Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-04-17 19:37:03

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Mam kilka usług w swoim lanie obsługiwanych przez przeglądarkę.
W ramach ćwiczeń i "bo chcę", chciałbym pozbyć się samopodpisanych certyfikatów i zastąpić je jakimiś legitnymi, uznawanymi "na świecie".
Ale może źle kombinuję? Może lepiej byłoby zrobić własne CA i poinstalować root certyfikaty do wszystkich urządzeń które mam w lanie? Do każdej przeglądarki?
Jak to się robi profesjonalnie?
ed: w grę wchodziłyby przeglądarki pod windowsa, linuksa i androida.

Ostatnio edytowany przez lis6502 (2018-04-17 19:37:41)

Offline

 

#2  2018-04-17 20:04:38

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Letsencrypt dotyczy domeny, jeśli domena przez plik hosts jest kierowana na adres lokalny, choćby to był nawet 127.0.0.1, problemu z tym nie ma.

Własne CA, też dobry pomysł, tylko roboty z kopiowaniem tych certów CA więcej.
Zależy, ile tys hektarów obejmuje Twój lan.

Oczywiście domena to coś, co trzeba kupić, i odnawiać co jakiś czas.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2018-04-17 20:42:22

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Ja bym sobie stworzył debianowe repo udostępniane w LAN i do niego rzucił paczkę deb i w niej certa do łatwej instalacji w systemie, choć to rozwiązanie jest chyba tylko linux friendly. xD

Offline

 

#4  2018-04-17 20:49:27

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Mogliśmy się nie zrozumieć ;)
"posiadam" domenę .stacyjkowo
Ot tak se wymyśliłem i skonfigurowałem w serwerze DNS na routerze łączącym lan z wanem.
Domyślam się że nie jest to rozwiązanie polecane przez poradniki dla młodych sieciuchów, niemniej pasuje mi konwencja że openmediavault.org kieruje mnie do oficjalnej strony dystrybucji, a openmediavault.stacyjkowo trafia na moją lokalną instancję ;)
Nie wnikając w topologię mojej sieci, mam na tę chwilę trzy serwisy www które chciałbym "owinąć" w SSL. Dojdzie jeszcze czwarty (lokalna instancja nextcloud'a przećwiczona na VM).
Docelowo, na samej górze będzie mi potrzebny cert do OpenVPN, bo chcę łączyć się ze stacyjkowem np z telefonu :)
Dlatego pytam Was jako bardziej doświadczonych i ogarniętych w tych materiach, bo ja całe życie jechałem na gołym http, ale czasy się zmieniają a ja nie chcę wypaść z obiegu ;)
@morfik: a jak rozwiązałbyś deployment CA na androidzie?

Ostatnio edytowany przez lis6502 (2018-04-17 20:50:44)

Offline

 

#5  2018-04-17 20:53:59

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Na andku trzeba by ręcznie tego certa zainstalować. xD

Offline

 

#6  2018-04-17 23:46:18

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Dobra, dzięki wszystkim miłościwie postującym za zainteresowanie, ogarnąłem wszystko jak zawsze po swojemu, niekoszernie i na okrętkę xD

Najpierw na firewallu zorganizowałem sobie dwa CA: pierwsze do podpisania drugiego.
Nie wiem skąd ten wymóg, ale przeglądarka mnie nie puszczała gdy końcowy cert był podpisany "jednopoziomowo".
http://wstaw.org/m/2018/04/17/opnsense-auth_png_300x300_q85.jpg
Następnie, wygenerowałęm po jednym dla każdej webapki, podpisując drugim CA
http://wstaw.org/m/2018/04/17/opnsense-certs_png_300x300_q85.jpg
Następnie pobrałem cert i klucz w formacie tekstowym i wrzuciłem do Openmediavault'a
http://wstaw.org/m/2018/04/17/omv-cert_png_300x300_q85.jpg
Niestety, chrom na linuksie robiony był przez telefoni zabrakło żetonów: przeglądarka ignoruje /etc/certs/ssl, więc musiałem ręcznie wrzucić CA
http://wstaw.org/m/2018/04/17/hrom_png_300x300_q85.jpg
Co ciekawe, na telefonie poszło znacznie prościej: pobrałem plik i domyślną aplikacją jest import certa
http://wstaw.org/m/2018/04/17/Screenshot_20180417-232609_png_300x300_q85.jpg
Cert też fajnie integruje się z OSem, bo wybieram czy ma odnosić się do wifi, czy reszty "szyfrowalnych" komponentów ;)
http://wstaw.org/m/2018/04/17/Screenshot_20180417-232414_png_300x300_q85.jpg
Potem tylko sprawdzenie czy wszystko jeździ jak należy
http://wstaw.org/m/2018/04/17/Screenshot_20180417-232538_png_300x300_q85.jpg
i w przeglądarce :)
http://wstaw.org/m/2018/04/17/Screenshot_20180417-234351_png_300x300_q85.jpg
Jeśli coś napisałem błędnie czy coś to piszcie od razu- to pierwszy raz kiedy bawię się z sslowaniem.

Offline

 

#7  2018-04-18 09:43:44

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Certyfikaty SSL od np lets encrypt w sieci lokalnej.

Na domenę cośtam.stacyjkowo letsencrypta nie wygenerujesz, bo to nie jest poprawna domena, widoczna w DNS.
Pozostaje Ci tylko prywatny CA.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)