Hallo, von deiner Lösung kann ich nur sehr stark abraten.
Entweder man akzeptiert das jeweilige Zertifikat im Browser, importiert eine eigens erstellte CA, oder nutzt einfach ein richtiges Zertifikat (wie letsencrypt). Was du da tust, ist höchstgradig unsicher.
ich sollte vielleicht dazugeschrieben haben, dass ich diese Lösung nicht als default für das normale Surfen einsetze, sondern für meine “Kiosk-Lösungen” mit festeingestellter https-Adresse,z.B. den schulweiten Vertretungsplan-Anzeigebrowser.
Denkbar wäre aber auch das Ganze für die Schulkonsole, sofern man den Browser durch das Kiosk-Prinzip die feste lokale Netzwerkadresse übergibt.
(Für den Normalfall hast Du recht: Selbstverständlich ist https nur mit validierbaren Zertifikaten sicher).
Gruß Christoph Gü
Natürlich geht das. Entweder zeigst du auf eine öffentlich erreichbare IP (split horizon dns) und erzeugst mittels derer das Zertifikat, oder du benutzt einfach DNS challenge.
es freut mich ja, dass Du so ein toller Hecht bist - aber könntest Du (kurz) das notwendige Verfahren beschreiben ? Zwar habe ich das “Let’s encrypt”-Vefahren, so, wie es hier im Linuxmuster-Handbuch steht, erfolgreich anwenden können, aber Deine Vorschläge übersteigen meine Kenntnisse.
Wäre eine Mini-Anleitung möglich ?
Das waere mir neu, Dein „oder“ und „einfach“ bedeuten, dass man alleine mit DNS Challenge Zertifkate ohne Portforwardingfrickeleien reinsaugen kann?
Leider fangen diese Anleitungen immer „Mini“ an und ufern dann doch aus, es sei denn es gibt mittlerweile einen kurzen Weg nach innen per DNS Validation.
Gewuenschte Namenseintrag im DNS-Server draussen auf DNS-Server draussen, hat dann halt hinter seiner IP einen Namen mehr.
certbot auf dem Nameserver saugt sich das Zertifkat von let’s encrypt (Validierung ueber DNS Challenge, Webserver…)
erhaltenes Zertifikat auf den internen Server kopieren
auf den internen DNS-Server eine interne IP dem zum Zertifikat gehoerigen FQDN zuordnen
Die internen Rechner sollten dann auf alle Faelle den internen DNS nutzen.
Es gibt Skripte, die dieses ganze Gefrickel automatisieren und noch bestimmt 5 weitere Wege das irgendwie zu realisieren, z.B. certsling · PyPI
@irrlicht Ja, das ist korrekt. Die DNS-challenge stellt die Inhaberschaft einer Domain dadurch fest, dass ein bestimmter DNS-record gesetzt wird. Der Server, auf dem das Zertifikat erstellt wird, muss nicht von außen erreichbar sein. Daher auch wunderbar für Hosts in internen Netzwerken geeignet.
Da DNS-provider z.T. keine API für DNS-record updatese zur Verfügung stellen (es muss alle 3 Monate eine neue Challenge eingetragen werden, händisch ist das natürlich umständlich) und diese wenn, dann auch Zugriff auf sämtliche DNS-Records geben (was aus Sicherheitsperspektive eindeutig zu viel ist), setze ich https://github.com/joohoi/acme-dns ein.
@Cgsman Wenn du noch weitere Fragen hast, kannst du mir gerne eine persönliche Nachricht schreiben. Wie @irrlicht schon geschrieben hat: Eine komplette Anleitung würde hier den Rahmen sprengen.
Das signierte Zertifikat + private key muessen aber irgendwie auf dem internen Server landen, wie auch immer man das realisiert - Dein Ausdruck „einfach“ ist da etwas unpassend.
