Let's Encrypt: Interne Serverkommunikation verschlüsseln?

Jump to last post
A

anony

Neu angemeldet
Registriert
30 Nov. 2014
Beiträge
47
Hi,

gibt es einen Weg,
You do not have permission to view link please Anmelden or Registrieren
-Zertifikate für Server zu beantragen, die nach außen nicht erreichbar sind?

Beispielsweise nur intern über server01.local o. ä... Weil normalerweise will LE ja irgendwie prüfen, ob der Server einem auch gehört - geht das auch anders?

Danke!!
 
Warum nimmst du da nicht einfach ein selbstsigniertes Zertifikat?

Wenn du einmal die CA aufgesetzt hast, ist der Rest eigentlich relativ easy.
 
You do not have permission to view link please Anmelden or Registrieren
local ist eh ne schlechte Idee wegen mDNS aka Avahi, nur fürs Protokoll :D

Du weißt das sicher, aber nicht dass einer auf die Idee kommt...
 
phre4k schrieb:
You do not have permission to view link please Anmelden or Registrieren
local ist eh ne schlechte Idee wegen mDNS aka Avahi, nur fürs Protokoll :D
Zum Vergrößern anklicken....
Um ehrlich zu sein, eigentlich habe ich so weit gar nicht gedacht. Das war mehr so eine ironische Frage. Ich glaube aber auch nicht, dass man eine .local Domain verifiziert bekommt. Dürfte schwer für LE werden den Host unter my.local zwecks Verifikation zu erreichen. ;)

Um aber noch mal genauer auf die Frage zu antworten: Eigentlich ist es schon möglich ein Zertifikat zu bekommen. Der Einsatzort des Zertifikats muss nicht zwangsweise der Ort sein, von dem aus du das Zertifikat beziehst. Also natürlich kannst du das Zertifikat von einem Host aus beziehen, der eine Internetverbindung hat und es anschließend auf den Host ohne Internetverbindung übertragen. Das müsste mittels manuellem Setup möglich sein. Allerdings brauchst du natürlich auch dafür die Domain. Es sei angemerkt, dass der Vorgang bei einer Gültigkeitsdauer von nur 90 Tagen und manuellem Setup dann doch recht aufwändig wird. Warum willst du das denn überhaupt? Vielleicht lässt sich dein Problem durch eine Änderung im Setup oder durch Alternativen ebenfalls lösen.
 
Zuletzt bearbeitet von einem Moderator:
Der Host mit Internetverbindung müsste aber den selben FQDN haben wie der Host ohne, also geht das schon mal nicht.

Ich bin immer noch für ne eigene CA, ist nicht so aufwendig.
 
Wieso sollte das nicht gehen? Der Online-Host bekommt natürlich die Domain zugewiesen und kann den Besitz gegenüber LE beweisen.
Der offline-Host kann natürlich im Netzwerk natürlich jede beliebige Domain zugewiesen bekommen. Einen unabhängigen DNS Server wird in dem Netzwerk nicht geben, sondern nur den, den der Administrator vorsetzt. Dieser DNS Server kann natürlich beliebig auflösen, also insbesondere auch die gewünschte Domain zum gewünschten offline-Host.
 
Zuletzt bearbeitet von einem Moderator:
Wenn du dem Server aber ne beliebige Domain gibst, wird das Zertifikat als ungültig erkannt ("diese Seite verwendet ein Zertifikat für eine andere Domain"), da die Let's Encrypt Certs doch domain validated sind oder nicht? Ist ja kein Wildcard.

Habe mich aber auch lange nicht mit Certs auseinandergesetzt, haben hier vor Ort ne eigene CA und ein Python-Script mit Konfigdatei, ich gebe nur den Hostnamen ein und bekomme ein CRT und Key...
 
Du hast deinen Online-Server. Dem weist du die Domain beispiel.tld zu. Von LE lässt du dir ein Zertifikat erstellen/ signieren. Dieses Zertifikat migrierst du auf einen Offline-Server. Wir sind uns einig, dass alles bis zu diesem Punkt problemlos möglich ist, oder?
Der Offline-Server bekommt innerhalb des Netzwerks, in dem er sich befindet die Domain beispiel.tld zugewiesen, das erreichst du, indem du innerhalb des Netzwerks einen Nameserver betreibst. Auch das geht offensichtlich, oder? Im Netzwerk können Clients nun auf
You do not have permission to view link please Anmelden or Registrieren
zugreifen und der Offline-Server kann sich mit einem signierten Zertifikat vollkommen korrekt ausweisen.
Mir ging es nur darum zu sagen, dass über einen lokalen Nameserver beliebige Domains vergeben werden können. Natürlich sollte der DNS-Server dem Offline-Server die Domain zuweisen, für die dieser auch das Zertifikat besitzt, denn das Zertifikat gilt nur für bestimmte Domains. [Du kannst allerdings auch Zertifikate für beispiel1.tld, beispiel2.tld oder sub.beispiel.tld erwerben.]
Trotzdem, das möchte ich noch mal betonen, ist das keine saubere Lösung und bei einer Gültigkeit von nur 90 Tagen, ist das viel zu aufwändig.
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben