89371
Jan 22, 2019
3278
5
0
Zertifikate Kuddelmuddel
Hallo zusammen,
ich blicke durch den Dschungel der Zertifikate nicht durch. Ich habe:
2x Sophos UTM
2x Windows Domain Controller
2x Exchange (VM)
1x QNAP NAS
1x Docker für Bitwarden auf dem NAS
2x IPMI Devices für die Hyper-V Server
2x Hyper-V Server
Drucker, Telefonanlage, Clients usw.
Und jeder will ein Zertifikat...
1) Muss ich nun für jede Adresse bei Letsencrypt ein Zertifikat erstellen lassen? Zumindest für die, die von aussen erreichbar sein wollen?
2) Ich habe mir sagen lassen dass ein Wildcard Zertifikat unsicher wäre, weil sich das jeder kopieren kann und auf fremde Server spielen kann. Sollte ich also alles mit SAN Zertifikaten machen? Exchange akzeptiert für SecurePOP und SecureIMAP keine Wildcards, also müsste ich für diese Dienste sowieso ein eigendes Zertifikat machen lassen, oder?
3) Das Sophos UTM hat schon einmal ein Dienst, mit dem kann man sich bei Letsencrypt Zertifikate machen lassen und auf Knopfdruck verlängern. Nur, wenn ich dieses Zertifikat erzeugen lasse und exportiere, kann ich es z.B. beim QNAP nicht importieren, da nur eine .pem Datei als Zertifikat erzeugt wurde und kein Key dabei ist. QNAP und auch das Docker für Bitwarden verlangen jedoch auch eine Key Datei. Sollte ich ein anderes Gerät die Zertifikate machen lassen?
4) Wenn ich ein Zertifikat auf sämliche Geräte installiere, muss ich nach der Verlängerung das alte Zertifikat gegen das Neue überall austauschen?
5) Gibt es die eierlegende Wollmilchsau Lösung, wie ich alle Geräte vertrauenswürdig bekomme und mit nicht mehr um Verlängerungen kümmern muss? Ich habe über Autorenew Taks aus diversenden Betriebssystemen gelesen, aber spätestens beim IPMI oder beim Drucker gibt es solche Verlängerungsautomatismen nicht. Ich will diese jedoch von aussen von nicht-in-meiner-Domäne-Rechnern erreichbar haben.
6) Wie wird das in großen Netzwerken gehandhabt? Ihr tauscht doch nicht regelmäßig mehrere hundert Zertifikate aus?!?
Vielen lieben Dank in Voraus
ich blicke durch den Dschungel der Zertifikate nicht durch. Ich habe:
2x Sophos UTM
2x Windows Domain Controller
2x Exchange (VM)
1x QNAP NAS
1x Docker für Bitwarden auf dem NAS
2x IPMI Devices für die Hyper-V Server
2x Hyper-V Server
Drucker, Telefonanlage, Clients usw.
Und jeder will ein Zertifikat...
1) Muss ich nun für jede Adresse bei Letsencrypt ein Zertifikat erstellen lassen? Zumindest für die, die von aussen erreichbar sein wollen?
2) Ich habe mir sagen lassen dass ein Wildcard Zertifikat unsicher wäre, weil sich das jeder kopieren kann und auf fremde Server spielen kann. Sollte ich also alles mit SAN Zertifikaten machen? Exchange akzeptiert für SecurePOP und SecureIMAP keine Wildcards, also müsste ich für diese Dienste sowieso ein eigendes Zertifikat machen lassen, oder?
3) Das Sophos UTM hat schon einmal ein Dienst, mit dem kann man sich bei Letsencrypt Zertifikate machen lassen und auf Knopfdruck verlängern. Nur, wenn ich dieses Zertifikat erzeugen lasse und exportiere, kann ich es z.B. beim QNAP nicht importieren, da nur eine .pem Datei als Zertifikat erzeugt wurde und kein Key dabei ist. QNAP und auch das Docker für Bitwarden verlangen jedoch auch eine Key Datei. Sollte ich ein anderes Gerät die Zertifikate machen lassen?
4) Wenn ich ein Zertifikat auf sämliche Geräte installiere, muss ich nach der Verlängerung das alte Zertifikat gegen das Neue überall austauschen?
5) Gibt es die eierlegende Wollmilchsau Lösung, wie ich alle Geräte vertrauenswürdig bekomme und mit nicht mehr um Verlängerungen kümmern muss? Ich habe über Autorenew Taks aus diversenden Betriebssystemen gelesen, aber spätestens beim IPMI oder beim Drucker gibt es solche Verlängerungsautomatismen nicht. Ich will diese jedoch von aussen von nicht-in-meiner-Domäne-Rechnern erreichbar haben.
