SSL sulinet hálózatán

Web, mail, IRC, IM, hálózatok

Sziasztok!

Most,hogy a Pro M Zrt átvette a sulinet üzemeltetését nem tudom pontosan kinek és hogyan is kellene megfogalmaznom az igényeinket. Ebben kérem a tisztelt segítségeteket!

Jelenleg van egy weboldalunk az intézménynév.edu.hu domainen. Ennek van természetesen https elérése. Van az intézmény belső VLAN védett hálózatán egy proxmox szerver sok kis apró szolgáltatással (nextcloud, smb, media, pihol, stb) 2 éve hibátlanul működik. Ez természetesen kívülről nem elérhető és ezen nem is szeretnénk változtatni. Jelenleg ip:port eléréssel használjuk a szolgáltatásokat. Amit szeretnénk, hogy intézményen belül működjön egy névfeloldás és https az összes subdomainen. Tehát pl https://media.intézménynév.edu.hu vagy https://nc.intézménynév.edu.hu és így tovább. 

A dns feloldás megoldható szerintem, mert a dashboard felületen ki lehet választani, hogy az adott domainhoz milyen ip-vel szeretnék subdomaint rendelni. 

Kérdéseim:

Szóval lehetséges egyáltalán, hogy a meglévő oldal ssl tanúsítványát használjuk? Ha nem milyen free megoldások adottak? Ha a proxmox szerveren beállítom a https elérést minden szolgáltatást is külön kell konfigurálni, vagy automatikusan veszik át a tanúsítványt? Mennyiben okoz gondot, hogy az egész  miskulancia védett VLAN mögött van? 

Köszönöm!

  • 922 megtekintés

( zrubi v | 2025. 05. 05., h – 10:05 )

Szóval lehetséges egyáltalán, hogy a meglévő oldal ssl tanúsítványát használjuk?

Mármint mire? a többi általad tervezett kisebb szolgáltatásokat?

Technikailag lehet, csak értelme nincs, mert abban a tanúsítványban nyilván csak a jelenlegi DNS név szerepel. Az összes többire certificate error-t fog mondani a browser.

 

a proxmox részéhez nem értek,

 

Mennyiben okoz gondot, hogy az egész  miskulancia védett VLAN mögött van?

annyiban, hogy:

- az ingyenes  'hivatalos' tanúsítvány igényléshez ki kell publikálni a DNS neveket, és legalább egystatikus oldalt is.

 

DE, én feltételezném, hogy a Tanúsítványokat sem magadnak kell megoldani.... hanem a központi DNS-sel együtt kérhetsz az új domainekhez tanúsítványt is.

lehet naív vagyok? :D

zrubi.hu

az ingyenes  'hivatalos' tanúsítvány igényléshez ki kell publikálni a DNS neveket, és legalább egystatikus oldalt is.

dehogy is. az _acme-challenge.intezmenynev.edu.hu txt rekordot kell csak módosítani. vagy akár automatizálni azt. kifele semminek nem kell megjelennie

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

az _acme-challenge.intezmenynev.edu.hu lehet CNAME rekord is egy olyan domainre, ahol elérhető az, hogy certbot/acme/etc piszkálja az adott rekordot és akkor nem kell kézzel cseszegetni, illetve így lehet kérni wildcard-ot is

// Happy debugging, suckers
#define true (rand() > 10)

Abszolút nem macerás. Ha van hozzáférésed a DNS szerkesztőhőz, akkor kiírja a challenget, meg hogy mit-hogyan állíts be (elég érthetően ráadásul!) beállítod, nyomsz neki egy entert, vár egy kicsit, és csekkol. Csináltam ilyet, öt percen belül validált volt az egész (annyi kitétellel, hogy én AWS Route53-hoz csináltam ilyet, ami mocsok gyorsan frissül, a sulinetről nincs infóm).

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Technikailag lehet, csak értelme nincs, mert abban a tanúsítványban nyilván csak a jelenlegi DNS név szerepel. Az összes többire certificate error-t fog mondani a browser.

Szerintem lehetne valamilyen wildcard ssl megoldással az összes aldomainre is kiterjeszteni. Nem?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

lehet wildcard certet is használni, persze. 

de ez feltételezi hogy ugyan az üzemelteti az összes szolgáltatást, de legalábbis a TLS részét.

És azt is hogy a szolgáltatások ugyan azon a szerveren vannak... Ha nem így van, akkor a titkos kulcsot több helyre is oda kell másolni, ami erősen megnöveli a kompromitálódás esélyét.

