DFFVB
Rear Admiral
- Registriert
- Dez. 2015
- Beiträge
- 5.602
Hallo zusammen, bin kürzlich über mTLS gestolpert und finde es ganz interessant. Weil es mE ein guter Kompromiss zwischen Server aus dem Heimnetz ins Internet stellen und VPN sein kann. Allerdings scheint es zu dem Thema nicht besonders viele Tutorials zu geben, bzw. bspw. bei Smallstep sind hier eher klassische Server addressiert und als Clients Nginx Proxy Manager (NPM), statt bspw. mobile Clients.
Nach meiner Rechnung wäre der Aufbau im Heimnetz ungefähr wie folgt:
Debian > Docker (Compose) > NPM > Heimdienste (Plex, FileServer etc.)
Bei der NPM Config müsste mTLS konfiguriert werden. Das mit der Maßgabe, dass Clients auch ein Zertifikat präsentieren müssen. Zertifikate werden mit mkcert erstellt. Root CA müssen in die entsprechenden Trust Stores der Client Devices. Alternative: Wenn man es nicht mit einer eigenen CA, sondern bspw. einer öffentlichen wie von o.g. Smallstep macht, dann spart man sich, das hinzufügen zu den Truststores?
Problem: Man muss dann dem ACME beibringen mit der CA von Smallstep zu kommunizieren, dass das Ding unbeaufsichtigt laufen kann.
Mir gehts in erster Linie um das Verstehen - bevor man sowas live schaltet, muss man sich natürlich entsprechend einarbeiten in das Thema! Dazu kommt, dass das ja für mobile Clients wahrscheinlich auch nur bedingt hilfreich ist, weil die einzelnen Apps (mit Ausnahme von bspw. HomeAssistant), das gar nicht unterstützen, man ist stark auf den Browser angewiesen, was die Nutuzbarkeit einschränkt....
Nach meiner Rechnung wäre der Aufbau im Heimnetz ungefähr wie folgt:
Debian > Docker (Compose) > NPM > Heimdienste (Plex, FileServer etc.)
Bei der NPM Config müsste mTLS konfiguriert werden. Das mit der Maßgabe, dass Clients auch ein Zertifikat präsentieren müssen. Zertifikate werden mit mkcert erstellt. Root CA müssen in die entsprechenden Trust Stores der Client Devices. Alternative: Wenn man es nicht mit einer eigenen CA, sondern bspw. einer öffentlichen wie von o.g. Smallstep macht, dann spart man sich, das hinzufügen zu den Truststores?
Problem: Man muss dann dem ACME beibringen mit der CA von Smallstep zu kommunizieren, dass das Ding unbeaufsichtigt laufen kann.
Mir gehts in erster Linie um das Verstehen - bevor man sowas live schaltet, muss man sich natürlich entsprechend einarbeiten in das Thema! Dazu kommt, dass das ja für mobile Clients wahrscheinlich auch nur bedingt hilfreich ist, weil die einzelnen Apps (mit Ausnahme von bspw. HomeAssistant), das gar nicht unterstützen, man ist stark auf den Browser angewiesen, was die Nutuzbarkeit einschränkt....
