Welke CA/Certs voor thuis ?

Tomby
Elite Poster
Elite Poster
Berichten: 4839
Lid geworden op: 01 Feb 2006
Bedankt: 355 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 805 keer

Welke CA/Certs voor thuis ?

Berichtdoor Tomby » 2 weken 6 dagen 18 uur geleden (10 Sep 2020, 12:02)

Een beetje in lijn met mijn topic over VPN : wat is de beste manier om thuis gebruik te maken van certificates ?
Ben nu al diverse plaatsen thuis tegengekomen waar ik TLS certs kan configureren: Synology GUI, Omada Controller, ... En ik vermoed dat ik ook certs ga nodig hebben als ik een IKEv2 server wil opzetten. Ook ga ik dus zowel server als personal certs nodig hebben.

Ga ik best naar een LetsEncrypt ? Daar moet je dan wel een DNS domain hebben, vermoed ik, en ik kan me inbeelden dat (gratis) Dynamic DNS namen ook niet kunnen ?
Of creëer je beter je eigen self-signed CA die je dan wel in alle cliënts moet toevoegen aan de trust store ?
Afbeelding

tien
Elite Poster
Elite Poster
Berichten: 870
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 35 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 79 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor tien » 2 weken 6 dagen 18 uur geleden (10 Sep 2020, 12:15)

ik gebruik thuis self signed die ik maak op opnsense (lazy :p en beetje tegen principe om firewall voor extras te gebruiken) voor lokaal werkt dat wel maar gebruik geen vpn. Syno is hier wat op leeftijd, heeft +- 2 dagen nodig voor de dagelijkse virusscan dus gebruik hem niet graag voor extras :p

Toevoegen aan clients niet direct probleem als het toch enkel je eigen pcs zijn? Iets lastiger als er andere buitenstaanders bijkomen (in mijn geval klikken die toch op alles dat je ze doorstuurt... behalve als je er expliciet om vraagt :lol: )

efari
Member
Member
Berichten: 62
Lid geworden op: 10 Sep 2015
Bedankt: 6 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 3 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor efari » 2 weken 6 dagen 18 uur geleden (10 Sep 2020, 12:46)

Ik begrijp dus dat je een Synology diskstation in huis hebt?
Je kan die gebruiken voor je gratis ddns (dienst van Synology). Eens kijken in de gui.
En je kan er zelfs ook letsencrypt certificaten laten aanvragen (poort 80 en 443 opzenzetten)
Én daarna kan je zelfs (nog steeds via GUI) een reverse proxy instellen, zodat je meerdere servers in uw intern netwerk op 1 certificaat hebt (of meerdere certificaten, indien je subdomainen hebt)

Zo draaien uw servers op uw intern netwerk gewoon http zonder ssl. Maar naar buiten toe krijgen ze wel ssl

Dit is alleszins hoe ik het doe :-D

(Enfin, ik heb meerdere (sub-)domeinen, Dit is los van synology ddns.
Maar al die domeinen heb ik C-NAME ingesteld naar de ddns domeinnaam die ik van synology krijg. De reverse proxy vangt dat dan op en kan zien welk subdomain gevraagd wordt, en verbindt dan met de juiste server intern. )

devastator
Elite Poster
Elite Poster
Berichten: 978
Lid geworden op: 01 Nov 2005
Locatie: Pelt
Bedankt: 43 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 15 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor devastator » 2 weken 6 dagen 17 uur geleden (10 Sep 2020, 13:17)

efari schreef:En je kan er zelfs ook letsencrypt certificaten laten aanvragen (poort 80 en 443 opzenzetten)


Die poorten openzetten zijn voor mij een absolute nono. Dat zijn net de poorten die gescanned worden ...

CCatalyst
Elite Poster
Elite Poster
Berichten: 3524
Lid geworden op: 20 Jun 2016
Bedankt: 299 keer
Recent bedankt: 13 keer
Uitgedeelde bedankjes: 17 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor CCatalyst » 2 weken 6 dagen 17 uur geleden (10 Sep 2020, 13:29)

Voordelen en nadelen.