Wenn ich sowieso auf dem Namserver sitze, mache ich dort den externen DNS-Eintrag und lass auch dafuer das Zertifkat generieren, DNS-Challenge nicht notwendig, das sauge ich mir per scp rein und fertig, auf dem internen Nameserver wird dann halt auf die interne IP verwiesen. Gefrickel bleibt das, eine einfache Loesung scheint mir auch nicht in Sicht.
@Cgsman Wenn du noch weitere Fragen hast, kannst du mir gerne eine persönliche Nachricht schreiben. Wie @irrlicht schon geschrieben hat: Eine komplette Anleitung würde hier den Rahmen sprengen.
Das zum Thema „einfach“, schreib doch mal eine Anleitung, da wuerden alle von profitieren, denn…
Foren sind ja primaer dazu da, anderen zu helfen, per PN bleibt die Zielgruppe eher klein und der Schwarm profitiert halt mal ueberhaupt nicht davon. Ich denke hier sind einige Leute, die sich sich ueber eine Anleitung freuen wuerden, Open Source-Gedanke halt.
Ist es gar nicht, der Aufwand scheint mir kleiner als die Loesung von Dir…die bisher noch keiner wohl wirklich kennt.
@irrlicht Meine Präferenz wäre natürlich auch, eine solche Anleitung hier öffentlich zu machen. (Siehe mein Github-Profil: https://github.com/yannik/)
Geschrieben ist so ein Ding jedoch nicht in 5 Minuten Freizeit, daraus begründet sich mein per PN an dich gerichtetes Angebot.
In meinem Github-Profil findet man übrigens auch mehrere repositories zu letsencrypt-Lösungen… Trotzdem ist DNS-challenge mit acme-dns imo der einzig gangbare weg für interne Server.
@irrlicht Das ist keine Realsatire, sondern ein nett gemeintes Angebot gewesen, falls ernsthaftes Interesse bestünde. Das scheint hier aber nicht der Fall zu sein. Ich veröffentliche praktisch alles als open source was ich selber programmiere. Sich jetzt auch noch darüber zu beschweren, dass ich nicht in mehrstündiger Arbeit eine maßfertige Anleitung, für die ich selber überhaupt gar keinen Bedarf habe (meine eigenen Letsencrypt-Lösungen laufen), schreibe, finde ich schon ganz schön frech.
Dann hab ich mit „Werkvertrag“ wohl was falsch verstanden, ich dachte Du wolltest Geld fuer die Anleitung - wenn dem aber nicht so ist, kannst Du diese auch hier oeffentlich zur Verfuegung stellen.
Ist ja auch irritierend, oben schreibst Du das waere alles so einfach und ueberhaupt…wie super Du das alles geloest hast, selbst die Drucker usw. usf.
Was bei meinem Weg komplizierter ist wie bei Deinem ist mir immer noch unklar und certsling hab ich ja oben auch schon verlinkt.
seit 2011 bin ich hier dabei und habe in der Zeit unzählige projektbezogene Arbeiten (ja, gegen Entgelt) für diverse Schulen durchgeführt, wenn der Aufwand über eine kurze Antwort hinausging. Da ich in meiner Freizeit eine solche Anleitung nicht schreiben werde, habe ich dir das Angebot, welches du zumindest in diesem Teil richtig verstanden hast, gemacht. Dieses ziehe ich jedoch hiermit zurück, da mir die entsprechende Vertrauensbasis als Voraussetzung für eine erfolgreiche Zusammenarbeit gänzlich fehlt. Solltest du noch weiteren Gesprächsbedarf haben, kannst du mir gerne eine PN schicken.
Ich brauch die Anleitung ja nicht, Du hast da in der Tat etwas falsch verstanden und dass Du hier geschaeftlich unterwegs bist war mir in der auch nicht klar, jetzt wundert mich das auch nicht mehr, Kundenaquise per PN, interessant, in anderen Foren ist das verboten.
Ich halte es dennoch nicht fuer korrekt oben so zu tun, als ob das ganz einfach waere und dann wenn es ans Eingemachte geht, den Werkvertrag zu zuecken, vermutlich bin ich damit aber alleine.