 

szerintem.

zrubi.hu

wildcard certet nem lehet http challengevel kerni, tokre felesleges kiengedni a webet a nagyvilagba ha nem akarja. persze belso halora is lehet LB-t csinalni, de szerintem nem akarja szetbarmolni a mostani felepitest

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( ggallo | 2025. 05. 05., h – 10:33 )

Ha a Dashboard felületen felveszed a DNS-be a szükséges bejegyzéseket, és arra az IP címre bentre teszel egy reverse proxy-t, ami az egyes benti szolgáltatásokat publikálja, azzal akár a tanúsítványokat is meg tudod csináltatni az ingyenes Let's Encrypt-tel. Persze az adott IP címen engedd be legalább a 80-as portot, mert az fog kelleni a HTTP-01 tanúsítvány ellenőrzési procedúrához (és a 443-as portot, ha kintről is elérhetővá akarsz tenni valamit) a Dashboard tűzfalában. Annyi extra fog még kelleni, hogy a belső (saját) DNS-be érdemes felvenni a publikus FQDN-eket a proxy belső címével (split DNS felállás), és akkor a bentről kezdeményezett, de a publikus nevet használó kapcsolatokhoz nem kell hairpin NAT a router-en (ami még ráadásul el is fedi a belső kliens IP címét...).

Reverse proxy-nak használhatod akár az Nginx Proxy Manager-t (ami a Caddy és a Traefik ellenében nem kifjezetten Docker-hez készült, hanem általánosabb), amit a Proxmox Community Scripts-ből fel is tudsz könnyen tenni egy LXC konténerbe, és webes felületen tudod az egészet kezelni. A proxy-n be tudod állítani, hogy csak belső IP tartományról jövő kérésekre válaszoljon, tehát attól, hogy nyitva van a 80-as port az internet felől (a tanúsítvány miatt muszáj), az csak a tanúsítvány kezeléshez lesz használva, nem kell rajta egy belső szolgáltatásotoknak sem látsznia az internet felől.

Szuper. Kezdek tisztábban látni. A proxy managert még régebben fel is telepítettem pont a community scriptsből, tehát ez adott. A probléma a hairpin nat /split dns-sel lehet, erre azt hiszem rá kell kérdeznem az üfsz-nál.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( Elbandi v | 2025. 05. 05., h – 11:09 )

dns challengevel lehet kerni wildcardos certet, nemkell kivulrol semmit beengedni. csak fel kell venni a megfelelo txt rekordot. (ha ez megy apival akkor automatizalhato is). mindig jobb, mint szarakodni proxyval meg beengedni a nagyvilagot (nincs letsencrypt ip lista filterezeshez, awsbol jon)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( kallaics | 2025. 05. 07., sze – 14:33 )

Szerkesztve: 2025. 05. 07., sze – 14:34

A következőknek járnék utána:

- A Sulinet üzemeltetője tudna adni certet esetleg? Régen tudtak certet is adni, igaz nem most volt, még pár állami céggel korábban... Mindenképp ezzel nyitnék, mint lehetőség.

- A Let's Encrypt is megoldás, úgy látom egy kis tudás megszerzése kelleni fog, tehát időt rá kell szánni, de még mindig kevesebb, mint a következő pontban. Ne félj, elrontani nem tudod. Ha nem működik,  akkor vissza kell állni a régi dolgokra, tehát mint minden ez is mentéssel kezdődik.

- Mivel csak belső használatra kell, ezért lehet neki self-signed certet csinálni.  A belső root CA-t hozzá kell adni az érintett gépekhez. Hátrány, hogy az egész cert gyártás folyamatát a nyakába venni az embernek, ami tudás híján, elég messziről indul. Ehhez vannak Certificate kezelő programok, amik sokat segítenek, de ahhoz is tudni kell, hogy milyen beállításokkal legyenek a certek.

A milyen certet kérdésre azt mondanám,  hogy wildcart certificate lenne az egyszerűbb üzemeltetés szempontból. Kell egy subdomain (aldomain) és az alá betenni az összes hostnevet.

Ha kérhető a *.intezmenynev.edu.hu-ra is wildcart certificate. akkor azt is lehet használni, ami az eredeti felvetés.

A saját CA-val való szopást erre a use case-re semmiképpen sem javasolnám, utolsó utáni helyre sem tenném.

A legegyszerűbb a domain validated Let's Encrypt. Ehhez elég sok script van elég sok platformhoz, és azok elég sok providert támogatnak. Feljebb már írták, hogy megoldható úgy is, hogyha a kérdéses domain egy scriptek által nem támogatott DNS providernél van, akkor is át lehet irányítani egy támogatott providerre.

Ha lenne sok időm tök jó lenne a saját CA, mert biztosan sokat tanulhatnék belőle. Megismerném, hogyan is épül fel ez az egész. Persze olvastam már róla, de az egész más, mint önállóan végigszenvedni. De sajnos most nincs időm a tanulásra, megoldásra lesz szükségem.

Köszönöm mindenkinek a sok hasznos infót és ötletet, megírom a levelet a szolgáltatónak és majd leírom, mire jutottam.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick