public key infrastructure
Snuffchen
Snuffchen 07.05.2016 um 21:23:37 Uhr
Goto Top
Also, ich habe hier einige Server die nur Let's Encrypt Zertifikate nutzen. Das ganze ist per Cron-Job automatisiert und ein service apache2 reload dauert ~ 1 sekunde und tut nicht wirklich weh alle 3 Monate

Ich habe aktuell die Class2-Zertifizierung, da ich als Softwäreenwickler damit auch das Code-Signing-Zeritifkat nutzen kann. Ob ich noch die Class4 dranhänge weiss ich noch nicht. Muss erstmal mit StartSSL reden ob das auch für Einzelunternehmen oder sovie ich weiss nur für eingetragenen Gesellschaften (Handelsregister) möglich ist.
Snuffchen
Snuffchen 07.05.2016 um 21:44:14 Uhr
Goto Top
So gerade mal im 24/7 Chat bei StartSSL nachgefragt. Die Class4-Validation bekommt man nur als Unternehmen mit Handelsregistereintrag (GmbH, KG, AG, ...). Für Privatpersonen oder Einzelunternehmen keine Chance
Sheogorath
Lösung Sheogorath 07.05.2016 aktualisiert um 22:30:23 Uhr
Goto Top
Moin,

Den Traum von eigenen Intermediate tritt lieber mal in die Tonne.

Unabhängig davon brauchst du das aber auch nicht wirklich. Wie der vorredner schon sagte, reicht Let's encrypt völlig aus.

Was du möchtest sind Dienste per TLS bereitstellen. Also solltest du auch genau dies tun. Wenn es dir um "Trust" geht, dann kannst du einfach noch HPKP installieren. Das ist so gesehen sogar sicherer als ein eigenes intermediate Zertifikat und kostet dich keinen Cent. Nur etwas Zeit für die Infrastruktur und das verstehen der Technik.

Wenn du HPKP erstmal bei Seite lässt und dich nur auf Let's encrypt verlässt solltest du einfach dem "Getting Started"-Tutorial folgen. Wenn du auf Debian 8 Unterwegs bist, kannst du dann mein Renew-Tutorial nutzen um den Setup fertig zu machen. Geht eigentlich recht schnell.

Viel Erfolg ;)

Gruß
Chris
atomique
atomique 08.05.2016 um 11:44:27 Uhr
Goto Top
Guten Morgen zusammen,

vielen Dank für die ausführlichen Antworten und danke fürs extra im Live-Chat recherchieren, find ich nett!

Es wird also wahrscheinlich auf ein Let's Encrypt Zertifikat heraus laufen, außer ich möchte Geld ausgeben. Das mit HPKP schau ich mir noch einmal an, hab ich schon einmal überlegt ob ich das einsetzen möchte.

Ich habe gelesen, dass man mit diesen Let's Encrypt-DV-Zertifikaten "nur" Webserver absichern kann. Hat jemand Erfahrungen im Zusammenhang VPN (insbesondere das bei mir eingesetzte Strongswan (IPSEC/IKEv2))? Oder sind hier auch wieder selbstsignierte Zertifikate gefordert oder vielleicht sogar besser?

Vielen Dank und einen schönen Sonntag an euch!

Gruß Atomique
Sheogorath
Lösung Sheogorath 08.05.2016 um 13:07:40 Uhr
Goto Top
Moin,

Momentan sichere sich mit Let's encrypt zertifikalten meinen Mailserver, ein paar IRC Server, alle Dienste die über HTTP gehen und noch einiges mehr.

Für IPSec nutze ich aber auch ein selbstsigniertes Zertifikat. Hier macht es dir das Strongswan PKI tool leicht. Die Frage die sich da wieder stellt ist, ob man denn überhaupt VPN zum Webserver braucht. IPSec ist nicht wirklich sicherer als HTTPS oder eine andere TLS anwendung. Aber das musst du wissen, es gibt durchaus Use-Cases dafür.

Gruß
Chris
atomique
atomique 08.05.2016 um 13:23:09 Uhr
Goto Top
Hallo Sheogorath,

ich nutze diesen Server nicht nur als Web-Server, das ist ein gemieteter vServer der meine Alltäglich benutzten Dienste abdecken soll. Beispielsweise das VPN zum sicheren Surfen in Netzwerken in denen ich das für nötig erachte. Ich schau einfach mal ob man mit Let's Encrypt-Zertifikaten auch den VPN abdecken kann. Geht bestimmt.

Vielen Dank nochmal für eure Hilfe, soweit sind erst einmal alle Fragen für mich geklärt.

Gruß Atomique
jan.xb
jan.xb 09.05.2016 um 11:20:44 Uhr
Goto Top
Ich würde, wenn du dich für letsencrypt entschieden hast, diesen Linux Client hier empfehlen: https://github.com/lukas2511/letsencrypt.sh
Ist um einiges einfacher als der offizielle Client und läuft bei mir in Cronjobs schon seit mehreren Monaten (inkl. Renewals) völlig problemlos face-smile
Sheogorath
Sheogorath 09.05.2016 um 12:13:12 Uhr
Goto Top
Moin,

letsencrypt.sh ist für Leute die schon viel mit Zertifikaten, OpenSSL und Co gearbeitet haben wirklich ideal. Der Standard LE Client ist aber aus meiner Sicht einsteigerfreundlicher. Allein schon, wegen des Interaktiven Modus. Man spart sich mit letsencrypt.sh natürlich einiges an overhead. Außerdem ist es in sich Stabiler, da es keine selbstständigen Updates des Clients durchführt.

Sicherheitstechnisch muss man wohl auch eher letsencrypt.sh den Zuschlag geben, dass man diesen Cient auch als non-root laufen lassen kann. Man muss eben eine Abschätzung treffen. Zu beginn macht man in jedem Fall auch mit dem Standard Client nicht viel verkehrt.

Gruß
Chris
atomique
atomique 09.05.2016 um 19:04:55 Uhr
Goto Top
Seh ich es richtig, dass dieses Skript ohne installierten LE-Client läuft?

Ich werde es mir auf jeden Fall einmal ansehen! - Dankeschön!

Gruß Atomique