expertenaustausch > linux.debian.user.german

Marc Haber (15.04.2020, 21:40)
Hallo,

wenn ich openssl installiere, kommt ja ein selbstsigniertes
snakeoil-Zertifikat mit. Dabei liegt der private key in
/etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
/etc/ssl/certs. Letzteres finde ich nicht wirklich schön.

Wie macht ihr das? So wie debian das macht oder wo liegen Eure
Host-Zertifikate?

Grüße
Marc
Harald Weidner (16.04.2020, 01:10)
Hallo,

> wenn ich openssl installiere, kommt ja ein selbstsigniertes
> snakeoil-Zertifikat mit. Dabei liegt der private key in
> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
> Host-Zertifikate?


Wenn ich sie selbst erstelle, lege ich sie in /etc/ssl/local ab, damit sie
nicht in der Fülle der mitgelieferten Zertifikate untergehen.

Was von certbot kommt, liegt unter /etc/letsencrypt.

Gruß, Harald
Paul Muster (16.04.2020, 09:50)
Am 15.04.2020 um 21:33 schrieb Marc Haber:

> wenn ich openssl installiere, kommt ja ein selbstsigniertes
> snakeoil-Zertifikat mit. Dabei liegt der private key in
> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
> Host-Zertifikate?


/var/lib/dehydrated/certs/<domain>/

Und die private keys liegen da auch.

Beides entspricht m.W. der Standardeinstellung des ACME-Clients
"dehydrated", paketiert in Debian als Version 0.6.2-2+deb10u1.

Viele Grüße

Paul
Marc Haber (16.04.2020, 11:50)
On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
<exp-311220> wrote:
>Am 15.04.2020 um 21:33 schrieb Marc Haber:
>/var/lib/dehydrated/certs/<domain>/


Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

Mit xca habe ich neulich endlich eine für meine kleine Umgebung
beherrschbare CA-Software gefunden.

Grüße
Marc
Martin Reising (16.04.2020, 12:10)
On Thu, Apr 16, 2020 at 11:44:06AM +0200, Marc Haber wrote:
> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.


Wenn die CA- und Chain-pubkeys in

/usr/local/share/ca-certificates
abgelegt wurden und die dazu passenden Privatekeys in /etc/ssl/private,
dann spricht doch nichts dagegen die Applikationszertifikate incl.
Privatekey im PEM-Format ebenfalls in /etc/ssl/private zu speichern.
Marc Haber (16.04.2020, 18:30)
On Thu, 16 Apr 2020 12:03:17 +0200, Martin Reising
<mreising> wrote:
>On Thu, Apr 16, 2020 at 11:44:06AM +0200, Marc Haber wrote:
>Wenn die CA- und Chain-pubkeys in
> /usr/local/share/ca-certificates
>abgelegt wurden und die dazu passenden Privatekeys in /etc/ssl/private,
>dann spricht doch nichts dagegen die Applikationszertifikate incl.
>Privatekey im PEM-Format ebenfalls in /etc/ssl/private zu speichern.


Ja, richtig. Ich hatte gehofft, dass es etwas einheitlicheres gibt als
"jeder macht es so wie er es für richtig hält".

Grüße
Marc
Paul Muster (16.04.2020, 19:50)
On 16.04.20 11:44, Marc Haber wrote:
> On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
> <exp-311220> wrote:
>> Am 15.04.2020 um 21:33 schrieb Marc Haber:


> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.


Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
*.int[ern].zuschlus.de, erschlagen könnte?

> Mit xca habe ich neulich endlich eine für meine kleine Umgebung
> beherrschbare CA-Software gefunden.


Ja, nee, danke. Da bin ich rausgewachsen.

mfG Paul
Ulf Volmer (16.04.2020, 20:10)
On 16.04.20 19:36, Paul Muster wrote:
> On 16.04.20 11:44, Marc Haber wrote:


> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
> *.int[ern].zuschlus.de, erschlagen könnte?


Gerade für VPN und Co möchte man eine eigene CA, damit man Client
Zertifikate ausstellen kann.

Viele Grüße
Ulf
Sven Hartge (16.04.2020, 20:40)
Paul Muster <exp-311220> wrote:
> On 16.04.20 11:44, Marc Haber wrote:
>> On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
>> <exp-311220> wrote:
>>> Am 15.04.2020 um 21:33 schrieb Marc Haber:



> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
> *.int[ern].zuschlus.de, erschlagen könnte?


VoIP-Deployment: Jeder IP-DECT-Basisstation braucht ein eigenes
Zertifikat, dies von einer externen CA zu beziehen und dann jährlich
manuell zu erneuern ist Wahnsinn. (Ja, manuell, das VoIP-Netz hat keinen
Zugang zu externen Netzen.)

PDU-Deploymnet: Jede Schaltleiste braucht ein eigenes Zerttifikat, ...
siehe oben.

S!
Marc Haber (17.04.2020, 09:20)
On Thu, 16 Apr 2020 19:36:47 +0200, Paul Muster
<exp-311220> wrote:
>Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
>heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
>wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
>*.int[ern].zuschlus.de, erschlagen könnte?


Das liegt unter anderem daran, dass mein DNS-Setup aktuell nicht
dynamisch genug für DNS-Challenges ist, ich nicht überall dort, wo ich
ein Zertifikat brauche auch einen erreichbaren Webserver habe und ich
ungerne mit Wildcards arbeiten möchte.

Grüße
Marc
Paul Muster (17.04.2020, 09:30)
Am 16.04.2020 um 20:37 schrieb Sven Hartge:
> Paul Muster <exp-311220> wrote:


> VoIP-Deployment: Jeder IP-DECT-Basisstation braucht ein eigenes
> Zertifikat, dies von einer externen CA zu beziehen und dann jährlich
> manuell zu erneuern ist Wahnsinn. (Ja, manuell, das VoIP-Netz hat keinen
> Zugang zu externen Netzen.)
> PDU-Deploymnet: Jede Schaltleiste braucht ein eigenes Zerttifikat, ...
> siehe oben.


Es ging um Marcs private, häusliche IT. Dass man in professionellen
Umgebungen eine interne CA-Infrastruktur sehr gut brauchen kann, stelle
ich natürlich nicht in Frage.

mfG Paul
Ähnliche Themen