=> Let's Encrypt is gratis en trusted, wel DNS nodig - hou wel rekening met het feit dat het een PITA is op toestellen waar automatisch certificaat management niet mogelijk is en dat alle toestellen waarvoor je certs uitgeeft netjes in publieke logs komen.
=> self-signed is gratis, geen DNS nodig maar niet trusted, op elke client moet je het root cert van je CA dus manueel trusten - je kan ook een miljoen keer op "Proceed anyway" klikken in de plaats maar Chrome wordt meer en meer allergisch aan zo'n zaken

=> Er is ook RapidSSL, het budgetmerk van de Digicert club voor $10/jaar, trusted, DNS nodig. Vooral handig voor toestellen waarbij je geen ACME hebt. Optie om niet te loggen. Noot: Digicert doet op rapidssl.com alsof RapidSSL niet meer bestaat en wil je naar de duurdere midpriced certs onder de Geotrust merknaam pushen. Je moet via een reseller gaan om RapidSSL te kunnen krijgen, daarna kan je het cert gewoon beheren via de management interface van Geotrust.

Tomby
Elite Poster
Elite Poster
Berichten: 4839
Lid geworden op: 01 Feb 2006
Bedankt: 355 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 805 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor Tomby » 2 weken 6 dagen 17 uur geleden (10 Sep 2020, 13:53)

CCatalyst schreef:een PITA is op toestellen waar automatisch certificaat management niet mogelijk is


Dat is inderdaad wel een goed punt. Die 90d validity bij LetsEncrypt betekent wel dat je je werk hebt aan renewals.
Met mijn eigen CA doe ik een beetje wat ik wil, en die kan ik wellicht zonder veel poespas installeren op de paar Windows en IOS devices die de CA moeten trusten.
Afbeelding

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 3537
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 174 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 58 keer
Contact:

Re: Welke CA/Certs voor thuis ?

Berichtdoor Sasuke » 2 weken 6 dagen 16 uur geleden (10 Sep 2020, 14:29)

Tomby schreef:
CCatalyst schreef:een PITA is op toestellen waar automatisch certificaat management niet mogelijk is


Dat is inderdaad wel een goed punt. Die 90d validity bij LetsEncrypt betekent wel dat je je werk hebt aan renewals.
Met mijn eigen CA doe ik een beetje wat ik wil, en die kan ik wellicht zonder veel poespas installeren op de paar Windows en IOS devices die de CA moeten trusten.


Voor de meest gangbare zaken, inclusief Windows/IIS/Exchange kan je https://certifytheweb.com/ gebruiken. Gratis en handig voor LetsEncrypt (of andere)
Logic - The art of being wrong with confidence !
Afbeelding

efari
Member
Member
Berichten: 62
Lid geworden op: 10 Sep 2015
Bedankt: 6 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 3 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor efari » 2 weken 6 dagen 16 uur geleden (10 Sep 2020, 14:32)

devastator schreef:
efari schreef:En je kan er zelfs ook letsencrypt certificaten laten aanvragen (poort 80 en 443 opzenzetten)


Die poorten openzetten zijn voor mij een absolute nono. Dat zijn net de poorten die gescanned worden ...

Voor letsencrypt moet je moet initieel poort 80 openzetten voor het aanvragen van het cert. daarna is enkel 443 nodig voor de renewal. (En mag 80 terug dicht)
Als dat niet gaat voor jou, zal je geen letsencrypt kunnen gebruiken denkik

devastator
Elite Poster
Elite Poster
Berichten: 978
Lid geworden op: 01 Nov 2005
Locatie: Pelt
Bedankt: 43 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 15 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor devastator » 2 weken 6 dagen 16 uur geleden (10 Sep 2020, 14:39)

efari schreef:
devastator schreef:
efari schreef:En je kan er zelfs ook letsencrypt certificaten laten aanvragen (poort 80 en 443 opzenzetten)


Die poorten openzetten zijn voor mij een absolute nono. Dat zijn net de poorten die gescanned worden ...

