TLS Zertifikate für Schulconsole und Captiveportal

Hallo zusammen,

wir setzen aktuell linuxmuster mit einem WLAN_BringYourOwnDevice (BYOD) und Nextcloud unter Docker ein. Bei Nextcloud arbeiten wir mit letsenycrypt-TLS-AutoCertRenewal.

Im internen Schulnetz nervt die Zertifikats-Sicherheitswarnung der Schulconsole und bei dem WLAN_BYOD ist die captivePortal-Anmeldeseite ebenfalls aktuell nur mit Warnung aufzurufen. Unsere interne und externe Domäne ist unterschiedlich. Und die interne Landschaft noch weiter nach außen öffnen, wollen wir auch nicht. Damit fällt letsencrypt vermutlich schon raus.

Deswegen die Frage an euch, wie handelt ihr das?

Im Beitrag SSL-Zertifikatsfehler bei selbst-signierten Zertifikaten trotz importierter CA - #13 von mwehr steht was von einem create-ssl-cert.sh Skript, was ich gar nicht finde in unserer 72er Installation.

Danke vorab und VG,
Frank

Hallo Frank,

wenn die interne Domain eine offizielle ist und Du sie registriert hast, dann würde ich einfach auf irgendeiner Maschine die Zertifikate mit Let’s Encrypt generieren lassen und dann verteilen.

Beste Grüße

Jörg

Hallo Jörg,

genau das ist leider nicht der Fall. Für die externe Domäne haben wir das in der nextcloud so gemacht, aber intern ist die Domäne anders und eben nicht offiziell bzw. nicht von uns registriert.
Deswegen bin ich auf der Suche nach Alternativen.

VG,
Frank

Hallo Frank,

dann gibt es keine wirklich gute Lösung. Du kannst das selbsterstellte Zertifikat noch verbessern (siehe das erwähnte Skript), aber Deine CA muss auf allen Geräten importiert werden.

Beste Grüße

Jörg

Hallo Jörg,

danke, ich hatte es leider schon vermutet. Wo finde ich aber dieses Skript? Und welche eigene CA würdest du wo installieren?

Wäre der „goldene“ Weg dann wie hier Active Directory-Domäne — linuxmuster.net 7.1 Dokumentation beschrieben eine Subdomain der eigenen Schul-Internetdomäne als interne Domäne zu nutzen?

VG,
Frank

Hallo,

ich möchte darauf hinweisen, dass es nicht vorgesehen ist Radiusdomänen
mit „echten“ Zertifikaten aus zu statten.
Wenn man im Internet nach der Frage sucht, dann findet man viele
Diskussionen dazu: meiner Meinung nach gewinnen die, die sagen: man
macht eine selbstsigniertes Zertifikat und importiert die CA an den Geräten.
Ja, das ist aufwändig: aber nicht alles was einfacher ist, ist auch
besser und sicherer.

LG

Holger