Hallo,
mal eine Frage in die Runde bezüglich kostenloser / freier Zertifikate.
In der Vergangenheit sind ja diverse Dienst in Verruf gekommen.
Was und welche Dienste eigenen sich denn und gibt es auf dem Markt?
Ich kenne aktuell nur Let's encrypt und Start encrypt.
Wie gut und sinnvoll sind solche Zertifikate nutzbar? Was unterstützen diese Zertifikate? Multidomain, Wildcards, Verschlüsselungsteifen, Sicherheit etc. ?
Wie schaut es im Browser aus? Gibt es da dennoch Warnungen?
Ich möchte für mich gerne alle Dienste per SSL Anbinden. Natürlich soll es nicht extrem teuer werden. Da es sich um keine wirklich kritischen dinge handelt, kann ich auch gut und gerne auf Verschlüsselung verzichten. Für einen einfachen Abruf der Webseite braucht es das wirklich nicht zwingend.
Eigene Zertifikate sind manchmal lästig, weil der Browser dann nervt und ich die selbst signierten Zertifikate manuell einbinden möchte. Daher die Überlegung ob unabhängig von den bekannten Diensten es auch gute und günstige Alternativen gibt, welche auf bei den Clients Akzeptanz finden.
Viele Grüsse
Freie / kostenlose SSL Zertifikate
Freie / kostenlose SSL Zertifikate
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Freie / kostenlose SSL Zertifikate
Grüsse,
persönlich nutze ich Letsencrypt, Wildcards gibt es hier allerdings nicht oder besser noch nicht. Ob Multi-Domain funktioniert weiß ich leider auch nicht, bisher hatte ich mit SAN Zertifikaten hantiert und dabei kommt das Übliche zum Tragen, aller 3 Monate erneuern und jeder Host innerhalb eines SAN wird einzeln zertifiziert - entweder per HTTP Abfrage oder per DNS Abfrage.
Und hier nervt dass diese "well-known" Antworten die kommen müssen vom jeweiligen Client dynamisch generiert werden. Entweder lässt man den Client im Docroot des jeweiligen Host rumschreiben oder DNS Einträge aktualisieren - beides sehr sehr unschön.
Keine Ahnung warum die es nicht hinbekommen (wollen vermute ich) ein simples Web-Formular einzurichten.
Client-seitig gibt es keine Probleme. Den Private Key rückt man natürlich nicht raus und die Dienst-Einrichtung liegt ohnehin unter eigener Hoheit. Ändert man bei Reissue via Letsencrypt den Private Key nicht - was man dem Client auch wieder manuell sagen muss - geht's auch mit DANE / HPKP mit entsprechender Laufzeit, dass man nicht ständig am DNS drehen muss um die Einträge zu aktualisieren.
persönlich nutze ich Letsencrypt, Wildcards gibt es hier allerdings nicht oder besser noch nicht. Ob Multi-Domain funktioniert weiß ich leider auch nicht, bisher hatte ich mit SAN Zertifikaten hantiert und dabei kommt das Übliche zum Tragen, aller 3 Monate erneuern und jeder Host innerhalb eines SAN wird einzeln zertifiziert - entweder per HTTP Abfrage oder per DNS Abfrage.
Und hier nervt dass diese "well-known" Antworten die kommen müssen vom jeweiligen Client dynamisch generiert werden. Entweder lässt man den Client im Docroot des jeweiligen Host rumschreiben oder DNS Einträge aktualisieren - beides sehr sehr unschön.
Keine Ahnung warum die es nicht hinbekommen (wollen vermute ich) ein simples Web-Formular einzurichten.
Client-seitig gibt es keine Probleme. Den Private Key rückt man natürlich nicht raus und die Dienst-Einrichtung liegt ohnehin unter eigener Hoheit. Ändert man bei Reissue via Letsencrypt den Private Key nicht - was man dem Client auch wieder manuell sagen muss - geht's auch mit DANE / HPKP mit entsprechender Laufzeit, dass man nicht ständig am DNS drehen muss um die Einträge zu aktualisieren.