Voor letsencrypt moet je moet initieel poort 80 openzetten voor het aanvragen van het cert. daarna is enkel 443 nodig voor de renewal. (En mag 80 terug dicht)
Als dat niet gaat voor jou, zal je geen letsencrypt kunnen gebruiken denkik


HomeAssistant kan het zonder dat 1 van die 2 poorten open moet. Geen idee hoe ze het doen.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 3366
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 178 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 352 keer
Contact:

Re: Welke CA/Certs voor thuis ?

Berichtdoor devilkin » 2 weken 6 dagen 16 uur geleden (10 Sep 2020, 14:46)

Ik gebruik m'n eigen CA (voor interne hosted dingen) en Letsencrypt voor publieke zaken. Ik doe de check en renewal via cloudflare Dns method, poorten openzetten is geen vereiste.
Telenet All-Internet & TV -- using CV8560E & Ubiquiti USG-3
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)

devastator
Elite Poster
Elite Poster
Berichten: 978
Lid geworden op: 01 Nov 2005
Locatie: Pelt
Bedankt: 43 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 15 keer

Re: RE: Re: Welke CA/Certs voor thuis ?

Berichtdoor devastator » 2 weken 6 dagen 15 uur geleden (10 Sep 2020, 15:42)

devilkin schreef:Ik gebruik m'n eigen CA (voor interne hosted dingen) en Letsencrypt voor publieke zaken. Ik doe de check en renewal via cloudflare Dns method, poorten openzetten is geen vereiste.
Heb je door een tutorial ofzo voor?

Verstuurd vanaf mijn SM-G965F met Tapatalk

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 3366
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 178 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 352 keer
Contact:

Re: Welke CA/Certs voor thuis ?

Berichtdoor devilkin » 2 weken 6 dagen 11 uur geleden (10 Sep 2020, 19:49)

https://certbot-dns-cloudflare.readthed ... en/stable/

Voorts vereist dit wel dat je eigen domein bij cloudflare zit als Dns provider.

Adhv de api key kan certbot dan een record aanmaken wat dan gebruikt wordt door letsencrypt om ownership te valideren.

Sent from my SM-T970 using Tapatalk
Telenet All-Internet & TV -- using CV8560E & Ubiquiti USG-3
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)

blaatpraat
Elite Poster
Elite Poster
Berichten: 1102
Lid geworden op: 10 Jan 2014
Bedankt: 86 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 30 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor blaatpraat » 2 weken 6 dagen 9 uur geleden (10 Sep 2020, 21:45)

devastator schreef:
efari schreef:En je kan er zelfs ook letsencrypt certificaten laten aanvragen (poort 80 en 443 opzenzetten)


Die poorten openzetten zijn voor mij een absolute nono. Dat zijn net de poorten die gescanned worden ...

Die poorten enkel openzetten richting de virtual environment die LE nodig heeft, en niet meer dan dat; ander webverkeer dan afdwingen via de VPN?

DarkV
Elite Poster
Elite Poster
Berichten: 1092
Lid geworden op: 17 Apr 2019
Bedankt: 57 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 45 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor DarkV » 2 weken 8 uur 29 minuten geleden (16 Sep 2020, 22:27)

devastator schreef:HomeAssistant kan het zonder dat 1 van die 2 poorten open moet. Geen idee hoe ze het doen.


Je kan de verificatie ook via een DNS entry laten verlopen.

liegebeestig
Elite Poster
Elite Poster
Berichten: 2037
Lid geworden op: 01 Jun 2006
Bedankt: 53 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor liegebeestig » 1 week 6 dagen 21 uur geleden (17 Sep 2020, 09:22)

Voor een HA integratie heb ik een https nodig op een lokaal adres. Hoe kan dat?

DarkV
Elite Poster
Elite Poster
Berichten: 1092
Lid geworden op: 17 Apr 2019
Bedankt: 57 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 45 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor DarkV » 1 week 6 dagen 13 uur geleden (17 Sep 2020, 17:02)

Een certificaat heeft niets te maken met een adres... wel met de hostname (common name).

