Eigene Zertifikate im eigenen LAN?

[Ruwinho]

Moin zusammen,

ich habe diverse Dienste auf meinem Proxmox Thin Client laufen, die alle per Webinterface erreichbar sind.

Nun bekomme ich jedes Mal bei Zugriff mit meinen Clients Meldungen, dass die Seiten nicht sicher seien, da die entsprechenden Zertifikate fehlen...soweit so klar.

Kann ich mir für mein lokales Netzwerk diese Zertifikate selbst verteilen oder erstellen? Vielleicht sogar als eigenen LXC, der das kann?

Mein Netzwerk ist von außen nicht erreichbar.
Es ist "nur" ein Luxusproblem und auch Faulheit, ständig diese Warnmeldungen wegklicken zu müssen beim Öffnen der Seiten.

Vielen Dank für eure Tipps!
Ruwinho

 

[conf_t]

Du meinst nicht

die entsprechenden Zertifikate fehlen

, denn es sind ja welche da, sondern weil die self-signed sind? Richtig?

EInfach im Browser zu Ausnahmen hinzufügen und gut ist.

Sich dafür eine eigene PKI aufzubauen ist zuviel und erfordert dann dennoch das Installieren deiner selbstgebauten CA als Zertifikat auf allein Clients. Könntest auch CAcert.org nehmen, ist aber auch nur das gleiche in Grün. Ob du nun überall deine eigenen CA-Zertifikate ausrollst oder überall die Clientzertifikate als Ausnahme hinzufügst ist beim (kleinen) LAN vom Aufwand ähnlich, bei riesigen Netzen wäre das dann schon was anderes.

 

[Helge01]

Kann ich mir für mein lokales Netzwerk diese Zertifikate selbst verteilen oder erstellen?

Ja, gibt genügend Anleitungen im Netz z.B. am einfachsten mit XCA.

 

[Harrdy]

Sofern du ne öffentliche Domain hast, könntest du dir über LE entsprechendes Wildcard Zertifikat auf eine Subdomain ausstellen lassen und deine Hosts darüber erreichbar machen. z:b. *.home.domain.de. Nachteil, alle 3 Monate muss erneuert werden. Wobei sich das ja auch automatisieren lässt.

Hätte den Vorteil das du an den Clients nichts ändern musst, da LE bei quasi allen aktuellen Clients bereits trusted ist.

 

[KillerPinockel]

Ich habe das auf meinem Proxmox nach folgenden Video gemacht. Klappt bis heute super.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[RedPanda05]

+1 für Reverse Proxy + DNS Methode. Du brauchst dafür noch eine Domain.
.ovh Domains sind sehr günstig.

 

[foofoobar]

ich habe diverse Dienste auf meinem Proxmox Thin Client laufen, die alle per Webinterface erreichbar sind.

Nun bekomme ich jedes Mal bei Zugriff mit meinen Clients Meldungen, dass die Seiten nicht sicher seien, da die entsprechenden Zertifikate fehlen...soweit so klar.

Kann ich mir für mein lokales Netzwerk diese Zertifikate selbst verteilen oder erstellen? Vielleicht sogar als eigenen LXC, der das kann?

Einfach die Root-CA gegen die du deine eigenen Zertifikate signierst hast in den Browser schubsen.

 

[KillerPinockel]

+1 für Reverse Proxy + DNS Methode. Du brauchst dafür noch eine Domain.
.ovh Domains sind sehr günstig.

Muss nix kosten. Ich habe eine DuckDNS Domain (ist kostenlos) und funktioniert lokal.

 

[seluce]

Ich sehe es ähnlich, dass die selbstsignierten Zertifikate wohl ausreichen, wenn man diese als Ausnahme hinzugefügt oder im Zertifikatspool als Vertrauenswürdig hinterlegt. Eine interne Zertifizierungsstelle würde die entsprechenden Zertifikate erstellen und als vertrauenswürdig listen, aber dann müsstest du auf allen Geräten das Root-Zertifikat von der CA hinterlegen. Ich sehe da wenig einen Vorteil, im Privatbetrieb. Bei Kunden mit zwei, drei oder viestelligen Bereich ist eine interne CA oder Zertifikate von externen CA (kann auch Letsencrypt sein) Pflicht

Wo es möglich ist, arbeite einfach mit Lets Encrypt und Cert Bot, lass es automatisch erstellen. Du brauchst nur eine externe Domain, wo du ein txt Record erstellst. Danach noch im internen DNS einfach die entsprechenden A Records hinterlegen und dann ruft er die Webseite, worauf das Zertifikat läuft, mit der internen IP auf und ist zertifiziert.