6) Wie wird das in großen Netzwerken gehandhabt? Ihr tauscht doch nicht regelmäßig mehrere hundert Zertifikate aus?!?
Vielen lieben Dank in Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399019
Url: https://administrator.de/contentid/399019
Printed on: April 16, 2024 at 18:04 o'clock
5 Comments
Latest comment
2) ist falsch, ein wildcardzertifikat ist nicht unsicherer - man kann es eben für alle subdomains einer domain verwenden.
Du kannst so lange das selbe Zertifikat verwenden, sofern du auf diesen Geräten den gleichen private key einsetztst - d.h. lässt sich dieser bestimmen/austauschen - passt es. Allerdings ist hier natürlich die Angriffsfläche höher: Wird nur bei einem Gerät der private key geklaut sind alle Systeme kompromittiert (Schwächstes glied in der Kette Prinzip)
Wenn du mit den Diensten nicht direkt reden musst, würde sich ein Reverse Proxy anbieten, der die SSL themen handelt und hinterraus eine "sichere umgebung" zwischen proxy und der anwendung besteht
Du kannst so lange das selbe Zertifikat verwenden, sofern du auf diesen Geräten den gleichen private key einsetztst - d.h. lässt sich dieser bestimmen/austauschen - passt es. Allerdings ist hier natürlich die Angriffsfläche höher: Wird nur bei einem Gerät der private key geklaut sind alle Systeme kompromittiert (Schwächstes glied in der Kette Prinzip)
Wenn du mit den Diensten nicht direkt reden musst, würde sich ein Reverse Proxy anbieten, der die SSL themen handelt und hinterraus eine "sichere umgebung" zwischen proxy und der anwendung besteht
Hallo,
Nein. Entweder Wildcard Zertifikat oder ein SAN Zertifikat, also ein Zertifikat mit mehreren Namen.
Wenn du den private Key public machst, dann hilft auch kein einzelnes Zertifikat.....
Die Frage die sich mir hier stellt, warum du ein Passwort Manager öffentlich erreichbar (!!!) machen möchtest!
Bedenke das Lets Encrypt eine öffentliche CA ist und diese nur für öffentliche Dienste ein Zertifikat ausstellt!
Ja. Bei Lets Encrypt macht man das automatisch mit einem ACME Client.
Automatisierung ist dein Zauberwort.
Bei öffentlichen Zertifikaten Lets Encrypt und bei privaten CAs macht man das mit einem Automatisierungstool z.B. Ansible.
Wird bei uns großteils automatisiert durchgeführt. Nur bei ein paar kritischen Diensten wird das manuell noch durchgeführt.
Du hast ja eine Sophos UTM. Diese bietet einen Reverse Proxy an. Damit kannst du schon mal die Dienste abdecken, die öffentlich erreicht werden müssen und das ganze zentral.
Viele Grüße,
Exception
1) Muss ich nun für jede Adresse bei Letsencrypt ein Zertifikat erstellen lassen? Zumindest für die, die von aussen erreichbar sein wollen?
Nein. Entweder Wildcard Zertifikat oder ein SAN Zertifikat, also ein Zertifikat mit mehreren Namen.
2) Ich habe mir sagen lassen dass ein Wildcard Zertifikat unsicher wäre, weil sich das jeder kopieren kann und auf fremde Server spielen kann. Sollte ich also alles mit SAN Zertifikaten machen? Exchange akzeptiert für SecurePOP und SecureIMAP keine Wildcards, also müsste ich für diese Dienste sowieso ein eigendes Zertifikat machen lassen, oder?
Wenn du den private Key public machst, dann hilft auch kein einzelnes Zertifikat.....
3) Das Sophos UTM hat schon einmal ein Dienst, mit dem kann man sich bei Letsencrypt Zertifikate machen lassen und auf Knopfdruck verlängern. Nur, wenn ich dieses Zertifikat erzeugen lasse und exportiere, kann ich es z.B. beim QNAP nicht importieren, da nur eine .pem Datei als Zertifikat erzeugt wurde und kein Key dabei ist. QNAP und auch das Docker für Bitwarden verlangen jedoch auch eine Key Datei. Sollte ich ein anderes Gerät die Zertifikate machen lassen?
Die Frage die sich mir hier stellt, warum du ein Passwort Manager öffentlich erreichbar (!!!) machen möchtest!
Bedenke das Lets Encrypt eine öffentliche CA ist und diese nur für öffentliche Dienste ein Zertifikat ausstellt!
