Serverzertifikat mit Letsencrypt

Server Auth-Extern
1

Seit geraumer Zeit beschaffe ich mir ein Zertifikat von Letsencrypt für

  • ldap.ohgw.de (extern) und
  • server.lmn.ohgw.de (intern, Schulkonsole).

Dies geschieht innerhalb der VM für HAProxy in der DMZ. Das Zertifikat wird per systemd-Timer regelmäßig erneuert. Ebenso holt sich der linuxmuster-Server das Zertifikat regelmäßig per Timer von dort ab und lädt die Web-UI neu.

Auf diese Weise bekomme ich auch keinen Zertifikatsfehler, wenn im LAN die Schulkonsole aufgerufen wird, ohne dass ich weitere Maßnahmen ergreifen muss.

Die Alternative bestünde ja darin, auf dem HAProxy eine SSL-Termination für LDAP-Zugriffe vorzunehmen. Dann müsste aber das selbst signierte Serverzertifikat in allen Browsern hinterlegt werden, um die lästigen Zertifikatswarnungen zu vermeiden.

Ist mein Vorgehen, das noch nie Probleme verursacht hat, nach wie vor in Ordnung?

Viele Grüße
Matthias

2

Mittlerweile vermute ich, dass das Anmeldeproblem in diesem Beitrag genau damit zusammenhängt.

Ich sehe nämlich auch, dass linuxmuster-renew-certs --certs=all --dry-run fehlschlägt:

------------------------------------------------------------------------------
#### linuxmuster-renew-certs started at 2025-09-11 16:26:18               ####
------------------------------------------------------------------------------
#### Reading setup data.                                                  ####
#### Downloading firewall configuration:                                  ####
#### get 10.0.0.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml  ####
#### * Download finished successfully.                                    ####
#### Test if ca cert can be renewed:                                      ####
#### * Failed, certificate is unknown!                                    ####

Ich vermute daher, dass ich mir mit dem Letsencrypt-Zertifikat auf dem Server einiges zerschossen habe. Daher meine Fragen.

  1. Wie kann ich die CA und alle Zertifikate auf dem Server neu erzeugen (gleich mit SAN)?
  2. Wie müssen /etc/samba/smb.conf und /etc/samba/smb.conf.admin aussehen?
  3. Gibt es weitere Stellen, die ich prüfen müsste?
  4. Was ist die Best Practise für ein Letsencrypt-Zertifikat für LDAPS? Beschafft man sich das auf dem Server, auf der OPNsense oder auf einem separaten Proxy? Das ist unverzichtbar, da manche Dienste selbst signierte Zertifikate für LDAPS ablehnen.
3

Ich sehe soeben in der OPNsense, dass die CA nur bis Mai 2025 gültig war.

Zertifizierungsstellen in der OPNsense
Zertifizierungsstellen in der OPNsense1034×104 16.3 KB

Lässt sich das noch retten, oder muss ich die CA und alle linuxmuster-Zertifikate neu erstellen?