Forum Debian Users Gang

lis6502 · 2018-04-17 19:37:03

Mam kilka usług w swoim lanie obsługiwanych przez przeglądarkę.
W ramach ćwiczeń i "bo chcę", chciałbym pozbyć się samopodpisanych certyfikatów i zastąpić je jakimiś legitnymi, uznawanymi "na świecie".
Ale może źle kombinuję? Może lepiej byłoby zrobić własne CA i poinstalować root certyfikaty do wszystkich urządzeń które mam w lanie? Do każdej przeglądarki?
Jak to się robi profesjonalnie?
ed: w grę wchodziłyby przeglądarki pod windowsa, linuksa i androida.

Ostatnio edytowany przez lis6502 (2018-04-17 19:37:41)

Jacekalex · 2018-04-17 20:04:38

Letsencrypt dotyczy domeny, jeśli domena przez plik hosts jest kierowana na adres lokalny, choćby to był nawet 127.0.0.1, problemu z tym nie ma.

Własne CA, też dobry pomysł, tylko roboty z kopiowaniem tych certów CA więcej.
Zależy, ile tys hektarów obejmuje Twój lan.

Oczywiście domena to coś, co trzeba kupić, i odnawiać co jakiś czas.

morfik · 2018-04-17 20:42:22

Ja bym sobie stworzył debianowe repo udostępniane w LAN i do niego rzucił paczkę deb i w niej certa do łatwej instalacji w systemie, choć to rozwiązanie jest chyba tylko linux friendly. xD

lis6502 · 2018-04-17 20:49:27

Mogliśmy się nie zrozumieć ;)
"posiadam" domenę .stacyjkowo
Ot tak se wymyśliłem i skonfigurowałem w serwerze DNS na routerze łączącym lan z wanem.
Domyślam się że nie jest to rozwiązanie polecane przez poradniki dla młodych sieciuchów, niemniej pasuje mi konwencja że openmediavault.org kieruje mnie do oficjalnej strony dystrybucji, a openmediavault.stacyjkowo trafia na moją lokalną instancję ;)
Nie wnikając w topologię mojej sieci, mam na tę chwilę trzy serwisy www które chciałbym "owinąć" w SSL. Dojdzie jeszcze czwarty (lokalna instancja nextcloud'a przećwiczona na VM).
Docelowo, na samej górze będzie mi potrzebny cert do OpenVPN, bo chcę łączyć się ze stacyjkowem np z telefonu :)
Dlatego pytam Was jako bardziej doświadczonych i ogarniętych w tych materiach, bo ja całe życie jechałem na gołym http, ale czasy się zmieniają a ja nie chcę wypaść z obiegu ;)
@morfik: a jak rozwiązałbyś deployment CA na androidzie?

Ostatnio edytowany przez lis6502 (2018-04-17 20:50:44)

morfik · 2018-04-17 20:53:59

Na andku trzeba by ręcznie tego certa zainstalować. xD

lis6502 · 2018-04-17 23:46:18

Dobra, dzięki wszystkim miłościwie postującym za zainteresowanie, ogarnąłem wszystko jak zawsze po swojemu, niekoszernie i na okrętkę xD

Najpierw na firewallu zorganizowałem sobie dwa CA: pierwsze do podpisania drugiego.
Nie wiem skąd ten wymóg, ale przeglądarka mnie nie puszczała gdy końcowy cert był podpisany "jednopoziomowo".

Następnie, wygenerowałęm po jednym dla każdej webapki, podpisując drugim CA

Następnie pobrałem cert i klucz w formacie tekstowym i wrzuciłem do Openmediavault'a

Niestety, chrom na linuksie robiony był przez telefoni zabrakło żetonów: przeglądarka ignoruje /etc/certs/ssl, więc musiałem ręcznie wrzucić CA

Co ciekawe, na telefonie poszło znacznie prościej: pobrałem plik i domyślną aplikacją jest import certa

Cert też fajnie integruje się z OSem, bo wybieram czy ma odnosić się do wifi, czy reszty "szyfrowalnych" komponentów ;)

Potem tylko sprawdzenie czy wszystko jeździ jak należy

i w przeglądarce :)

Jeśli coś napisałem błędnie czy coś to piszcie od razu- to pierwszy raz kiedy bawię się z sslowaniem.