SSL nur intern (bestimmt mal wieder)


JPB

Recommended Posts

Hallo Forum,

 

erstmal vorweg:

Bin jetzt seit  13 Tagen mit meiner Testlizenz unterwegs und bin von Unraid und der Community begeistert, hoffentlich kommt ein BlackFriday Angebot für die Lizenz. Die meisten meiner Wehwehchen konnte ich, dank des Forums" lösen. Special thanks to mGutt, ich777 und Ford Prefect, eigentlich habt ihr immer in den entsprechenden Topics die Lösung geliefert ohne dass ich hier etwas neu eröfnen musste. Keine Ahnung wie ihr das zeitlich schafft aber ich vermute, dass ihr in einem anderen Raum-/Zeit-Kontinuum unterwegs seit. DANKE. Genug geschleimt jetzt mal zu meiner Frage:

 

Ich möchte meinem Unraid einfach ein SSL verpassen. Damit die ganzen WebGUIs und Unraid eine Verschlüsselung haben. Es soll eigentlich nicht von außen erreichbar sein, da ich das nicht brauche.  Die Möglichkeiten unter "Management Access" funktionieren bei mir nicht wirklich z.B. Sicherung des Sticks oder SSL Zugriff. Liegt es sicherlich daran, dass ich zwei Fritzboxen kaskadiert habe  doppeltes NAT auf privaten Adressen (c't 08/2017).

 

  1. Ich würde mir gerne ein eigenes Zertifikat verpassen, damit ich intern SSL hab - die Warnungen interessieren micht nicht, sind dann halt zwei Klicks mehr. Als Domain ist ja offensichtlich fritz.box vorgegeben. Ist so ein Zertikfikat global auf dem Server gültig? Z.B. für Unraid, Influx Docker, Grafana Docker und die Kommunikation zwischen denen?
  2. Für eine Portweiterleitung zur Sticksicherung wäre ich auch offen, wenn ich dann nicht nach außen öffnen muss.

 

 

Ich bin kein Linuxexperte aber auch kein blutiger Anfänger. Dennoch brauche ich da eher Step by Step Hilfe oder auch einen Verweis auf einen guten Artikel, denn etwas passendes habe ich bisher nicht gefunden oder geschnallt.

 

Link to comment
3 hours ago, JPB said:

Ich würde mir gerne ein eigenes Zertifikat verpassen, damit ich intern SSL hab - die Warnungen interessieren micht nicht, sind dann halt zwei Klicks mehr. Als Domain ist ja offensichtlich fritz.box vorgegeben. Ist so ein Zertikfikat global auf dem Server gültig?

Häh wat? Entweder hat man kein Zertifikat und klickt halt zwei mal mehr oder man hat eines und klickt nicht extra. Also what you will? 😅

Link to comment

Naja, nach meinem Verstöndnis möchte man im Idealfall ein signiertes Zertifikat haben, damit im Browser alles schick ist und nicht die Meldungen erhält, dass ein Sicherheitsrisiko besteht. Für mich geht es nur darum SSL einzusetzen, damit ich nicht alle meine Kennwörter intern im Klartext versende, da ja auch ein internes Netz kompromitiert sein kann. Daher dachte ich, dass es da einen einfachen Weg gibt sich für jeden Docker/WebUI ein "self-signed" Zertifikat ggf. mit entsprechender Warnung zu generieren.

 

Wie erwartet gibt es anscheinend den passenden Thread dazu. Auch wenn der Aufwand hoch sein mag und vielleicht auch zur Aufgabe führt, ein Lerneffekt wird man sicherlich haben.

 

Prima vielen Dank, den werde ich mir am Wochenende mal genauer anschauen.

Link to comment
16 hours ago, JPB said:

Daher dachte ich, dass es da einen einfachen Weg gibt sich für jeden Docker/WebUI ein "self-signed" Zertifikat ggf. mit entsprechender Warnung zu generieren.

Self signed oder gar kein Zertifikat sind im Ergebnis im Browser das selbe. Also wenn braucht man ein gültiges Zertifikat. Oder man installiert das Zertifikat im Browser selbst, aber das müsste man dann bei jedem Client machen. Ist also eher ätzend.

 

Dein Problem wird nun die Validierung sein, weil Doppel NAT hast. Daher wirst du nur eine DNS-basierte Validierung durchführen können. Mit Let's Encrypt oder ZeroSSL nur per acme.sh Container umsetzbar. Aber in dem Thread war noch ein Beispiel mit Cloudflare. 

Link to comment

Hello

 

Zuerst brauchst du eine lokale CA, z.B. mit Easy-RSA oder opnsense Firewall bzw openssl auf Linux, mit Fritz Boxen kenne ich mich leider nicht aui daher k.A. ob das Erstellen einer CA mit einer Fritz Box auch möglich ist.

 

unraid braucht "pem" Server Zertifikate (cert+key in einem File) solltest du ein p12 File haben von deiner lokalen CA musst du umwandeln.

 

openssl pkcs12 -in servercert.p12 -out servercert_bundle.pem -nodes

 

Dieses pem File kopierst du mit SSH ins Verzeichnis /boot/config/ssl/certs

 

Nach dem Restart des Webservers ist das SSL Zertifikat aktiv

 

 /etc/rc.d/rc.nginx restart

 

Diese Zertifikat gilt nur für unraid selbst, jeder Container oder VM braucht ebenfalls ein solches Serverzertifikat.

 

Wenn du das root Zertifikat dieser lokalen CA in deine PC's importierts (Vertauenswürdige Stammzertifizierungsstellen) funktionieren solche Zertifikate genauso wie öffentliche also keine Fehlermeldungen und kein weiteren Klicks.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.