Re: Freie / kostenlose SSL Zertifikate
Ich nutze aktuell ebenfalls Letsencrypt mittels des certbot und darüber stülpe ich noch meinen selbstgebastelteten Wrapper um meine eigene Ablagestruktur, CSR und weitere Features verwenden zu können.
Der Wrapper ist primär für meine FreeBSD-Systeme ausgelegt, lässt sich aber mit etwas Shellscripting an jedes andere System anpassen.
Der Wrapper ist primär für meine FreeBSD-Systeme ausgelegt, lässt sich aber mit etwas Shellscripting an jedes andere System anpassen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Freie / kostenlose SSL Zertifikate
Was mich an certbot etwas stört, die Einstellung als tool.
Die Zertifikate werden auf einem LB Proxy benötigt, von dem System habe ich keinen Zugriff auf die Webspaces.
Das macht das generieren etwas umständlich und problematisch.
Kann man das auch irgendwie online einstellen?
Das mit Multidomain wäre nicht ganz unwichtig, oder ich muss mir nochmals Gedanken zur Konfiguration der Webservers / Proxy machen.
Ich habe dort nicht so viele IP Adressen frei, daher müsste ich mehrere Domains an eine IP binden können.
Die Zertifikate werden auf einem LB Proxy benötigt, von dem System habe ich keinen Zugriff auf die Webspaces.
Das macht das generieren etwas umständlich und problematisch.
Kann man das auch irgendwie online einstellen?
Das mit Multidomain wäre nicht ganz unwichtig, oder ich muss mir nochmals Gedanken zur Konfiguration der Webservers / Proxy machen.
Ich habe dort nicht so viele IP Adressen frei, daher müsste ich mehrere Domains an eine IP binden können.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Freie / kostenlose SSL Zertifikate
Hi,
falls darüber die Kontrolle besteht, die Zertifizierung geht auch per DNS. Das mache ich für ein paar Mailserver so, wo kein Webserver installiert ist und auch keiner drauf kommt.
Das wäre vielleicht noch eine Option.
Die Alternative wäre die .well_known URL's auf dem LB umzuschreiben, womit man natürlich in Kunden-Traffic eingreift.
Ein funktionierendes Web-Interface kenne ich bisher nicht, da die Authentifizierung wohl (bisher) entweder per HTTP oder DNS abläuft und man damit bei sich etwas einrichten muss oder lässt.
falls darüber die Kontrolle besteht, die Zertifizierung geht auch per DNS. Das mache ich für ein paar Mailserver so, wo kein Webserver installiert ist und auch keiner drauf kommt.
Das wäre vielleicht noch eine Option.
Die Alternative wäre die .well_known URL's auf dem LB umzuschreiben, womit man natürlich in Kunden-Traffic eingreift.
Ein funktionierendes Web-Interface kenne ich bisher nicht, da die Authentifizierung wohl (bisher) entweder per HTTP oder DNS abläuft und man damit bei sich etwas einrichten muss oder lässt.
Re: Freie / kostenlose SSL Zertifikate
Kommt darauf an, wie die Kontrolle aussehen müsste.
Unsere Domains finden sich auf: inwx.
Wir können also alles machen, was dort möglich ist. einen eigenen DNS haben wir nicht.
Wir werden wohl die Webspaces auch auf dem Proxy mounten und dort die notwendigen Dateien anlegen.
Oder wir machen die Strecke Webserever / Letsencrypt auf und erstellen die Zertifikate dort.
Beides ist nicht wirklich gewollt aber temporär denkbar.
Unsere Domains finden sich auf: inwx.
Wir können also alles machen, was dort möglich ist. einen eigenen DNS haben wir nicht.
Wir werden wohl die Webspaces auch auf dem Proxy mounten und dort die notwendigen Dateien anlegen.
Oder wir machen die Strecke Webserever / Letsencrypt auf und erstellen die Zertifikate dort.