4) Wenn ich ein Zertifikat auf sämliche Geräte installiere, muss ich nach der Verlängerung das alte Zertifikat gegen das Neue überall austauschen?
Ja. Bei Lets Encrypt macht man das automatisch mit einem ACME Client.
5) Gibt es die eierlegende Wollmilchsau Lösung, wie ich alle Geräte vertrauenswürdig bekomme und mit nicht mehr um Verlängerungen kümmern muss? Ich habe über Autorenew Taks aus diversenden Betriebssystemen gelesen, aber spätestens beim IPMI oder beim Drucker gibt es solche Verlängerungsautomatismen nicht. Ich will diese jedoch von aussen von nicht-in-meiner-Domäne-Rechnern erreichbar haben.
Automatisierung ist dein Zauberwort.
Bei öffentlichen Zertifikaten Lets Encrypt und bei privaten CAs macht man das mit einem Automatisierungstool z.B. Ansible.
6) Wie wird das in großen Netzwerken gehandhabt? Ihr tauscht doch nicht regelmäßig mehrere hundert Zertifikate aus?!?
Wird bei uns großteils automatisiert durchgeführt. Nur bei ein paar kritischen Diensten wird das manuell noch durchgeführt.
Du hast ja eine Sophos UTM. Diese bietet einen Reverse Proxy an. Damit kannst du schon mal die Dienste abdecken, die öffentlich erreicht werden müssen und das ganze zentral.
Viele Grüße,
Exception
Danke schon mal.
Ich habe bei dem Sophos UTM keinen privaten Key anlegen oder verwenden können. Ich habe nur die Domänenliste eingetragen und der hat sich einfach das Zertifikat bei Letsencrypt erstellt und ich konnte es dann nur noch exportieren, aber ohne Key.
Ich möchte auf meine Passwörter übers Handy zugreifen, wenn ich unterwegs bin. Ich will auch meine Familie zugreifen lassen, die ihre eigenen Passwörter darauf gespeichert haben und nicht bei mir leben. Wenn ich in der Arbeit bin, will ich am Arbeitsplatz im Firefox die Bitwarden Extension hinzufügen, meine Adresse eingeben können und auch dort meine Passwörter sehen.
Dieser ACME Client oder ein anderer Automatismus kann jedoch nicht die Zertifikate auf IMPI Geräten oder in Druckern austauschen, oder?
Mit dem Reverse Proxy habe ich mich noch nicht beschäftigt. Soll das bedeuten, wenn z.B. Bitfarm ein selbst erstelltes Zertifikat besitzt, und jemand von aussen über den Sophos auf Bitfarm zufreift, dieser nur das Letsencrypt Zertifikat vom Sophos sieht?
Danke nochmal für Deine Geduld
Wenn du den private Key public machst, dann hilft auch kein einzelnes Zertifikat.....
Ich habe bei dem Sophos UTM keinen privaten Key anlegen oder verwenden können. Ich habe nur die Domänenliste eingetragen und der hat sich einfach das Zertifikat bei Letsencrypt erstellt und ich konnte es dann nur noch exportieren, aber ohne Key.
Die Frage die sich mir hier stellt, warum du ein Passwort Manager öffentlich erreichbar (!!!) machen möchtest!
Ich möchte auf meine Passwörter übers Handy zugreifen, wenn ich unterwegs bin. Ich will auch meine Familie zugreifen lassen, die ihre eigenen Passwörter darauf gespeichert haben und nicht bei mir leben. Wenn ich in der Arbeit bin, will ich am Arbeitsplatz im Firefox die Bitwarden Extension hinzufügen, meine Adresse eingeben können und auch dort meine Passwörter sehen.
Bei Lets Encrypt macht man das automatisch mit einem ACME Client.
Dieser ACME Client oder ein anderer Automatismus kann jedoch nicht die Zertifikate auf IMPI Geräten oder in Druckern austauschen, oder?
Du hast ja eine Sophos UTM. Diese bietet einen Reverse Proxy an. Damit kannst du schon mal die Dienste abdecken, die öffentlich erreicht werden müssen und das ganze zentral.
Mit dem Reverse Proxy habe ich mich noch nicht beschäftigt. Soll das bedeuten, wenn z.B. Bitfarm ein selbst erstelltes Zertifikat besitzt, und jemand von aussen über den Sophos auf Bitfarm zufreift, dieser nur das Letsencrypt Zertifikat vom Sophos sieht?
Danke nochmal für Deine Geduld
Ich möchte auf meine Passwörter übers Handy zugreifen, wenn ich unterwegs bin. Ich will auch meine Familie zugreifen lassen, die ihre eigenen Passwörter darauf gespeichert haben und nicht bei mir leben. Wenn ich in der Arbeit bin, will ich am Arbeitsplatz im Firefox die Bitwarden Extension hinzufügen, meine Adresse eingeben können und auch dort meine Passwörter sehen.
