Zertifikatswarnungen erfolgreich ausschalten

Moin Irrlicht,

aus meiner Perspektive als erfahrener Administrator ist es einfach. Für andere mag das jedoch nicht der Fall sein.

Ich bin hier übrigens nicht zur Kundenakquise unterwegs :wink: Es liegt jedoch nicht innerhalb meiner Möglichkeiten, für jeden x-beliebigen Fall umfangreiche Anleitungen zu schreiben, dafür hat der Tag einfach zu wenige Stunden.

LG Yannik

P.S. Es gibt hier im Forum übrigens diverse erfahrene Administratoren, die in ihrer Freizeit schon für andere Schulen lmn-bezogene Aufträge umgesetzt haben… Ich habe gehört, es gäbe sogar tatsächliche Dienstleister aktiv hier im Forum :wink:

Die Info wieso Deine Vorgehensweise weniger kompliziert ist wie meine waere noch nett.
Glaube uebrigens, dass hier einige “erfahrene Administratoren” unterwegs sind.

Edith on topic: Diese Anleitung sollte tun, kostenlos

Hallo!

Ich möchte mich nur kurz zu diesem Punkt melden und meinen Senf dazu abgeben:

Ich finde es völlig OK, wenn jemand für so etwas einen von ihm als angemessenen Betrag empfunden einfordert. Nix anderes ist es was FOSS erst ermöglicht. Wer beschäftigt die Kernel-Entwickler und viele andere Entwickler? Auch die stehen in Lohn und Brot, dass einzig wichtige Kriterium ist und bleib, dass Ergebnis wird allen zur Verfügung gestellt. Jeder kann es nutzen und weitergeben bzw. verändern.

Für mich ist es legitim was Yannik vorschlägt. Auch habe ich schon selber in meine persönliche Geldbörse gegriffen für besondere Software. Und ja, es in meinen Verständnis egal, ob es ein Stück Code oder eine gut gemachte Anleitung ist. Was zählt ist was der Autor für angemessen hält und dann ist es nix anderes wie Crowdfunding.

Eventuell gibt es ja auch noch andere die an so einer Beschreibung interessiert wären?!

Wie immer zum Schluß die Frage, was kostet der Spass? Aber da muss @Yannik sich zu äußern.

Beste Grüße

Thorsten

Ich glaube ja nach wie vor, dass eine Validierung ueber einen externen Webserver einfacher ist, die gewuenschten FQDNs fuer “Innen” auf diesen Eintragen, diesen nicht ueber DNS-Challenge sondern ueber Webserver validieren.
Falls da schon einer produktiv laeuft, wird der halt 20 Sekunden gestoppt und dann wieder gestartet, die generierten Zertifikate per SCP, von mir aus mit Zertifikat, reinsaugen und fertig ist das Ganze. Das laesst sich komplett skripten, ohne DNS-Voodoo und Magie, kein Portforwarding, proxy_pass, socat und Konsorten.

Moin,

nun, die Lösung die ich selbst nutze (also dns-challenges, ggf. mit acme-dns) bringt die folgenden Vorteile:

  • Die entsprechenden hosts müssen nicht von außen erreichbar sein
  • man muss selbst keinen Nameserver betreiben
  • Keine Veränderung von eigentlich nicht zur letsencrypt challenge gehörenden dns records möglich (security)
  • skalierbar, da jeder host sein eigenes zertifikat holt und nicht ein zentraler host alle zertifikate (entsprechend ist das auch deutlich sicherer als deine Lösung)
  • geringerer einrichtungsaufwand als scp-zugriff für alle hosts, die ein zertifikat benötigen, zu konfigurieren.

Ich persönlich habe mich einfach dafür entschieden, da es die für mich perfekte Kombination aus einfacher Bedienbarkeit, geringem Arbeitsaufwand und Sicherheit bietet.

@Thorsten: Vielen Dank für deine netten Worte! Du hast absolut recht - von irgendwas müssen auch diejenigen, die open source “machen” leben. Bei mir landet prinzipiell (fast) alles was ich, egal ob Freizeit oder entgeltlich schaffe, auf github, weil open source einfach mein Ding ist und ich gerne auch was zurückgeben möchte. Durch einen Kundenauftrag ist z.B. auch dieses Projekt hier entstanden: https://github.com/Yannik/qnap-letsencrypt. Inzwischen knapp 150 mal gestarred, tausende downloads. Supported wiederum in meiner Freizeit.

Ach ja, was den Preis, den ich für so einige Projekte in der Vergangenheit genommen habe: Ich glaube, da bekäme ich so einige Mitleidsbekundigungen :wink:

LG Yannik

Die entsprechenden hosts müssen nicht von außen erreichbar sein

Muss bei mir auch nur einer

man muss selbst keinen Nameserver betreiben

Den brauch ich, ich versteh allerdings nicht, wie das ohne Nameserver tut bei Dir.

Keine Veränderung von eigentlich nicht zur letsencrypt challenge gehörenden dns records möglich (security)

Was ist da unsicher?

skalierbar, da jeder host sein eigenes zertifikat holt und nicht ein zentraler host alle zertifikate (entsprechend ist das auch deutlich sicherer als deine Lösung)

Was ist denn an meiner Loesung unsicher?

geringerer einrichtungsaufwand als scp-zugriff für alle hosts, die ein zertifikat benötigen, zu konfigurieren.

Irgendwie musst Du ja Deine Zertifikate auch auf die Hosts bekommen, wie machst Du das?

@irrlicht Das hab ich inzwischen mehrfach hier erläutert: Jeder host beantragt sein spezifisches Zertifikat. Deine Lösung ist insofern unsicherer, da Zugriff auf NS records besteht, für die kein Bedarf ist, außerdem ein Host Zugriff auf alle Zertifikate hat.

Deine Drucker beantragen ein spezifisches Zertifkat? Wie geht das denn?

Hier geht es um interne Host, auf die ich sowieso Zugriff habe, ich bin der Adminkasper und Zugriff auf Namenseintraege? Ich versteh das Problem nicht, ehrlich. Wenn ich da ein paar Eintraege in der Zonendatei mache, dann ist das ein Sack Reis in China…und die Sicherheit ist zu keinem Moment gefaehrdet.

@irrlicht Das ist eine Abwägung, wie kritisch es wäre, wenn ein einzelner host kompromittiert wird. Von Druckern habe ich hier übrigens nicht gesprochen. Die werden seitens eines internen Hosts mittels selenium deployed. Den entsprechenden Code gibt es übrigens hier auf github: https://github.com/Yannik/kyocera-certificate-deploy

*duckundweg*

Yannik

Das ist eine Abwägung, wie kritisch es wäre, wenn ein einzelner host kompromittiert wird.

Welcher Host? Du brauchst ja auch eine Kiste mit oeffentlicher IP und wenn der Server komprimitiert ist hast Du das gleiche Problem wie ich.

Von Druckern habe ich hier übrigens nicht gesprochen.

Ja irgendwie schon, zumindest oben.

Nochmal Edith: Brauchst Du einen Host mit externer IP und NS Resource Record-Eintrag, der auf diesen zeigt?