Beides ist nicht wirklich gewollt aber temporär denkbar.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Freie / kostenlose SSL Zertifikate
Hi,
mein Setup nutzt die DNS Verifikation - die fertigen Zertifikate verteile ich dann manuell und starte die Dienste durch. Beim Script habe ich einen Wrapper davorgehängt, der ein dynamisches DNS Update via rndc erlaubt für die notwendigen _acme-challenge Einträge und die dann, wenn alles fertig ist, wieder raus eitert.
Allerdings nutze ich dehydrated (findet sich in den Ports) als Client.
Für die 2 URL's wo ich keine Kontrolle über das DNS habe und nur per Web-Interface aktualisieren könnte, wird auf dem Reverse-Proxy das .well-known Verzeichnis für die Challenge per Alias eingebunden wenn benötigt und dann wieder rausgenommen, wenn alles durch ist.
Mit ein wenig "Zauber" hinten dran werden dann, für beide Setups, noch die DNS Einträge aktualisiert die eher statisch sind (DANE, TLSA, HPKP).
Einzig via Cron lasse ich das Ganze nicht durchführen, automatisiert Dienste durchstarten ist nicht so meins.
Läuft im Prinzip für DNS:
.acme-challenge Einträge erstellen -> dehydrated aufrufen mit Wrapper für nsupdate -> Zertifikate neu ausstellen -> via nsupdate die .acme-challenge Einträge wieder raus
Dann die fertigen Zertifikate - hier habe ich mir ein Script gebastelt, an Ort und Stelle kopieren und via graceful / reload / restart den jeweiligen Diensten einen sanften Tritt geben.
Für HTTP:
alias im Reverse Proxy aktvieren -> dehydrated via HTTP Challenge und jeweiliges Verzeichnis -> Zertifikate -> usw. usw. -> alias im Reverse Proxy wieder deaktivieren, was gleich mit dem Reload für die neuen Zertifikate mit gemacht wird
Je nach Anzahl, beim DNS sind es ca. 15, beim HTTP nur 6, dauert das Ganze ein paar Sekunden.
mein Setup nutzt die DNS Verifikation - die fertigen Zertifikate verteile ich dann manuell und starte die Dienste durch. Beim Script habe ich einen Wrapper davorgehängt, der ein dynamisches DNS Update via rndc erlaubt für die notwendigen _acme-challenge Einträge und die dann, wenn alles fertig ist, wieder raus eitert.
Allerdings nutze ich dehydrated (findet sich in den Ports) als Client.
Für die 2 URL's wo ich keine Kontrolle über das DNS habe und nur per Web-Interface aktualisieren könnte, wird auf dem Reverse-Proxy das .well-known Verzeichnis für die Challenge per Alias eingebunden wenn benötigt und dann wieder rausgenommen, wenn alles durch ist.
Mit ein wenig "Zauber" hinten dran werden dann, für beide Setups, noch die DNS Einträge aktualisiert die eher statisch sind (DANE, TLSA, HPKP).
Einzig via Cron lasse ich das Ganze nicht durchführen, automatisiert Dienste durchstarten ist nicht so meins.
Läuft im Prinzip für DNS:
.acme-challenge Einträge erstellen -> dehydrated aufrufen mit Wrapper für nsupdate -> Zertifikate neu ausstellen -> via nsupdate die .acme-challenge Einträge wieder raus
Dann die fertigen Zertifikate - hier habe ich mir ein Script gebastelt, an Ort und Stelle kopieren und via graceful / reload / restart den jeweiligen Diensten einen sanften Tritt geben.
Für HTTP:
alias im Reverse Proxy aktvieren -> dehydrated via HTTP Challenge und jeweiliges Verzeichnis -> Zertifikate -> usw. usw. -> alias im Reverse Proxy wieder deaktivieren, was gleich mit dem Reload für die neuen Zertifikate mit gemacht wird
Je nach Anzahl, beim DNS sind es ca. 15, beim HTTP nur 6, dauert das Ganze ein paar Sekunden.