Hallo NSP Team,
ich beschäftige mich zurzeit mit dem Einsatz von Let's Encrypt (Zertifikaten auf Webservern. Dazu zählen auch die Server, auf denen das NSP Webportal installiert ist.
Knackpunkt ist wohl nicht das Webportal selbst, sondern das die Intranet-Rolle von NSP. Und zwar dahingehend, dass nach dem Tausch des SSL-Zertifikats der neue Fingerabdruck in der Konsole explizit akzeptiert werden muss. Ich habe zum besseren Verständnis einen Screenshot angehängt.
Bei gekauften Zertifikaten mit einer Laufzeit von einem Jahr, ist die manuelle Bestätigung einmal pro vertretbar. Nun beträgt die Laufzeit bei LE Zertifikaten drei Monate. Zudem werden die Zertifikate in unregelmäßigen Zeitabständen (um Ratelimits unseres Domain Hoster und LE aus dem Weg zu gehen) regelmäßig gewechselt. D.h. ich muss alle 3 Monate für jeden Server des Webportals das neue Zertifikat zu bestätigen. Solange ich diese nicht bestätige, erfolgt laut meinen Tests keine Synchronisation mehr. Was somit ein möglicher Impact für die Endanwender bedeutet.
Daher interessiert mich brennend (und andere evtl. auch), wie Eurerseits das Best Practice für dieses Szenario aussieht? LE kann man heutzutage nicht mehr wegdiskutieren.
Grüße,
Daniel
ich beschäftige mich zurzeit mit dem Einsatz von Let's Encrypt (Zertifikaten auf Webservern. Dazu zählen auch die Server, auf denen das NSP Webportal installiert ist.
Knackpunkt ist wohl nicht das Webportal selbst, sondern das die Intranet-Rolle von NSP. Und zwar dahingehend, dass nach dem Tausch des SSL-Zertifikats der neue Fingerabdruck in der Konsole explizit akzeptiert werden muss. Ich habe zum besseren Verständnis einen Screenshot angehängt.
Bei gekauften Zertifikaten mit einer Laufzeit von einem Jahr, ist die manuelle Bestätigung einmal pro vertretbar. Nun beträgt die Laufzeit bei LE Zertifikaten drei Monate. Zudem werden die Zertifikate in unregelmäßigen Zeitabständen (um Ratelimits unseres Domain Hoster und LE aus dem Weg zu gehen) regelmäßig gewechselt. D.h. ich muss alle 3 Monate für jeden Server des Webportals das neue Zertifikat zu bestätigen. Solange ich diese nicht bestätige, erfolgt laut meinen Tests keine Synchronisation mehr. Was somit ein möglicher Impact für die Endanwender bedeutet.
Daher interessiert mich brennend (und andere evtl. auch), wie Eurerseits das Best Practice für dieses Szenario aussieht? LE kann man heutzutage nicht mehr wegdiskutieren.
Grüße,
Daniel