HTTPS certifikát v lokální síti

[darebacik]

Pouzival som freenom, ktory zrusil vsetky free domeny. Chcel by som si tieto domeny zachovat v lokalnej sieti. Certifikat pouzivam od LE. Zatial vsetko funguje OK, pretoze cerifikat expiruje zajtra. Ake mam moznosti aby to fungovalo dalej v LAN a aby to normalne akceptovali prehliadace (bez zasahu do prehliadacov).
Samozrejme, ze LE uz dalsi cert. nevida, ked neexistuje verejna domena.

[Reklama]

[Filip Jirsák]

Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.

[robac]

Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.

Pokud se ale situace za poslednich par let neznenila, tak prohlizece brali duveryhodne certifikacni autority z OS (s vyjimkou Firefoxu, kde byl vychozi, tusim  certiface store prohlizece)...

[Zopper]

Počítá se vytvoření vlastní soukromé CA a instalace jejího certifikátu do systému jako zásah do prohlížeče, nebo ne?  Takové self-signed na steroidech, kdy si nic nestěžuje (pokud to má ten CA cert).

[BobTheBuilder]

Prohlížeče (bez dodatečného zásahu) akceptují jen certifikáty vystavené důvěryhodnými certifikačními autoritami. Důvěryhodné certifikační autority vám vystaví jen certifikát k doméně, u které prokážete její vlastnictví. Takže když tu doménu nevlastníte, možnosti nemáte žádné.

Pokud se ale situace za poslednich par let neznenila, tak prohlizece brali duveryhodne certifikacni autority z OS (s vyjimkou Firefoxu, kde byl vychozi, tusim  certiface store prohlizece)...

Firefoxu můžete říct, že má ke svému certicate storu přidat důvěryhodné CA ze systému několika způsoby. To se hodí nejen pro vlastní CA, ale i pro takové Post Signum.

[Reklama]

[lordrak]

Ahoj, za me mas dve moznosti a obe nejsou jednoduche na nasazeni behem minuty.
Jako CA muzes mit bud open ssl, nebo windows AD Cs nebo s super nastroj v GUI jmenem XCA.
Pokud mas windows, pak pomoci GPO nadistribuujes CA a s ADCS lze i automaticky vydavat.
Na linuxu distribuci udelas pokud vim jen dalsimi nastroji.
Distribuci na stoije tedy pro zacatek rucne.

[darebacik]

Pustil som sa teda do mkcert. Ano je to jednoduche a cert je vygenerovany okamzite. Nahodil som cesty do nginx.
Uz len potrebujem preniest CA do systemu na inych PC v LAN sieti a to mi akosi nejde.
Pokial som to dobre pochopil, tak defaultne sa CA (kvazi) na servery ulozi do

Kód: [Vybrat]

mkcert -CAROOT

Kód: [Vybrat]

/home/user/.local/share/mkcertNa inkriminovanych PC, kde chcem aby jej doverovali (hlavne) prehliadace, tak tiez nainstalujem mkcert + doinstalujem

Kód: [Vybrat]

sudo apt install libnss3-toolsRucne som skopiroval zo servera

Kód: [Vybrat]

/home/user/.local/share/mkcert/rootCA.pem/Na klientovi

Kód: [Vybrat]

sudo mkcert -install
The local CA is already installed in the system trust store! 👍
ERROR: no Firefox and/or Chrome/Chromium security databases foundObsah CA, ktory som skopiroval zo servera som prepisal na klientovi

Kód: [Vybrat]

/home/user/.local/share/mkcert/rootCA.pem/znova som spustil

Kód: [Vybrat]

sudo mkcert -install
The local CA is already installed in the system trust store! 👍
ERROR: no Firefox and/or Chrome/Chromium security databases foundAle nebola najdena DB pre FF a chrome

[wsh wsh]

Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu a chtěl bych ho přepnout na https. Vytvořit si vlastní CA bych zvládl, na Linuxu si ji přidám. Ale když mám několik uživatelů s Androidem, tak musím také obíhat jejich telefony a nějak jim tam přidávat svoji CA? Nebo existuje nějaké víc user-friendly řešení?

[czechsys]

Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu a chtěl bych ho přepnout na https. Vytvořit si vlastní CA bych zvládl, na Linuxu si ji přidám. Ale když mám několik uživatelů s Androidem, tak musím také obíhat jejich telefony a nějak jim tam přidávat svoji CA? Nebo existuje nějaké víc user-friendly řešení?

Bez centralizovane administrace zarizeni nelze pouzit jiny postup, nez provest akci rucne.
Nebo si proste poridit verejnou domenu.

[Filip Jirsák]

Jaká je tedy momentálně best practice?

Mít veřejnou doménu. Běžné veřejné domény v TLD .cz nebo .eu pořídíte do 20 Kč za měsíc, různé domény třetího řádu i levněji nebo dokonce zdarma.

[darebacik]

OT: Ja som kupil minuly rok domenu druheho radu za 0.24€/mes na cloudflare. Teraz pozeram, ze uz isli cenou hore.

[darebacik]

CA mkcert som si pridal rucne do G-chromu/chromiu a firefoxu, cize je to vyriesene. Zaujmalo by ma ako by som to pridal do systemu.

[Zopper]

Jaká je tedy momentálně best practice? Mám Home Assistent běžící v docker kontejneru na Turrisu .... Nebo existuje nějaké víc user-friendly řešení?

Best practice a nejvíc user i admin friendly v tomhle případě bude instalace nginx-proxy-manager addonu, doména s DNS serverem třeba u cloudflare nebo jiného podporovaného providera s API, a Let's Encrypt certifikát vystavený přes DNS challenge, takže není třeba vystrkovat žádné zařízení do internetu.

Je to všechno na pár kliknutí a výsledek je obnovovaný certifikát platný ve všech zařízeních. Jen tam je ta podmínka nějaké koupené domény. .CZ stojí nějakých 150-180 korun ročně myslím.

[Filip Jirsák]

Best practice a nejvíc user i admin friendly v tomhle případě bude instalace nginx-proxy-manager addonu

Ještě víc admin friendly bude Caddy server. HTTPS s Let's Encrypt to umí hned po startu bez jakékoli konfigurace, reverzní proxy přidáte jedním řádkem konfigurace (nebo dvěma parametry při startu), na ověřování certifikátů přes DNS jsou potřeba další 4 řádky konfigurace.

[Zopper]

Jak nginx proxy manager, tak Caddy, mají plugin pro HA, který vypadá, že je obsahuje všechno potřebné a "stačí zapnout." U nginx jsem po instalaci jen nastavil přes klikátko, co má přes proxy překládat na co a že doména je u cloudflare, tady je api klíč. Nedokážu si představit, že by to Caddy pro DNS challenge dokázal nějak dál zjedodušit. Hlavní rozdíl asi je, že v Caddy se to zřemě dělá přes config místo přes klikátko, což je spíš otázka osobního vkusu (osobně mi klikátko přijde lepší, pokud se tomu nástroji člověk nevěnuje nějak víc), a že nginx je přímo v core addonech, zatímco Caddy je v HASSIO.

A tak jako tak bude v HA configu potřeba povolit proxy požadavky se správnou IP, jinak to bude HA zahazovat.