Zertifikate im (internen) Netz

[kosta]

Hallo,

so, meine nächste Angriffsstelle wird sein die Zertifikate im internen Netz.
Natürlich, nicht etwas was ich unbedingt brauchen würde, mehr macht es Spass als was anderes, ich könnte genauso den ganzen Verkehr "innen" unverschlüsselt lassen. Aber, wo ist der Spass dran?

Und ich sag gleich: Erfahrung habe ich in dem Bereich in einer Windows Domäne mit einer eigenen CA. Also ganz neu ist mir das Thema nicht. Aber was neu ist: OPNsense und Let's Encrypt.

Nun, wenn es darum geht, die internen Server und Webseiten, sei das ESXI Webinterface, Ubuntu Server, Windows Server, wie auch immer, mit einem vertrauenswürdigen Zertifikat ausstatten, sodass wenn ich den FQDN der Seite aufrufe (die ohnehin schon die meisten im OPNsense drin sind), diese auch vertrauenswürdig erscheint und mir keine Fehler aufpoppen... Advanced, Continue...bah.

Ziel ist es für diese internen Quellen ein Zertifikat zu erstellen, automatisch aktualisieren. Die Seiten sollte ja auch nur intern erreichbar sein.

So, ich möchte nur erstmal wissen ob ich hier mit dem HAProxy erstmal gut bedient bin, ob das das richtige ist? Oder ist das mit Kanone auf Spatzen schießen? Gibt's was sinnvolleres? Denn wenn ja, werde ich eben hier weiter vorgehen.

Danke

[lfirewall1243]

Nutzen in manchen Umgebung den HAProxy genau dafür in Kombi mit Letsencrypt.
Sei dir nur bewusst dass das auch der interne Traffic über die opnsense läuft (Performance).
Da es sich dabei nur um ein paar web pages handelt aber verkraftbar.
Du brauchst aber immer einen DNS Namen, der sich aus dem Internet auflösen lässt.

Also esx.müller.local geht da nicht

Wenn du aber eh schon eine Zertifikatsumgebung hast, wieso hinterlegst du dort nicht einfach die selbst signierten, sodass deine Clients diesen automatisch vertrauen ?

[Patrick M. Hausen]

Ich habe mir auf der OPNsense eine CA gebaut - Laufzeit 10 Jahre.
Und mit dieser dann ein Wildcard-Cert: *.meine.interne.domain signiert, Laufzeit 397 Tage, weil Broser, Apple, ... gnaaa ... 
Dieses Zertifikat installiere ich auf praktisch allen Geräten hier im Netz und mein Mac, mein iPad, etc. haben die CA als vertrauenswürdig installiert.

Genau so würde man es in einem Firmennetz auch machen - eigene CA, diese auf alle Clients pushen. Wahrscheinlich etwas automatisierter als hier bei mir zuhause, z.B. per Active Directory, aber im Prinzip gleich.

[shuvitcrew]

Ich hab meine Domains über Cloudflare verwaltet. So komme ich zu gültigen Wildcard-Zertifikaten von LetsEncrypt direkt über Opnsense (alles über WebGUI eingerichtet). Vorteil ist, dass man die IP-Adresse dynamisch direkt aus Opnsense bei Cloudflare aktualisieren kann. Die automatische Verteilung hab ich noch nicht ganz im Griff. Das mach ich zur Zeit noch händisch, bzw. per Script.

[schnipp]

Und mit dieser dann ein Wildcard-Cert: *.meine.interne.domain signiert, Laufzeit 397 Tage, weil Broser, Apple, ... gnaaa ... 

Die zeitliche Beschränkung von 397 Tagen gilt nur für von öffentlichen CAs ausgestellte Zertifikate. Du kannst die Laufzeit bei Zertifikaten Deiner privaten CA ruhig verlängern.

[kosta]

Sei dir nur bewusst dass das auch der interne Traffic über die opnsense läuft (Performance).
Da es sich dabei nur um ein paar web pages handelt aber verkraftbar.

Ja, ist mir bewusst dass der Traffic über die Sense läuft. Genug Power drauf, ist ein Rechner mit i3 drauf. Außerdem ja, die paar Webguis die ich hab wir die Sache nicht fett machen. Es kommt sicher mit der Zeit was dazu, aber ist ja nichts für die Öffentlichkeit. Alles nur intern.

Also esx.müller.local geht da nicht

Ist eh ne Domäne, und alles wird einen echten Domainnamen haben. Zugriff nur intern eigentlich nur aus einem Netz zu erreichen.

Wenn du aber eh schon eine Zertifikatsumgebung hast, wieso hinterlegst du dort nicht einfach die selbst signierten, sodass deine Clients diesen automatisch vertrauen ?

Weil das einfach nur fad ist 

Und mit dieser dann ein Wildcard-Cert: *.meine.interne.domain signiert, Laufzeit 397 Tage, weil Broser, Apple, ... gnaaa ... 

Jo genau, in dieser Richtung geht die Sache.

Dieses Zertifikat installiere ich auf praktisch allen Geräten hier im Netz und mein Mac, mein iPad, etc. haben die CA als vertrauenswürdig installiert.

Jep, so wird's gemacht. Vielleicht mache ich auch ein AD, dann verteile ich zentral. Ist mir aber vermutlich übertrieben (genau, in der Firma bei 30 Rechner und 20 Server OK komplettes AD mit CA, aber daheim...). Kann mich mit AD dort genug austoben ;-)

Vorteil ist, dass man die IP-Adresse dynamisch direkt aus Opnsense bei Cloudflare aktualisieren kann.

Mmm, cool. Wusste nicht dass das geht. Wie funktioniert das? Meine IP ändert sich äußerst selten, also so solten dass ich mir gut überlegen muss ob Aufwand wert, aber immerhin interessant.

[shuvitcrew]

Mmm, cool. Wusste nicht dass das geht. Wie funktioniert das? Meine IP ändert sich äußerst selten, also so solten dass ich mir gut überlegen muss ob Aufwand wert, aber immerhin interessant.
[/quote]
Mit dem Plugin "Dynamisches DNS" (os-dyndns) wird das Updaten von Cloudflare direkt unterstützt. Bei mir ändert sich die IP-Adresse auch sehr selten, aber so muss man sich um nichts mehr kümmern. Das einizige was etwas mehr Aufwand war, ist das Einrichten von Cloudflare. Ich finde es lohnt sich, wenn man dadurch zu einem Wildcard-Zertifikat kommt. Die Aktualisierung alle 60 Tage läuft nach der Einrichtung des "Let's Encrypt"-Plugin (os-acme-client) automatisch ab.