 

[SirKhan]

Sich dafür eine eigene PKI aufzubauen ist zuviel

Sehe ich nicht so und habe ich tatsächlich so gemacht. Ein RootCA-Zertifikat was ich halt einmalig überall installieren muss und dann ein Skript zum Erstellen der einzelnen Zertifikate, welches ich halt entsprechend oft Copy&Pasted habe. Klar, ich muss einmal im Jahr die Zertifikate erneuern (nicht das RootCA, das hält 10 Jahre), aber dafür sieht alles schön sauber aus im Browser. Ist es mir wert.
Wenn man alles über einen Reverse-Proxy laufen lässt, könnte man das auch noch automatisieren und müsste nicht für jede App einzeln deren entsprechend Zertifikat-Verwaltung nutzen.

 

[foofoobar]

Sich dafür eine eigene PKI aufzubauen ist zuviel und erfordert dann dennoch das Installieren deiner selbstgebauten CA als Zertifikat auf allein Clients.

Der Aufwand hält sich in Grenzen: https://easy-rsa.readthedocs.io/en/latest/

 

[Helge01]

ich muss einmal im Jahr die Zertifikate erneuern

Das kannst du auch umgehen wenn du die Zertifikate rückwirkend auf den 01.01.2018 ausstellst. Zertifikate die vor dem Zeitpunkt ausgestellt wurden kann man auf Jahrzehnte ausstellen und müssen dadurch nie erneuert werden.

Meine CA und Zertifikate sind im Schnitt auf 50 Jahre ausgestellt. und werden von allen Browsern/Betriebssystemen akzeptiert.

 

[prayhe]

Sofern du ne öffentliche Domain hast, könntest du dir über LE entsprechendes Wildcard Zertifikat auf eine Subdomain ausstellen lassen und deine Hosts darüber erreichbar machen. z:b. *.home.domain.de.

+1, so mache ich es auch. *.domain.de ausstellen lassen und im Reverse Proxy überall hinterlegen. Erneuerung ist ebenfalls automatisiert, musste da schon ewig nix mehr dran machen.

 

[CoMo]

https://lab-ca.net/

A private Certificate Authority for internal (lab) use, based on the open source ACME Automated Certificate Management Environment implementation from Let’s Encrypt (tm).

 

[Ruwinho]

Hmmm...danke erstmal für eure Erläuterungen. Dachte es ginge "einfacher". Ausnahmen für jeden Client zu erstellen ist irgendwie auch nicht das Wahre....aber vielleicht ist das eine Option.

Ich mache mich mal schlau mit der kostenlosen Domain und dem Reverse Proxy. Gibt da ja wohl einige Anleitungen im Netz.
Funktioniert denn die Domain auch wenn mein Netzwerk von außen nicht erreichbar ist? Ich möchte gerne, dass es dabei bleibt.

Was also die eine richtige Lösung ist, muss ich sehen...

Danke auch für das posten des YouTube Videos. Vielleicht das wonach ich gesucht habe.

 

[foofoobar]

+1, so mache ich es auch. *.domain.de ausstellen lassen und im Reverse Proxy überall hinterlegen. Erneuerung ist ebenfalls automatisiert, musste da schon ewig nix mehr dran machen.

Der Reverse-Proxy sollte dann besser nicht auf einer Maschine liegen die du per Browser befingern willst.

-> Henne-Ei Problem.

 

[KillerPinockel]

Ich habe bei meinem Adguard Home (PiHole geht sicher auch) eine DNS Umschreibung drin.
Bspw für dich: *.ruwinho.duckdns.org => IP Adresse des Nginx Proxy Manager bei dir im Netz.

Somit kannst du, wenn im NPM richtig konfiguriert, eingeben: proxmox.ruwinho.duckdns.org und kommst auf deine Proxmox UI.

 

[chrigu]

meinst du, wenn du von einem nas Zeugs kopieren willst, das dieses Fenster aufploppt das dein nas unsicher ist? Das ist aber eine Windows Einstellung, die du ändern musst. Ist schon sehr lange her. Ich glaube unter den Eigenschaften des Laufwerk selber ist so ein Reiter mit Sicherheit und ein Haken „…mit irgendwas vertrauen….“ oder ähnlich… kann mich nur noch schemenhaft erinnern

 

[Ruwinho]

+1 für Reverse Proxy + DNS Methode. Du brauchst dafür noch eine Domain.

Ich habe eine DuckDNS Domain (ist kostenlos) und funktioniert lokal.

Ich habe das auf meinem Proxmox nach folgenden Video gemacht. Klappt bis heute super.

Genau so habe ich es nun gemacht und es läuft perfekt. Danke euch!

@KillerPinockel auch das habe ich nun gemacht und funktioniert ebenfalls bestens.