Ich weiß, ich weiß, es gibt schon viele Beiträge zu diesen Themen… aber ich schaffe es einfach nicht, als ziemlicher Neuling auf diesem Gebiet einen Überblick zu bekommen.
Hintergrund ist momentan primär der Wunsch, Webuntis per LDAPS ans Samba-AD anzubinden, später aber auch Nextcloud o. ä. Unsere Umgebung läuft mit lokaler Domäne ungleich externer Domäne.
Verstanden habe ich, dass es möglich/empfehlenswert (?) ist, den LM-Server von selbstsigniert auf extern umzustellen. Folgende Fragen habe ich dazu:
-
Wer sollte den ACME spielen, also die Zertifikate anfordern und erneuern? Firewall, Server oder evtl. ein weiterer (Docker-)Host, auf dem dann zukünftig auch die Nextcloud laufen könnte?
-
Welcher Client ist zu empfehlen? Certbot oder Dehydrated oder … ?
-
Wenn mehrere Subdomains zertifiziert werden müssen (sagen wir mal ca. 3), ist dann hinsichtlich der Einrichtung und Wartung ein Wildcard-Zertifikat oder das Pflegen einzelner Zertifikate einfacher?
-
Mein wichtigster Punkt: Wenn ich den Server komplett auf externe Zertifikate umstelle, an welchen Stellen muss ich dann überall Zertifikatseintragungen ändern? Mir fehlt die Übersicht, welche Dienste alle auf die Zertifikate angewiesen sind. Web-GUI, Shares (?), … ?? Wo genau müssen die Eintragungen gesetzt werden, so dass das pädagogische Netz nicht leidet?
-
Wäre es alternativ möglich, den Server als CA zu lassen und nur LDAPS über ein Let’s Encrypt-Zertifikat zu bestätigen?
Für jede Hilfe vielen Dank. Ich bitte um Verständnis, falls ich in meiner Unwissenheit evtl. völligen Blödsinn geschrieben habe 
.
Liebe Grüße
Lars