SSL certifikáty pro „krabičky“

Franta Vomáčka

SSL certifikáty pro „krabičky“
« kdy: 09. 07. 2018, 14:17:23 »
Řešil někdo, jak se zbavit otravých, a stále dotěrnějších hlášení o neplatnosti certifikátu? Dříve jsem používal self signed a importovanou autoritu, ale už to moc nejde.
Jde mi o různá zařízení - interní servery s linuxem, router s openwrt, pfsense, atd...

Dík
« Poslední změna: 09. 07. 2018, 15:30:43 od Petr Krčmář »


Dr. Grouber

Re:SSL certifikáty pro "krabičky"
« Odpověď #1 kdy: 09. 07. 2018, 14:42:01 »
Ano, řešili. Existuje služba Let's Encrypt, která umí automaticky a zadarmo vygenerovat certifikát pro libovolné doménové jméno, které správce ovládá. Pokud je krabička dost chytrá, může si o něj požádat sama. Pokud není, může za ni požádat třeba web server někde jinde, který pak certifikát do hloupé krabičky vloží. Dělám to tak třeba s routery od MikroTiku.

Re:SSL certifikáty pro "krabičky"
« Odpověď #2 kdy: 09. 07. 2018, 15:03:00 »
Ještě doplním, že domény pro Let's Encrypt lze ověřovat i čistě přes DNS, takže není potřeba nai ten web server. Takže stačí mít veřejnou doménu a umět do ní vložit správné TXT záznamy.

SmEjDIL

Re:SSL certifikáty pro "krabičky"
« Odpověď #3 kdy: 09. 07. 2018, 15:04:45 »
U pfSense to mam poresene, za predpokladu, ze je to router co vidi do internetu. ACME a metoda DNS-Update.

https://www.root.cz/clanky/firewall-pfsense-podpora-let-s-encrypt/

Takto ziskany cert muzu pouzit v kombinaci s HAProxy ... Takze u necho co je ve vnitrni siti za HAProxy.

Re:SSL certifikáty pro "krabičky"
« Odpověď #4 kdy: 09. 07. 2018, 15:15:10 »
Dříve jsem používal self signed a importovanou autoritu, ale už to moc nejde.

Proč to nejde? Používám vlastní autoritu, RootCRT mám naimportovaný v prohlížečích a generuju crt pro device. Je to trochu opruz, protože prohlížeče se rozhodly ignorovat common name a je potřeba dávat parametr DNS, ale nic složitýho.


jeniceek

Re:SSL certifikáty pro „krabičky“
« Odpověď #5 kdy: 09. 07. 2018, 15:50:58 »
Je potřeba přidat X509v3 extensiony a v nich všechna doménová jména cpát do DNS, pak to funguje. Ještě je pak potřeba dát si pozor, ať koncový certifikát nemá možnost být certifikační autoritou, Firefox takový certifikát ignoruje.

Pěkný návod např. tady
https://deliciousbrains.com/ssl-certificate-authority-for-local-https-development/

karlik

Re:SSL certifikáty pro „krabičky“
« Odpověď #6 kdy: 09. 07. 2018, 17:05:47 »
V tom [alt_names] mám pro IP adresu řádek: IP.1 = 192.xxx.x.x, pak to funguje i na IP adresu.
Zajímavé je, že Firefox ve Windows standardně ignoruje systémové certifikáty.
Je potřeba to explicitně povolit v about:config nebo naimportovat kořenový certifikát přímo do Firefoxu.
Pak to ovšem nefunguje v jiných webových prohlížečích...  :)

Re:SSL certifikáty pro „krabičky“
« Odpověď #7 kdy: 09. 07. 2018, 19:27:12 »
LE s DNS je samozřejmě řešení, pokud Vám nevadí, že v kritické infrastruktůře ( DNS ) se Vám hrabe nějaký skript. Ano, může to pracovat jen s potřebnou subdoménou co se oddeleguje do samostatné zóny, ale stejně ... prostě je mi to nějak proti srsti.

Já to řeším tak, že mám svojí CA kterou podepisuju tyhle certifikáty. CA naimportuju na těch pár zařízení kde potřebuju mít tyhle interní věci funkční.

Mnohem elegantnější řešení by bylo DANE/TLSA  ... ale podpora na straně klientů je prakticky nulová.

Re:SSL certifikáty pro „krabičky“
« Odpověď #8 kdy: 09. 07. 2018, 20:00:40 »
LE s DNS je samozřejmě řešení, pokud Vám nevadí, že v kritické infrastruktůře ( DNS ) se Vám hrabe nějaký skript.
Ten skript se nepotřebuje v DNS nijak hrabat, potřebuje pouze oprávnění k publikování TXT záznamů ve tvaru _acme-challenge.*. K ničemu jinému mu práva dávat nemusíte.

Re:SSL certifikáty pro „krabičky“
« Odpověď #9 kdy: 10. 07. 2018, 19:24:24 »
LE s DNS je samozřejmě řešení, pokud Vám nevadí, že v kritické infrastruktůře ( DNS ) se Vám hrabe nějaký skript.
Ten skript se nepotřebuje v DNS nijak hrabat, potřebuje pouze oprávnění k publikování TXT záznamů ve tvaru _acme-challenge.*. K ničemu jinému mu práva dávat nemusíte.

Taková drobnost .... a jaké nameservery mají prosím nativně podporované API, které umožňuje takové ACL definovat ? Bind ? Knot ? PowerDNS ?

Re:SSL certifikáty pro „krabičky“
« Odpověď #10 kdy: 10. 07. 2018, 20:32:11 »
Taková drobnost .... a jaké nameservery mají prosím nativně podporované API, které umožňuje takové ACL definovat ? Bind ? Knot ? PowerDNS ?
Nevím. Ale nevím, proč by to měl nativně podporovat DNS server.

Jenda

Re:SSL certifikáty pro „krabičky“
« Odpověď #11 kdy: 11. 07. 2018, 02:13:15 »
Taková drobnost .... a jaké nameservery mají prosím nativně podporované API, které umožňuje takové ACL definovat ? Bind ? Knot ? PowerDNS ?
Nezkoušel jsem to, ale nešlo by v Bindu
Kód: [Vybrat]
update-policy { grant "remote-key" name _acme-challenge.example.com TXT;};
?