Důvěryhodný certifikát v rámci LAN

[darebacik]

Nerad by som vytvaral okolo toho problemy.
Napisal som, ze domena ma byt v LAN. Tu LAN napr. nikdy nepripojim k internetu. DNS je lokalny. Cize aj keby som v LAN vytvoril root.cz (bol by to falosny web, ale bol by len v LAN) a pouzil by som cert z inej verejnej domeny (pretoze doveryhodny cert pre neverejnu domenu LE nevystavi), tak ci by to fungovalo. Chcem vediet ci to web prehliadac zhltne.

Vnutri LAN a s lokalnym DNS mozem vytvarat domeny ake chcem, aj tie co uz existuju na internete.

[Reklama]

[Tomas-T]

Prohlížeči je to jedno.
Ale nezískáš od žádné CA důvěryhodný certifikát pro doménu, kterou nevlastníš - takže root.cz tam nebude (pokud ti ho mailem nepošle třeba Petr Krčmář). 

[jjrsk]

Ten priklad nedava zmysel. ...

Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?

To je tak, kdyz si nekdo neprecte dotaz ze? A kupodivu pokud chces komunikaci sifrovat, potrebujes nejaky certifikat. Ja vim, je to zcela nepochopitelny. Ze se nekdo treba pres wifi chce pripojit i treba sifrovane ...

...

Certifikat se typicky vydava na nejaky DNS nazev, muze jich obsahovat vic, nebo muze byt "hvezdickovy" (*.domena.cz) tzn, bude OK pro libovolny nazev v ramci te domeny. Certifikat lze vystavit i na IP, ale nedoporucuje se to.

Pokud se budem bavit o Le, cert si muzes nechat vystavit kdekoli mimo sit, pokud mas pristup k prislusne domene. Nepotrebujes byt jeji majitel. Za normalnich okolnosti potrebujes mit pristup k dns nebo webserveru. Pak si ho dovnitr muzes prinest klidne na flashce. Nepotrebujes mit sit na intenetu. Jinde (za penize) ti muze staci email na dane domene.

Pokud nechces verejny cert, tak muzes mit privatni, ale pak ho nejake musis dostat do stanic, ktere mu maji verit (pripadne ti budou vice nebo mene protestovat, proti zcela duveryhodnemu typicky selfsign certifikatu).

At tak ci onak, pocitej s tim, ze cen cert budes muset vymenovat. A to cim dal castejs.

... root.cz (bol by to falosny web, ale bol by len v LAN) a pouzil by som cert z inej verejnej domeny (pretoze doveryhodny cert pre neverejnu domenu LE nevystavi), tak ci by to fungovalo. ...

Presne tohle by nefungovalo vubec, a zadnej svepravnej browser by ti nedal ani moznost souhlasit s vyjimkou. Domena je napsana a podepsana v tom certifikatu.

Vyrob si selfsign certifikat, a v prohlizeci az si bude stezovat potvrd, ze chces ulozit trvalou vyjimku. Pro tebe cesta nejmensiho odporu.

[AgentK]

Pokud je to izolovana sit, nedava mi osobne smysl chtit verejny certifikat.

Jediny _rozumny_ reseni, ktery ale nesplnuje puvodni zadani, je mit vlastni CA, kterou naimportujes do prohlizece, nebo do systemu. Je to par kliknuti, ktery nikoho nezabije.

[FKoudelka]

Pokud je to izolovana sit, nedava mi osobne smysl chtit verejny certifikat.

Jediny _rozumny_ reseni, ktery ale nesplnuje puvodni zadani, je mit vlastni CA, kterou naimportujes do prohlizece, nebo do systemu. Je to par kliknuti, ktery nikoho nezabije.

no dyť to píšu :-)

[Reklama]

[robac]

Mozna jsem mene chapavy, ale jedine dva duvody pro sit oddelenou od internetu vidim:

• (oduvodnene) bezpecnostni pozadavky,
• namam na to pripojeni penize.

Druhou moznosti se zabyvat nebudu a s prvni mi nekoreluje zadani (neexistujici segmentace site, server v uzivatelske LAN).

[vojthor]

Asi týden zpátky jsem doma "vyráběl" tohle a funguje super!
https://smallstep.com/blog/build-a-tiny-ca-with-raspberry-pi-yubikey/

[František Ryšánek]

Asi týden zpátky jsem doma "vyráběl" tohle a funguje super!
https://smallstep.com/blog/build-a-tiny-ca-with-raspberry-pi-yubikey/

...jako chválím pečlivý a zapálený přístup, ale není to trochu přes koleno, na takové to domácí žvýkání?
Nechtěl jsem prudit složitým postupem, ale než výše uvedené, nevychází nakonec jako jednodušší sada shellových skriptů EasyRSA, příbalová to součást OpenVPN ?
Případně, nemá někdo "EasyRSA v housce", jako že klikačku s webovým rozhraním?

[M_D]

Případně, nemá někdo "EasyRSA v housce", jako že klikačku s webovým rozhraním?

Housko web vyloženě ne, ale manuální jabko-win štrůdl apka plnící roli CA a používaná přesně na takové izolované síti:  https://hohnstaedt.de/xca/

[Wasper]

• (oduvodnene) bezpecnostni pozadavky,

Druhou moznosti se zabyvat nebudu a s prvni mi nekoreluje zadani (neexistujici segmentace site, server v uzivatelske LAN).

Ale tohle je základní nepochopení bezpečnosti. Na nádražní hajzlíky na vesnici nedám pancéřové dveře, ani zabezpečovačku, ale stejně je budu v době, když je nádraží zavřené zamykat. Proč? Protože chráněná aktíva jsou malá (někdo vykoná potřebu neoprávněně je haléřová položka, maximálně tam může vandal způsobit škodu rozbitím hajzlíku v hodnotě tisícovky v OBI), přesto kdybych to nechal otevřené, tak tam nejspíš bude naděláno od fetek a opilců.

To samé co se týče lokální sítě. Vystrčit cokoli ven do Intrnetu je holý nerozum (pokud to člověk opravdu nepotřebuje, a současně ví co dělá). Když vystrčím server ven, mám tu najednou proti sobě pár miliard potenciálních útočníků, mraky scriptů, každá chyba/0-day/cokoli může být malér.
Na stranu druhou, domácí síť mám obvykle pár trusted lidí, kterým, pravda, se samozřejmě nedá úplně věřit, že někam nekliknou kam nemaj. Ale na tohle obvykle stačí mít rozumně práva na NASce, a riziko je celkem malé (v porovnání s tím vystrčením ven - někdo si musí zabreberkovat PC, současně ta breberka se musí umět na tu NASku dostat a současně na ní musí být nezáplatovaná vulnerabilita).

BTW ono ani ta segmentace není všespásná, zvlášť když ty (potenciálně zabreberkované) užovky stejně na ten server musí mít prostup, a dávat domů IPS je poněkud nereálné.

BTW já tohle řešil vždycky CA, co je součástí OpenSSL (nebo alespoň bejvala, CA.sh nebo CA.pl na vygenerování samotné CA, zbytek klasika openssl keygen, openssl x509, openssl ca)

[František Ryšánek]

BTW já tohle řešil vždycky CA, co je součástí OpenSSL (nebo alespoň bejvala, CA.sh nebo CA.pl na vygenerování samotné CA, zbytek klasika openssl keygen, openssl x509, openssl ca)

No vždyť to EasyRSA je kolem binárů openssl jenom taková skriptovaná skořápka.