Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Nutzung von Lets Encrypt
#1
Hallo NSP Team,
ich beschäftige mich zurzeit mit dem Einsatz von Let's Encrypt (Zertifikaten auf Webservern. Dazu zählen auch die Server, auf denen das NSP Webportal installiert ist.

Knackpunkt ist wohl nicht das Webportal selbst, sondern das die Intranet-Rolle von NSP. Und zwar dahingehend, dass nach dem Tausch des SSL-Zertifikats der neue Fingerabdruck in der Konsole explizit akzeptiert werden muss. Ich habe zum besseren Verständnis einen Screenshot angehängt.

Bei gekauften Zertifikaten mit einer Laufzeit von einem Jahr, ist die manuelle Bestätigung einmal pro vertretbar. Nun beträgt die Laufzeit bei LE Zertifikaten drei Monate. Zudem werden die Zertifikate in unregelmäßigen Zeitabständen (um Ratelimits unseres Domain Hoster und LE aus dem Weg zu gehen) regelmäßig gewechselt. D.h. ich muss alle 3 Monate für jeden Server des Webportals das neue Zertifikat zu bestätigen. Solange ich diese nicht bestätige, erfolgt laut meinen Tests keine Synchronisation mehr. Was somit ein möglicher Impact für die Endanwender bedeutet.

Daher interessiert mich brennend (und andere evtl. auch), wie Eurerseits das Best Practice für dieses Szenario aussieht? LE kann man heutzutage nicht mehr wegdiskutieren.


Grüße,
Daniel


Angehängte Dateien Thumbnail(s)
   
Zitieren
#2
*push*
Zitieren
#3
Hi,

naja - intern für die Intranetrolle würde ich nicht unbedingt ein LetsEncrypt Zert nehmen. Für sowas nimmt man normalerweise eines von der internen Zertifizierungsstelle und wenn man keine hat, würde ich einfach das Selfsigned per GPO auf die Rechner verteilen.

Für extern zugängliche Dienste macht Lets Encrypt aber sicherlich Sinn

just my2ct
Disclaimer: This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

"Every once in a while, declare peace. It confuses the hell out of your enemies"
Zitieren
#4
Guten Morgen Robert,
Zitat:naja - intern für die Intranetrolle würde ich nicht unbedingt ein LetsEncrypt Zert nehmen.

Wie gesagt es geht mir primär um das Webportal. Natürlich wäre auch die Gateway Rolle wünschenswert. Die Intranet Rolle ist mir eigentlich egal.
Zitieren
#5
Hallo zusammen,
in der V14 ist schon eine Implementierung für Lets Encrypt Zertifikate enthalten. Primär ist sie dafür da, um zB das Zertifikat für den Empfangskonnektor sicherzustellen. Das alles läuft voll automatisch. :-)
Gruß Stefan
Zitieren
#6
Hallo Stefan,
freut mich zu hören, dass das Thema bei euch einen Platzhalter hat. Wie erfolgt die Validierung, über http-01 Challenge?

Das bedeutet für mich im Umkehrschluss, dass ich bei hochverfügbaren Umgebungen (inkl. Load Balancer) wie bei uns, weiterhin auf eigene Lösung (dns-01 Challenge) angewiesen bin oder greift ihr auf Entwicklungen wie Posh-ACME o.ä. zurück?


Gruß,
Daniel
Zitieren
#7
Ich fürchte, dass ich hier zurückrudern muss. Die Lets Encrypt Anbindung haben wir für unsere Cloud Plattform eingebaut. Ich nehme das aber gerne noch einmal zum Anlass, um das auch in das Server-Produkt mit einfließen zu lassen.
Sorry für den Wirbel.
Gruß Stefan
Zitieren
#8
Hallo Stefan,
Danke für die Korrektur. Bitte führt keine zwei Klassengesellschaft (Cloud und OnPrem) ein. Das sorgt früher oder später für Frust bei Kunden.
Damit komme ich wieder zu meiner ursprünglichen Frage. Wie kann ich mit dem Fingerprint umgehen?


Gruß,
Daniel
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste