Guten Morgen zusammen,
aktuell stehe ich vor dem Ausbau unserer Infrastruktur:
Kunden werden per IPsec VPN angebunden, mit dem Ziel diverse interne HTTPS-Webdienste anzusprechen. Die zugehörigen Zertifikate sind momentan ausschließlich auf Namen ausgestellt.
Ruft der Kunde nun Dienste per IP auf, erhält er Zertifikatsfehler, die er in Kauf nehmen muss.
Um das zu vermeiden empfehlen wir dem Kunden die Namensauflösung selbst vorzunehmen. Je nach Projektgröße entspricht das einem einzelnen Arbeitsplatz (/etc/hosts) oder einer neuen Zone im DNS des Kunden.
Letzteres birgt die Gefahr von Fehlkonfigurationen und nicht-Auflösung unserer veröffentlichten Dienste ins Internet.
Die Inbetriebnahme eines VPN-Kunden-DNS wäre denkbar, darf jedoch aus Sicherheitsgründen nicht mit unserem produktiven DNS gekoppelt werden.
Welche saubere Alternative übersehe ich?
TL;DR: Wie sieht ein nachhaltiges, sicheres DNS-Konzept in privaten Netzen aus?
Im Voraus vielen Dank.
aktuell stehe ich vor dem Ausbau unserer Infrastruktur:
Kunden werden per IPsec VPN angebunden, mit dem Ziel diverse interne HTTPS-Webdienste anzusprechen. Die zugehörigen Zertifikate sind momentan ausschließlich auf Namen ausgestellt.
Ruft der Kunde nun Dienste per IP auf, erhält er Zertifikatsfehler, die er in Kauf nehmen muss.
Um das zu vermeiden empfehlen wir dem Kunden die Namensauflösung selbst vorzunehmen. Je nach Projektgröße entspricht das einem einzelnen Arbeitsplatz (/etc/hosts) oder einer neuen Zone im DNS des Kunden.
Letzteres birgt die Gefahr von Fehlkonfigurationen und nicht-Auflösung unserer veröffentlichten Dienste ins Internet.
Die Inbetriebnahme eines VPN-Kunden-DNS wäre denkbar, darf jedoch aus Sicherheitsgründen nicht mit unserem produktiven DNS gekoppelt werden.
Welche saubere Alternative übersehe ich?
TL;DR: Wie sieht ein nachhaltiges, sicheres DNS-Konzept in privaten Netzen aus?
Im Voraus vielen Dank.
Zuletzt bearbeitet:
(Tippfehler)