Zertifikat im LAN

[freddy156]

Hallo zusammen,

ich habe ein LAN 192.168.1.0/24 in dem sich nur der Proxmox mit ein paar VM's und Containern und einige Clients aufhalten.
Dieses LAN ist komplett isoliert und hat keinen Internetzugang (also wirklich physich kein Kabel zu einem Router).

Jetzt versuche ich mich gerade an dem Zertifikat Thema dass die Browser nicht ständig meckern wenn ich entweder auf den Proxmox oder
halt auf eine der Web Dienste zugreifen will die in den VM's/CT's gehostet sind.
Ein bind9 DNS Server existiert in dem LAN der mit die Adressen in xyz.nachname.home umsetzt.

Das Problem ist nur dass alles was ich bis jetzt gelesen habe darauf abzielt dass man eine Domäne hat. Habe ich nicht und brauche ich auch nicht.

Die K(i) ChatGPT ist völlig für die Katz' da sie mir trotz mehrmaligem Hinweis auf das isolierte LAN ohne Internet immer ihre Sicherheitsvorkehrungen
aufzwingen will (Software aktuellster Stand, Virenschutz, Firewall Regeln, ...) und die scheint auch nicht zu kapieren dass das LAN keinen Zugang zum Netz hat.

Ich wollte auch nicht unbedingt auf jedem Client die Browser Einstellungen anpassen sondern es mit Zertifikat, Brief und Siegel "richtig" machen.

Kurz gesagt: Ist das in einem reinen LAN möglich?

 

[Dunuin]

Wenn du eine Domain mietest könntest du über DNS-01 Challange von letsencrypt dir ein Wildcard-Zertifikat für die ganze Domain und allen dessen Subdomains ausstellen lassen.

Ich wollte auch nicht unbedingt auf jedem Client die Browser Einstellungen anpassen sondern es mit Zertifikat, Brief und Siegel "richtig" machen.

Da hast du nicht wirklich die Optionen. Ohne ein Wildcard-Zertifikat auf eine gemietete Domain + Reverse Proxy von einer anerkannten Zertifizierungsstelle (letsencrypt wäre kostenlos und müsste mit DNS-01 Challenge auch nicht online erreichbar sein) müsstest du dir schon ein eigenes Root Zertifikat ausstellen und dieses müsstest du dann bei jedem Client hinzufügen.

 

[Falk R.]

Erstell dir einfach eigene Zertifikate mit OpenSSL und hinterlege einfach bei den Rechnern dein root Zertifikat.
In einer Domäne könntest du das root Zertifikat pushen und ohne Domäne musst du nur einmal ein Zertifikat einspielen. Geht notfalls auch per Script.

 

[RolandK]

ich würd auch letsencrypt via dns challenge empfehlen, wenn du unbedingt ein gültiges von browsern akzeptiertes zertifikat willst

so sieht das aus:
# certbot --key-type=rsa certonly --manual --preferred-challenges dns -d "<mydomain>" Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - An ECDSA certificate named <mydomain> already exists. Do you want to update its key type to RSA? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (U)pdate key type/(K)eep existing key type: U Renewing an existing certificate for <mydomain> Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/<mydomain>/fullchain.pem Key is saved at: /etc/letsencrypt/live/<mydomain>/privkey.pem This certificate expires on 2023-12-27. These files will be updated when the certificate renews. NEXT STEPS: - This certificate will not be renewed automatically. Autorenewal of --manual certificates requires the use of an authentication hook script (--manual-auth-hook) but one was not provided. To renew this certificate, repeat this same certbot command before the certificate's expiry date. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: [URL]https://letsencrypt.org/donate[/URL] * Donating to EFF: [URL]https://eff.org/donate-le[/URL] - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

[Dunuin]

ich würd auch letsencrypt via dns challenge empfehlen, wenn du unbedingt ein gültiges von browsern akzeptiertes zertifikat willst

so sieht das aus:
# certbot --key-type=rsa certonly --manual --preferred-challenges dns -d "<mydomain>" Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - An ECDSA certificate named <mydomain> already exists. Do you want to update its key type to RSA? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (U)pdate key type/(K)eep existing key type: U Renewing an existing certificate for <mydomain> Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/<mydomain>/fullchain.pem Key is saved at: /etc/letsencrypt/live/<mydomain>/privkey.pem This certificate expires on 2023-12-27. These files will be updated when the certificate renews. NEXT STEPS: - This certificate will not be renewed automatically. Autorenewal of --manual certificates requires the use of an authentication hook script (--manual-auth-hook) but one was not provided. To renew this certificate, repeat this same certbot command before the certificate's expiry date. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: [URL]https://letsencrypt.org/donate[/URL] * Donating to EFF: [URL]https://eff.org/donate-le[/URL] - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Das steht bei mir auch noch an. Hatte mir schon 2 DE-Domains geholt als es die letztens für 13 Cent/Monat zum Black-Friday im Angebot gab.
Wollte eine VM mit NPM + DynDNS + letsencrypt + eigener Domain rein für die DMZ haben in der meine öffentlichen Dienste laufen. Dann eine weitere NPM VM mit Wildcard-Zertifikat für alle Dienste die rein lokal verfügbar sind. Bin nur nicht ganz sicher wie ich das am besten mache. Habe hier daheim diverse VLANs und wäre schon etwas unschön, wenn alle VLANs dann den einen Reverse Proxy ansprechen müssten und dann alles zwischen den VLANs geroutet werden muss, anstatt dass da die Clients direkt auf Dienste im eigenen VLAN zugreifen könnten. Bei Dingen wie webUIs wohl nicht so problematisch, da geht ja kaum Bandbreite drüber. Aber Backups zum PBS oder Streamen von Medien wäre schon unschön, wenn sich beide Seiten im selben VLAN befinden, nur der Reverse Proxy nicht, da der ein Dutzend VLANs bedienen muss.