Ok. Ich persönlich würde bei so kritischen Sachen immer nur via VPN zugreifen.
Da aber Bitwarden von Haus aus mit ein paar Schutzfunktionen und SSL Verschlüsselung ausgestattet ist, sollte das gehen.
Würde aber den Zugriff dennoch zusätzlich absichern z.B. mit der Sophos WAF oder den Zugriff mit ACLs nur von bestimmten Netzen aus zulassen.
Dieser ACME Client oder ein anderer Automatismus kann jedoch nicht die Zertifikate auf IMPI Geräten oder in Druckern austauschen, oder?
Warum brauchen Drucker ein öffentliches Zertifikat? Oder willst du einen Public Print Service betreiben?
Für andere Dienste, die wirklich öffentlich erreichbar sein müssen z.B. Webserver kannste ein Reverse Proxy nehmen z.B. die Sophos WAF.
Soll das bedeuten, wenn z.B. Bitfarm ein selbst erstelltes Zertifikat besitzt, und jemand von aussen über den Sophos auf Bitfarm zufreift, dieser nur das Letsencrypt Zertifikat vom Sophos sieht?
Keine Ahnung was Bitfarm sein soll aber ja. Wie der Name Reverse Proxy schon verrät, agiert die Sophos UTM als Proxy nur umgekehrt. Das heißt der Besucher kommuniziert nicht mehr mit dem Webserver direkt, sondern nur noch mit der Sophos. Diese startet einen eigenen Request an den Webserver und liefert die Antwort an den Besucher weiter. Im professionellen Umfeld wird ein Reverse Proxy vor allem als Web Application Firewall verwendet um bösartige Anfragen zu filtern und somit den Webserver bzw. das Backend zu schützen. Daher nennt sich dieses Feature bei Sophos so.
Sehr geil, das bringt ja dann wirklich eine ordentliche Struktur hinein. Alles von aussen über das Reverse Proxy Zertifikat. Alles von innen kann z.B. von einem AD Zertifikartsdienst kommen, dem die Clients intern sowieso vertrauen.
Mein Firefox mag schon bestimmte HTTP Seiten nicht mehr aufrufen und leitet auf HTTPS um. Auf mein NAS kam ich von aussen schon nicht mehr drauf, auf Bitwarden auch nicht (Bitfarm war ein Schreibfehler), die Unifi Kameras verweigern auch schon halb ihren Dienst, da das selbst erstellte Zertifikat von Firefox trotz Ausnahmeregel nicht mehr vertraut wurde. Da habe ich nur noch ein rotes Tuch gesehen und meinte, ich muss "alles" zertifizieren. Deswegen hatte ich auch die Drucker im Auge.
VPN kann/darf ich vom Arbeitsrechner nicht aufbauen. Aber das mit den Netze einschränken werde ich mir auf jeden Fall zu gemüte ziehen. Das klingt gut.
Vielen lieben Dank an Dich. Ich habe meine ersten Versuche mit Sophos WAF gerade eben auf Deinen Rat hin schon gemacht und ich kann nun von Aussen auf mein NAS und Kameras ohne Zertifikatswarnungen zugreifen. Jetzt muss ich nur noch Bitwarden ein (nicht öffentliches) Zertifikat verpassen. You made my day.
Mein Firefox mag schon bestimmte HTTP Seiten nicht mehr aufrufen und leitet auf HTTPS um. Auf mein NAS kam ich von aussen schon nicht mehr drauf, auf Bitwarden auch nicht (Bitfarm war ein Schreibfehler), die Unifi Kameras verweigern auch schon halb ihren Dienst, da das selbst erstellte Zertifikat von Firefox trotz Ausnahmeregel nicht mehr vertraut wurde. Da habe ich nur noch ein rotes Tuch gesehen und meinte, ich muss "alles" zertifizieren. Deswegen hatte ich auch die Drucker im Auge.
VPN kann/darf ich vom Arbeitsrechner nicht aufbauen. Aber das mit den Netze einschränken werde ich mir auf jeden Fall zu gemüte ziehen. Das klingt gut.
Vielen lieben Dank an Dich. Ich habe meine ersten Versuche mit Sophos WAF gerade eben auf Deinen Rat hin schon gemacht und ich kann nun von Aussen auf mein NAS und Kameras ohne Zertifikatswarnungen zugreifen. Jetzt muss ich nur noch Bitwarden ein (nicht öffentliches) Zertifikat verpassen. You made my day.
