Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Mam kilka usług w swoim lanie obsługiwanych przez przeglądarkę.
W ramach ćwiczeń i "bo chcę", chciałbym pozbyć się samopodpisanych certyfikatów i zastąpić je jakimiś legitnymi, uznawanymi "na świecie".
Ale może źle kombinuję? Może lepiej byłoby zrobić własne CA i poinstalować root certyfikaty do wszystkich urządzeń które mam w lanie? Do każdej przeglądarki?
Jak to się robi profesjonalnie?
ed: w grę wchodziłyby przeglądarki pod windowsa, linuksa i androida.
Ostatnio edytowany przez lis6502 (2018-04-17 19:37:41)
Offline
Letsencrypt dotyczy domeny, jeśli domena przez plik hosts jest kierowana na adres lokalny, choćby to był nawet 127.0.0.1, problemu z tym nie ma.
Własne CA, też dobry pomysł, tylko roboty z kopiowaniem tych certów CA więcej.
Zależy, ile tys hektarów obejmuje Twój lan.
Oczywiście domena to coś, co trzeba kupić, i odnawiać co jakiś czas.
Offline
Ja bym sobie stworzył debianowe repo udostępniane w LAN i do niego rzucił paczkę deb i w niej certa do łatwej instalacji w systemie, choć to rozwiązanie jest chyba tylko linux friendly. xD
Offline
Mogliśmy się nie zrozumieć ;)
"posiadam" domenę .stacyjkowo
Ot tak se wymyśliłem i skonfigurowałem w serwerze DNS na routerze łączącym lan z wanem.
Domyślam się że nie jest to rozwiązanie polecane przez poradniki dla młodych sieciuchów, niemniej pasuje mi konwencja że openmediavault.org kieruje mnie do oficjalnej strony dystrybucji, a openmediavault.stacyjkowo trafia na moją lokalną instancję ;)
Nie wnikając w topologię mojej sieci, mam na tę chwilę trzy serwisy www które chciałbym "owinąć" w SSL. Dojdzie jeszcze czwarty (lokalna instancja nextcloud'a przećwiczona na VM).
Docelowo, na samej górze będzie mi potrzebny cert do OpenVPN, bo chcę łączyć się ze stacyjkowem np z telefonu :)
Dlatego pytam Was jako bardziej doświadczonych i ogarniętych w tych materiach, bo ja całe życie jechałem na gołym http, ale czasy się zmieniają a ja nie chcę wypaść z obiegu ;)
@morfik: a jak rozwiązałbyś deployment CA na androidzie?
Ostatnio edytowany przez lis6502 (2018-04-17 20:50:44)
Offline
Dobra, dzięki wszystkim miłościwie postującym za zainteresowanie, ogarnąłem wszystko jak zawsze po swojemu, niekoszernie i na okrętkę xD
Najpierw na firewallu zorganizowałem sobie dwa CA: pierwsze do podpisania drugiego.
Nie wiem skąd ten wymóg, ale przeglądarka mnie nie puszczała gdy końcowy cert był podpisany "jednopoziomowo".
[url=http://wstaw.org/w/4PXR/][img]http://wstaw.org/m/2018/04/17/opnsense-auth_png_300x300_q85.jpg[/img][/url]
Następnie, wygenerowałęm po jednym dla każdej webapki, podpisując drugim CA
[url=http://wstaw.org/w/4PXQ/][img]http://wstaw.org/m/2018/04/17/opnsense-certs_png_300x300_q85.jpg[/img][/url]
Następnie pobrałem cert i klucz w formacie tekstowym i wrzuciłem do Openmediavault'a
[url=http://wstaw.org/w/4PXP/][img]http://wstaw.org/m/2018/04/17/omv-cert_png_300x300_q85.jpg[/img][/url]
Niestety, chrom na linuksie robiony był przez telefoni zabrakło żetonów: przeglądarka ignoruje /etc/certs/ssl, więc musiałem ręcznie wrzucić CA
[url=http://wstaw.org/w/4PXO/][img]http://wstaw.org/m/2018/04/17/hrom_png_300x300_q85.jpg[/img][/url]
Co ciekawe, na telefonie poszło znacznie prościej: pobrałem plik i domyślną aplikacją jest import certa
[url=http://wstaw.org/w/4PXN/][img]http://wstaw.org/m/2018/04/17/Screenshot_20180417-232609_png_300x300_q85.jpg[/img][/url]
Cert też fajnie integruje się z OSem, bo wybieram czy ma odnosić się do wifi, czy reszty "szyfrowalnych" komponentów ;)
[url=http://wstaw.org/w/4PXL/][img]http://wstaw.org/m/2018/04/17/Screenshot_20180417-232414_png_300x300_q85.jpg[/img][/url]
Potem tylko sprawdzenie czy wszystko jeździ jak należy
[url=http://wstaw.org/w/4PXM/][img]http://wstaw.org/m/2018/04/17/Screenshot_20180417-232538_png_300x300_q85.jpg[/img][/url]
i w przeglądarce :)
[url=http://wstaw.org/w/4PXT/][img]http://wstaw.org/m/2018/04/17/Screenshot_20180417-234351_png_300x300_q85.jpg[/img][/url]
Jeśli coś napisałem błędnie czy coś to piszcie od razu- to pierwszy raz kiedy bawię się z sslowaniem.
Offline
Na domenę [b]cośtam.stacyjkowo[/b] letsencrypta nie wygenerujesz, bo to nie jest poprawna domena, widoczna w DNS.
Pozostaje Ci tylko prywatny CA.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00098 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.81.46' WHERE u.id=1 |
0.00073 | UPDATE punbb_online SET logged=1732240868 WHERE ident='18.191.81.46' |
0.00044 | SELECT * FROM punbb_online WHERE logged<1732240568 |
0.00052 | SELECT topic_id FROM punbb_posts WHERE id=319169 |
0.00079 | SELECT id FROM punbb_posts WHERE topic_id=30427 ORDER BY posted |
0.00084 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30427 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00076 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30427 ORDER BY p.id LIMIT 0,25 |
0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30427 |
Total query time: 0.00608 s |