 

[cwt]

@Dunuin : Du kannst doch die Certs vom NPM per SCP pullen bzw. verteilen. NPM legt diese unter ../letsencrypt/live/npm-XX ab. Jeweils die privkey.pem und cert.pem. Sparst Du Dir den Umweg über den Proxy und ggf. Split-DNS. Just my 2 cents

 

[Dunuin]

@Dunuin : Du kannst doch die Certs vom NPM per SCP pullen bzw. verteilen. NPM legt diese unter ../letsencrypt/live/npm-XX ab. Jeweils die privkey.pem und cert.pem. Sparst Du Dir den Umweg über den Proxy und ggf. Split-DNS. Just my 2 cents

Du meinst statt alles über einen lokalen Reverse Proxy mit Zertifikat laufen zu lassen einfach nur an einer Stelle das Wildcard-Zertifikat beantragen lassen und dieses dann an alle Gäste mit Webserver ausrollen, welche ich dann lokal über DNS Override von MeinGast.MeineDomain.de von meinem Unbound zur privaten IP auflösen lasse?

Da war ich jetzt garnicht drauf gekommen. Denke da könnte ich mir einen LXC erstellen der sich dann das Wildcard-Zertifikat beantragt und aktuell hält und die pem dann über einen Webserver bereitstellt. Dann müsste ich nur für jeden Gast ein eigenes Script basteln, was beim Reboot sich die pem vom Webserver abholt, durch die alte ersetzt und dann die Dienste mit den Webservern neustartet. Fast alle Gäste werden eh einmal die Woche wegen Stop-Mode Backup neugestartet, was dann ja als Intervall reichen sollte. Wäre nur ziemlich viel Aufwand. Glaube ich habe da jetzt schon so gute 40 Gäste/Hosts wo ich das dann ausrollen müsste und ich bin nicht bei allen sicher wie gut das automatisiert klappen würde. Gerade so Dinge wie Managed Switch, IPMI und Co wo ich nicht vollen Rootzugang habe. Und bei Dingen wie TrueNAS über die API klingt das auch nach recht viel Aufwand.

 

[freddy156]

Ist mit <mydomain> jetzt meine DNS Zone "nachname.home" gemeint? Oder muss ich mir wirklich eine Domäne xyz.irgendwas.tld mieten?
Eine Domäne mieten stellt ja erstmal kein großes Problem dar, aber
ich habe, wie extra geschrieben, keinen Internet Anschluss in diesem isoliertem LAN und habe auch nicht vor einen zu verbinden.
Internet wird in diesem LAN weder benötigt noch gewollt.

Das mit dem eigenen Zertifikat mit OpenSSL erstellen habe ich versucht aber die Browser meckern trotzdem dass sie dem selbst erstelltem Zertifikat nicht vertrauen. Manchmal wünsche ich mir einfach einen Butten mit "Vertrau mir, das passt schon also geh mir nicht auf die Nerven".
Ist ja ok bei öffentlichen Seiten im Internet... aber in einem lokalen Netzwerk wäre es schon schön den Sicherheitslevel auf 0 setzen zu können -.-

 

[Dunuin]

Ist mit <mydomain> jetzt meine DNS Zone "nachname.home" gemeint? Oder muss ich mir wirklich eine Domäne xyz.irgendwas.tld mieten?

Musst du mieten. Du kannst dir keine letsencrypt Zertifikate auf private IPs oder Pseudo-Domains ausstellen lassen. Auch musst du gucken, dass du einen DNS-Provider wählst, der dir eine API zum Ändern der DNS Tabelle anbietet, weil sonst die DNS-01 Challenge nicht klappt.

ich habe, wie extra geschrieben, keinen Internet Anschluss in diesem isoliertem LAN und habe auch nicht vor einen zu verbinden.

Muss auch nicht. Es muss nur irgendwo was mit Internetanschluss laufen was über die API von deinem DNS-Provider und certbot das Zertifikat beantragen kann. Das kannst du dann offline über einen USB-Stick in dein isoliertes LAN bringen und da ausrollen. Da muss dann auch keiner der Gäste online kommen. Würde mich nur etwas nerven da alle 3 Monate immer manuell die Zertifikate offline auszuwechseln.

Das mit dem eigenen Zertifikat mit OpenSSL erstellen habe ich versucht aber die Browser meckern trotzdem dass sie dem selbst erstelltem Zertifikat nicht vertrauen.

Deshalb musst du ja jedem Client deine eigene CA hinzufügen die dein selbstsigniertes Zertifikat vom Webserver abgesegnet hat.

Ist ja ok bei öffentlichen Seiten im Internet... aber in einem lokalen Netzwerk wäre es schon schön den Sicherheitslevel auf 0 setzen zu können -.-

Du kannst HTTPS weglassen und alle deine Dienste unverschlüsselt über HTTP bereitstellen. Dann meckert auch kein Browser und du hast quasi Sicherheitslevel 0

 

[Falk R.]

Das mit dem eigenen Zertifikat mit OpenSSL erstellen habe ich versucht aber die Browser meckern trotzdem dass sie dem selbst erstelltem Zertifikat nicht vertrauen. Manchmal wünsche ich mir einfach einen Butten mit "Vertrau mir, das passt schon also geh mir nicht auf die Nerven"

deshalb erstellt man ein eigenes Root Zertifikat, welches man einmal installiert. Alle Subzertifikate sind dann gültig.
Ich finde das ist im abgeschotteten Netzwerk am einfachsten.

 

[freddy156]

Ok vielen Dank. Dann werde ich mich mal daran machen ein eigenes Root Zertifikat zu erstellen.