HTTPS certifikát v lokální síti

HTTPS certifikát v lokální síti
« kdy: 30. 03. 2024, 14:23:47 »
Pouzival som freenom, ktory zrusil vsetky free domeny. Chcel by som si tieto domeny zachovat v lokalnej sieti. Certifikat pouzivam od LE. Zatial vsetko funguje OK, pretoze cerifikat expiruje zajtra. Ake mam moznosti aby to fungovalo dalej v LAN a aby to normalne akceptovali prehliadace (bez zasahu do prehliadacov).
Samozrejme, ze LE uz dalsi cert. nevida, ked neexistuje verejna domena.


Re:HTTPS certifikát v lokální síti
« Odpověď #1 kdy: 30. 03. 2024, 21:42:40 »
Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:HTTPS certifikát v lokální síti
« Odpověď #2 kdy: 31. 03. 2024, 01:40:09 »
Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.
Pokud se ale situace za poslednich par let neznenila, tak prohlizece brali duveryhodne certifikacni autority z OS (s vyjimkou Firefoxu, kde byl vychozi, tusim  certiface store prohlizece)...

Zopper

  • *****
  • 812
    • Zobrazit profil
Re:HTTPS certifikát v lokální síti
« Odpověď #3 kdy: 31. 03. 2024, 07:29:17 »
Počítá se vytvoření vlastní soukromé CA a instalace jejího certifikátu do systému jako zásah do prohlížeče, nebo ne?  Takové self-signed na steroidech, kdy si nic nestěžuje (pokud to má ten CA cert).

Re:HTTPS certifikát v lokální síti
« Odpověď #4 kdy: 31. 03. 2024, 07:55:45 »
Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.
Pokud se ale situace za poslednich par let neznenila, tak prohlizece brali duveryhodne certifikacni autority z OS (s vyjimkou Firefoxu, kde byl vychozi, tusim  certiface store prohlizece)...
Firefoxu můžete říct, že má ke svému certicate storu přidat důvěryhodné CA ze systému několika způsoby. To se hodí nejen pro vlastní CA, ale i pro takové Post Signum.


Re:HTTPS certifikát v lokální síti
« Odpověď #5 kdy: 31. 03. 2024, 08:54:34 »
Ahoj, za me mas dve moznosti a obe nejsou jednoduche na nasazeni behem minuty.
Jako CA muzes mit bud open ssl, nebo windows AD Cs nebo s super nastroj v GUI jmenem XCA.
Pokud mas windows, pak pomoci GPO nadistribuujes CA a s ADCS lze i automaticky vydavat.
Na linuxu distribuci udelas pokud vim jen dalsimi nastroji.
Distribuci na stoije tedy pro zacatek rucne.

Re:HTTPS certifikát v lokální síti
« Odpověď #6 kdy: 02. 04. 2024, 10:29:43 »
Pustil som sa teda do mkcert. Ano je to jednoduche a cert je vygenerovany okamzite. Nahodil som cesty do nginx.
Uz len potrebujem preniest CA do systemu na inych PC v LAN sieti a to mi akosi nejde.
Pokial som to dobre pochopil, tak defaultne sa CA (kvazi) na servery ulozi do
Kód: [Vybrat]
mkcert -CAROOT
Kód: [Vybrat]
/home/user/.local/share/mkcertNa inkriminovanych PC, kde chcem aby jej doverovali (hlavne) prehliadace, tak tiez nainstalujem mkcert + doinstalujem
Kód: [Vybrat]
sudo apt install libnss3-toolsRucne som skopiroval zo servera
Kód: [Vybrat]
/home/user/.local/share/mkcert/rootCA.pem/Na klientovi
Kód: [Vybrat]
sudo mkcert -install
The local CA is already installed in the system trust store! 👍
ERROR: no Firefox and/or Chrome/Chromium security databases found
Obsah CA, ktory som skopiroval zo servera som prepisal na klientovi
Kód: [Vybrat]
/home/user/.local/share/mkcert/rootCA.pem/znova som spustil
Kód: [Vybrat]
sudo mkcert -install
The local CA is already installed in the system trust store! 👍
ERROR: no Firefox and/or Chrome/Chromium security databases found
Ale nebola najdena DB pre FF a chrome


Re:HTTPS certifikát v lokální síti
« Odpověď #7 kdy: 02. 04. 2024, 10:48:44 »
Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu a chtěl bych ho přepnout na https. Vytvořit si vlastní CA bych zvládl, na Linuxu si ji přidám. Ale když mám několik uživatelů s Androidem, tak musím také obíhat jejich telefony a nějak jim tam přidávat svoji CA? Nebo existuje nějaké víc user-friendly řešení?

Re:HTTPS certifikát v lokální síti
« Odpověď #8 kdy: 02. 04. 2024, 10:54:58 »
Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu a chtěl bych ho přepnout na https. Vytvořit si vlastní CA bych zvládl, na Linuxu si ji přidám. Ale když mám několik uživatelů s Androidem, tak musím také obíhat jejich telefony a nějak jim tam přidávat svoji CA? Nebo existuje nějaké víc user-friendly řešení?

Bez centralizovane administrace zarizeni nelze pouzit jiny postup, nez provest akci rucne.
Nebo si proste poridit verejnou domenu.

Re:HTTPS certifikát v lokální síti
« Odpověď #9 kdy: 02. 04. 2024, 15:24:54 »
Jaká je tedy momentálně best practice?
Mít veřejnou doménu. Běžné veřejné domény v TLD .cz nebo .eu pořídíte do 20 Kč za měsíc, různé domény třetího řádu i levněji nebo dokonce zdarma.

Re:HTTPS certifikát v lokální síti
« Odpověď #10 kdy: 02. 04. 2024, 16:01:53 »
OT: Ja som kupil minuly rok domenu druheho radu za 0.24€/mes na cloudflare. Teraz pozeram, ze uz isli cenou hore.

Re:HTTPS certifikát v lokální síti
« Odpověď #11 kdy: 02. 04. 2024, 17:23:01 »
CA mkcert som si pridal rucne do G-chromu/chromiu a firefoxu, cize je to vyriesene. Zaujmalo by ma ako by som to pridal do systemu.

Zopper

  • *****
  • 812
    • Zobrazit profil
Re:HTTPS certifikát v lokální síti
« Odpověď #12 kdy: 02. 04. 2024, 20:57:54 »
Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu .... Nebo existuje nějaké víc user-friendly řešení?

Best practice a nejvíc user i admin friendly v tomhle případě bude instalace nginx-proxy-manager addonu, doména s DNS serverem třeba u cloudflare nebo jiného podporovaného providera s API, a Let's Encrypt certifikát vystavený přes DNS challenge, takže není třeba vystrkovat žádné zařízení do internetu.

Je to všechno na pár kliknutí a výsledek je obnovovaný certifikát platný ve všech zařízeních. Jen tam je ta podmínka nějaké koupené domény. .CZ stojí nějakých 150-180 korun ročně myslím.

Re:HTTPS certifikát v lokální síti
« Odpověď #13 kdy: 02. 04. 2024, 21:58:09 »
Best practice a nejvíc user i admin friendly v tomhle případě bude instalace nginx-proxy-manager addonu
Ještě víc admin friendly bude Caddy server. HTTPS s Let's Encrypt to umí hned po startu bez jakékoli konfigurace, reverzní proxy přidáte jedním řádkem konfigurace (nebo dvěma parametry při startu), na ověřování certifikátů přes DNS jsou potřeba další 4 řádky konfigurace.

Zopper

  • *****
  • 812
    • Zobrazit profil
Re:HTTPS certifikát v lokální síti
« Odpověď #14 kdy: 03. 04. 2024, 14:31:24 »
Jak nginx proxy manager, tak Caddy, mají plugin pro HA, který vypadá, že je obsahuje všechno potřebné a "stačí zapnout." U nginx jsem po instalaci jen nastavil přes klikátko, co má přes proxy překládat na co a že doména je u cloudflare, tady je api klíč. Nedokážu si představit, že by to Caddy pro DNS challenge dokázal nějak dál zjedodušit. Hlavní rozdíl asi je, že v Caddy se to zřemě dělá přes config místo přes klikátko, což je spíš otázka osobního vkusu (osobně mi klikátko přijde lepší, pokud se tomu nástroji člověk nevěnuje nějak víc), a že nginx je přímo v core addonech, zatímco Caddy je v HASSIO.

A tak jako tak bude v HA configu potřeba povolit proxy požadavky se správnou IP, jinak to bude HA zahazovat.