SSL sulinet hálózatán

Web, mail, IRC, IM, hálózatok

Sziasztok!

Most,hogy a Pro M Zrt átvette a sulinet üzemeltetését nem tudom pontosan kinek és hogyan is kellene megfogalmaznom az igényeinket. Ebben kérem a tisztelt segítségeteket!

Jelenleg van egy weboldalunk az intézménynév.edu.hu domainen. Ennek van természetesen https elérése. Van az intézmény belső VLAN védett hálózatán egy proxmox szerver sok kis apró szolgáltatással (nextcloud, smb, media, pihol, stb) 2 éve hibátlanul működik. Ez természetesen kívülről nem elérhető és ezen nem is szeretnénk változtatni. Jelenleg ip:port eléréssel használjuk a szolgáltatásokat. Amit szeretnénk, hogy intézményen belül működjön egy névfeloldás és https az összes subdomainen. Tehát pl https://media.intézménynév.edu.hu vagy https://nc.intézménynév.edu.hu és így tovább. 

A dns feloldás megoldható szerintem, mert a dashboard felületen ki lehet választani, hogy az adott domainhoz milyen ip-vel szeretnék subdomaint rendelni. 

Kérdéseim:

Szóval lehetséges egyáltalán, hogy a meglévő oldal ssl tanúsítványát használjuk? Ha nem milyen free megoldások adottak? Ha a proxmox szerveren beállítom a https elérést minden szolgáltatást is külön kell konfigurálni, vagy automatikusan veszik át a tanúsítványt? Mennyiben okoz gondot, hogy az egész  miskulancia védett VLAN mögött van? 

Köszönöm!

  • 441 megtekintés

( zrubi v | 2025. 05. 05., h – 10:05 )

Szóval lehetséges egyáltalán, hogy a meglévő oldal ssl tanúsítványát használjuk?

Mármint mire? a többi általad tervezett kisebb szolgáltatásokat?

Technikailag lehet, csak értelme nincs, mert abban a tanúsítványban nyilván csak a jelenlegi DNS név szerepel. Az összes többire certificate error-t fog mondani a browser.

 

a proxmox részéhez nem értek,

 

Mennyiben okoz gondot, hogy az egész  miskulancia védett VLAN mögött van?

annyiban, hogy:

- az ingyenes  'hivatalos' tanúsítvány igényléshez ki kell publikálni a DNS neveket, és legalább egystatikus oldalt is.

 

DE, én feltételezném, hogy a Tanúsítványokat sem magadnak kell megoldani.... hanem a központi DNS-sel együtt kérhetsz az új domainekhez tanúsítványt is.

lehet naív vagyok? :D

zrubi.hu

az ingyenes  'hivatalos' tanúsítvány igényléshez ki kell publikálni a DNS neveket, és legalább egystatikus oldalt is.

dehogy is. az _acme-challenge.intezmenynev.edu.hu txt rekordot kell csak módosítani. vagy akár automatizálni azt. kifele semminek nem kell megjelennie

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

az _acme-challenge.intezmenynev.edu.hu lehet CNAME rekord is egy olyan domainre, ahol elérhető az, hogy certbot/acme/etc piszkálja az adott rekordot és akkor nem kell kézzel cseszegetni, illetve így lehet kérni wildcard-ot is

// Happy debugging, suckers
#define true (rand() > 10)

Technikailag lehet, csak értelme nincs, mert abban a tanúsítványban nyilván csak a jelenlegi DNS név szerepel. Az összes többire certificate error-t fog mondani a browser.

Szerintem lehetne valamilyen wildcard ssl megoldással az összes aldomainre is kiterjeszteni. Nem?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

lehet wildcard certet is használni, persze. 

de ez feltételezi hogy ugyan az üzemelteti az összes szolgáltatást, de legalábbis a TLS részét.

És azt is hogy a szolgáltatások ugyan azon a szerveren vannak... Ha nem így van, akkor a titkos kulcsot több helyre is oda kell másolni, ami erősen megnöveli a kompromitálódás esélyét.

 

szerintem.

zrubi.hu

wildcard certet nem lehet http challengevel kerni, tokre felesleges kiengedni a webet a nagyvilagba ha nem akarja. persze belso halora is lehet LB-t csinalni, de szerintem nem akarja szetbarmolni a mostani felepitest

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( ggallo | 2025. 05. 05., h – 10:33 )

Ha a Dashboard felületen felveszed a DNS-be a szükséges bejegyzéseket, és arra az IP címre bentre teszel egy reverse proxy-t, ami az egyes benti szolgáltatásokat publikálja, azzal akár a tanúsítványokat is meg tudod csináltatni az ingyenes Let's Encrypt-tel. Persze az adott IP címen engedd be legalább a 80-as portot, mert az fog kelleni a HTTP-01 tanúsítvány ellenőrzési procedúrához (és a 443-as portot, ha kintről is elérhetővá akarsz tenni valamit) a Dashboard tűzfalában. Annyi extra fog még kelleni, hogy a belső (saját) DNS-be érdemes felvenni a publikus FQDN-eket a proxy belső címével (split DNS felállás), és akkor a bentről kezdeményezett, de a publikus nevet használó kapcsolatokhoz nem kell hairpin NAT a router-en (ami még ráadásul el is fedi a belső kliens IP címét...).

Reverse proxy-nak használhatod akár az Nginx Proxy Manager-t (ami a Caddy és a Traefik ellenében nem kifjezetten Docker-hez készült, hanem általánosabb), amit a Proxmox Community Scripts-ből fel is tudsz könnyen tenni egy LXC konténerbe, és webes felületen tudod az egészet kezelni. A proxy-n be tudod állítani, hogy csak belső IP tartományról jövő kérésekre válaszoljon, tehát attól, hogy nyitva van a 80-as port az internet felől (a tanúsítvány miatt muszáj), az csak a tanúsítvány kezeléshez lesz használva, nem kell rajta egy belső szolgáltatásotoknak sem látsznia az internet felől.

Szuper. Kezdek tisztábban látni. A proxy managert még régebben fel is telepítettem pont a community scriptsből, tehát ez adott. A probléma a hairpin nat /split dns-sel lehet, erre azt hiszem rá kell kérdeznem az üfsz-nál.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( Elbandi v | 2025. 05. 05., h – 11:09 )

dns challengevel lehet kerni wildcardos certet, nemkell kivulrol semmit beengedni. csak fel kell venni a megfelelo txt rekordot. (ha ez megy apival akkor automatizalhato is). mindig jobb, mint szarakodni proxyval meg beengedni a nagyvilagot (nincs letsencrypt ip lista filterezeshez, awsbol jon)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!