5
Zertifikatskette über LetsEncrypt zur .localhost Domain
Liebe Gemeinde,
ich habe einen Webserver (Ubuntu 18.04 LTS) am laufen der über https aus dem Internet erreichbar ist. Dazu nutze ich ein Zertifikat welches über Let's Encrypt erstellt wurde. Auf der Webserver laufen mehrere vHosts mit internen Domains (z.B. www.test.localhost). Da die .localhost Domains nicht vom Internet aus erreichbar sind kann ich natürlich auch keine Zertifikate via Let's Encrypt dafür erzeugen.
Daher meine Idee: Ich erzeuge mit OpenSSL ein Zertifikat das auf dem meines Webservers aufbaut und somit die Zwertifikatskette fortsetzt.
Also DST Root CA X3 -> Let's Encrypt Authority X3 -> server-1-2.jupitersoft.de -> www.test.localhost
Leider sind meine bisherigen Versuche gescheitert.
Meine Frage ist daher nur ob es überhaupt funktionieren kann oder meine Versuche eh zum scheitern verurteilt sind.
Vielen Dank vorab für eure Hilfe.
Sirko
ich habe einen Webserver (Ubuntu 18.04 LTS) am laufen der über https aus dem Internet erreichbar ist. Dazu nutze ich ein Zertifikat welches über Let's Encrypt erstellt wurde. Auf der Webserver laufen mehrere vHosts mit internen Domains (z.B. www.test.localhost). Da die .localhost Domains nicht vom Internet aus erreichbar sind kann ich natürlich auch keine Zertifikate via Let's Encrypt dafür erzeugen.
Daher meine Idee: Ich erzeuge mit OpenSSL ein Zertifikat das auf dem meines Webservers aufbaut und somit die Zwertifikatskette fortsetzt.
Also DST Root CA X3 -> Let's Encrypt Authority X3 -> server-1-2.jupitersoft.de -> www.test.localhost
Leider sind meine bisherigen Versuche gescheitert.
Meine Frage ist daher nur ob es überhaupt funktionieren kann oder meine Versuche eh zum scheitern verurteilt sind.
Vielen Dank vorab für eure Hilfe.
Sirko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 562936
Url: https://administrator.de/contentid/562936
Printed on: April 18, 2024 at 09:04 o'clock
5 Comments
Latest comment
Der ganze Sinn ist auch das es nicht geht!!
Das geht nicht, da dein Serverzertifikat nicht zum Ausstellen weiterer Zertifikate gedacht ist. Wenn du dich mit dem Thema etwas beschäftigst, dann stellst du fest, dass das auch gut ist wie es ist. 
Erstelle eine eigene CA (und ggf. Intermediate Cert) und damit machst du eigene Zertifikate. Das Stammzertifikat (und ggf. Intermediate Cert) verteilst du dann auf die Clients, dass sie die gesamte Zertifikatskette haben.
Erstelle eine eigene CA (und ggf. Intermediate Cert) und damit machst du eigene Zertifikate. Das Stammzertifikat (und ggf. Intermediate Cert) verteilst du dann auf die Clients, dass sie die gesamte Zertifikatskette haben.
1
Moin,
Gruß,
Dani
Erstelle eine eigene CA (und ggf. Intermediate Cert) und damit machst du eigene Zertifikate. Das Stammzertifikat (und ggf. Intermediate Cert) verteilst du dann auf die Clients, dass sie die gesamte Zertifikatskette haben.
Bevor ich solch eine Krücke baue, würde ich meine vHosts grundsätzlich von localhost auf eine öffentliche Domain umstellen. Mit Nginx als Proxy oder Certbot kann man problemlos SSL-Zertifikate für Internetadressen abrufen, welche nicht direkt aus dem Internet erreichbar sind. Denn die "localhost" Thematik fällt dir früher oder später wieder auf den Fuß...Gruß,
Dani
1
Moin Dani,
klar währe das die beste und einfachste Lösung. Die Sache ist nur die das ich die Domains (ca. 20) lokal auf meinem internen Server hoste um sie zu entwickeln/programmieren. Diese werden dann später natürlich von der .localhost in eine .de (oder was auch immer) übertragen.
Bin gerade dabei mich mit der Erstellung einer PKI und eigener CA zu befassen. Ist ein spannendes Thema.
Trotzdem vielen Dank und Gruß
Sirko
klar währe das die beste und einfachste Lösung. Die Sache ist nur die das ich die Domains (ca. 20) lokal auf meinem internen Server hoste um sie zu entwickeln/programmieren. Diese werden dann später natürlich von der .localhost in eine .de (oder was auch immer) übertragen.
Bin gerade dabei mich mit der Erstellung einer PKI und eigener CA zu befassen. Ist ein spannendes Thema.
Trotzdem vielen Dank und Gruß
Sirko
1
Ist ein spannendes Thema! Bin gut dabei eine eigene PKI aufzubauen.
Danke für den Gedankenanstoß
Danke für den Gedankenanstoß
1