Heimgeräte mit SSL verschlüsseln

sakis2018

Active Member
Dec 25, 2018
53
0
26
50
Hallo,

ich habe einen Raspberry Pi 3 auf dem Pihole läuft, sowie einen Proxmox Host auf dem mehrere LXC und VM laufen.

Ich möchte alle Heimgeräte (Raspberry Pi, Host, LXC und VM) mit SSL Zertifikat verschlüsseln, weil mich die lästige Meldung das die Seite "unsicher" ist stört.

Ich möchte keines der Geräte von außerhalb erreichen, sie solle nur lokal im Heimnetz verfügbar sein.

Welche Möglichkeiten gibt es da?

Idealerweise sollten der Vorgang automatisiert ablaufen.

LG
Sakis
 
Für so etwas habe ich meine eigene CA. Ich hab in meinem Wiki hierzu einen Artikel geschrieben. Nachdem ich in unserem Repo ein DEBpaket für XCA gebaut hatte, verwende ich nur mehr das. Mit dem Programm kann man innerhalb von Minuten seine CA bauen und Zertifikate in allen Formen mit ein paar Klicks exportieren. Meine sind hier 10 Jahre gültig ;)
 
Für so etwas habe ich meine eigene CA. Ich hab in meinem Wiki hierzu einen Artikel geschrieben. Nachdem ich in unserem Repo ein DEBpaket für XCA gebaut hatte, verwende ich nur mehr das. Mit dem Programm kann man innerhalb von Minuten seine CA bauen und Zertifikate in allen Formen mit ein paar Klicks exportieren. Meine sind hier 10 Jahre gültig ;)

Ich danke dir für deine Antwort. Das hört sich sehr interessant an.
Ich werde es ausprobieren und mich nochmals melden.

Vielen Dank.

Sakis
 
Ich hab mich jetzt für mkcert entschieden, da es mir "einfacher" erscheint, jedoch kann ich nicht den "Aufbau" verstehen bzw. was welche Aufgabe macht und wo die erstellten Zertifikate kommen?

Muss mkcert auf jedem LXC Container erstellt werden oder reicht es wenn ich dafür einen LXC Container erstelle und darin alle weiteren Zertifikate erstelle und verteile?

Wenn letzteres, bleiben die Zertifikate dort wo ich sie erstellt habe oder muss ich die zu den passenden LXC Containern verschieben?

Wie man es unter Apache oder Nginx verwendet, habe ich bereits gelesen aber wie schaut es aus wenn der LXC bzw die Anwendung kein Apache bzw Nginx nutzt und ich für den Browseraufruf aber https nutzen möchte? Als beispiel tvheadend.

Hier mein versuch mkcert zu installieren und das erstellte Zertifikat auf einem anderen lxc mit nginx einzufügen.



  • 1.) LXC Container mit Ubuntu 18.04 erstellt (Containername: SSL), der Zertifikate für meine anderen LXC bzw. Anwendungen erstellen soll.

    2.) darauf mkcert installiert:
    Code:
    apt update && apt upgrade -y
    apt install libnss3-tools -y
    wget https://github.com/FiloSottile/mkcert/releases/download/v1.4.1/mkcert-v1.4.1-linux-amd64
    mv mkcert-v1.1.2-linux-amd64 mkcert
    chmod +x mkcert
    cp mkcert /usr/local/bin/
    mkcert -install
    mkcert -CAROOT

    3.) Zertifikat für einen LXC bzw. Anwendung erstellt
    Code:
    mkcert board.homelab.club 192.168.20.40

    4.) Das Zertifikat (board.homelab.club+1-key.pem sowie board.homelab.club+1.pem)habe ich vom LXC (Containername: SSL) mittels winscp erst auf meinem Desktop dann auf dem anderen LXC (Containername: board) übertragen.

    5.) Auf dem LXC (Containername: board) läuft Nginx, somit habe ich in der /etc/nginx/sites-available/anwendung folgendes hinzugefügt:

    Code:
    ssl on;
    ssl_certificate /home/mike/board.homelab.club+1.pem ;
    ssl_certificate_key /home/mike/board.homelab.club+1-key.pem;

    und nginx neugestartet.

    6.) Wenn ich nun die Seite mit Firefox öffne, wird zwar das richtige Zertifikat erkannt, aber die Fehlermeldung das das Zertifikat nicht sicher ist, kommt weiterhin.

Ist dieser vorgang so richtig?

LG
Sakis
 
Klingt echt kompliziert... da steig ich aus. Aber vielleicht kann dir da ja wer anders weiter helfen. Da bleib ich lieber bei XCA, das geht schnell, Zertifikate liegen zentral und man hat nur ein RootCA was man bequem ausrollen darf.
 
Klingt echt kompliziert... da steig ich aus. Aber vielleicht kann dir da ja wer anders weiter helfen. Da bleib ich lieber bei XCA, das geht schnell, Zertifikate liegen zentral und man hat nur ein RootCA was man bequem ausrollen darf.

Gibt es da ein Tutorial was genau beschreibt wie man es für Proxmox verwendet?

Bisher konnte ich im netzt nur finden wie man zertifikate erstellt, aber nicht welche möglichkeiten ich für Promox habe bzw. wie ich die Zertifikate richtig einfügen muss.
 
Das Programm hält sich an die Standards und hat nichts damit zu tun wie man irgendwo Zertifikate installiert. XCA stellt wie der Name schon sagt eine grafische Oberfläche bereit wo du deine Zertifikate verwalten kannst. Damit habe ich mir ein Wildcardzertfikat erstellt was für meine Domäne OSIT.CC gültig ist. Und das war's schon. Das kann ich dann auf allen Geräten/Servern wo ich es haben möchte einspielen. Dafür haben wir ein DEB Paket und eine Exe gebaut die das für unsere Kunden tut. Ansonsten ganz normal Zertifikate auf Apache/Nginx oder anderen Applikationen einspielen.

XCA kann in jedes bekannte Format Zertifikate exportieren. In Proxmox selbst habe ich nie eines einspielen müssen, da ja bei er Installation ohnehin schon eines einspielt wird. Dort brauchst du nur vom Webinterface das CA downloaden und in deinem Browser übernehmen. Und schon ist das Schloss grün.

Du kannst in Proxmox aber auch Zertifikate automatisch mit Let's Encrypt einspielen lassen. Das geht sogar im Webinterface. Das kannst du direkt machen, sprich dein PVE ist übers Internet erreichbar (Default), über einen eigenen DNSserver (k.a wie das geht) oder über einen Reverseproxy.

Und ja natürlich kannst du auch deine eigens generierten Zertifikate einspielen.
https://pve.proxmox.com/wiki/Certificate_Management
https://pve.proxmox.com/wiki/HTTPS_Certificate_Configuration_(Version_4.x,_5.0_and_5.1)