Als jij je lokale server dus aanspreekt als myserver.home.local en hierbvoor een selfs-signed certificaat aanmaakt is dat prima.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7951
Lid geworden op: 28 Jan 2012
Bedankt: 585 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 132 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor ITnetadmin » 1 week 6 dagen 13 uur geleden (17 Sep 2020, 17:56)

Please oh please don't use .local :-)
Dat is al jaren deprecated en geen best practice ;-)

devastator
Elite Poster
Elite Poster
Berichten: 978
Lid geworden op: 01 Nov 2005
Locatie: Pelt
Bedankt: 43 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 15 keer

Re: RE: Re: Welke CA/Certs voor thuis ?

Berichtdoor devastator » 1 week 6 dagen 12 uur geleden (17 Sep 2020, 18:00)

DarkV schreef:Een certificaat heeft niets te maken met een adres... wel met de hostname (common name).

Als jij je lokale server dus aanspreekt als myserver.home.local en hierbvoor een selfs-signed certificaat aanmaakt is dat prima.
Het ding is, hij heeft wel een certificaat (lets encrypt), maar als je HomeAssistant lokaal benadert (op IP), is dat dus niet geldig

Verstuurd vanaf mijn SM-G965F met Tapatalk

DarkV
Elite Poster
Elite Poster
Berichten: 1092
Lid geworden op: 17 Apr 2019
Bedankt: 57 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 45 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor DarkV » 1 week 5 dagen 18 uur geleden (18 Sep 2020, 12:31)

ITnetadmin schreef:Please oh please don't use .local :-)
Dat is al jaren deprecated en geen best practice ;-)


Als je geen eigen domain hebt zijn er weinig alternatieven dan er eentje te verzinnen dat niet bestaat.

Indien je wel een eigen domain hebt is het een ander verhaal (maar dan moet je ook split DNS ed. draaien).

devastator schreef:maar als je HomeAssistant lokaal benadert (op IP), is dat dus niet geldig


Benader het op hostname... zoals hierboven beschreven heb je dan split DNS nodig (of hairpinning).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7951
Lid geworden op: 28 Jan 2012
Bedankt: 585 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 132 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor ITnetadmin » 1 week 5 dagen 18 uur geleden (18 Sep 2020, 12:40)

Het is niet alleen voor de show, .local breekt ook vanalles.
Als het een productie domain is, krijg je miserie met dns security als je met certs wil werken.
En .local wordt door apple gebruikt voor hun bonjour protocol.

Het is dus echt wel afgeraden om dat nog te gebruiken.
Best practice is om altijd een domain te gebruiken voor productie netwerken, zonder discussie.
Wil je een test netwerk, dan is er eigenlijk geen goed alternatief waarvan je zeker bent dat het niks breekt.

Nu, wat mij betreft had men .local gewoon moeten reserveren hiervoor en basta; dat apple maar iets anders gebruikt.

devastator
Elite Poster
Elite Poster
Berichten: 978
Lid geworden op: 01 Nov 2005
Locatie: Pelt
Bedankt: 43 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 15 keer

Re: RE: Re: Welke CA/Certs voor thuis ?

Berichtdoor devastator » 1 week 5 dagen 18 uur geleden (18 Sep 2020, 12:42)

DarkV schreef:
Benader het op hostname... zoals hierboven beschreven heb je dan split DNS nodig (of hairpinning).


Werkt hairpinning als inet down is?


Verstuurd vanaf mijn SM-G965F met Tapatalk

DarkV
Elite Poster
Elite Poster
Berichten: 1092
Lid geworden op: 17 Apr 2019
Bedankt: 57 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 45 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor DarkV » 1 week 5 dagen 17 uur geleden (18 Sep 2020, 13:18)

Nee, want dan resolved hij ook je hostname niet en heb je trouwens geen adres ook niet.

Dus best met split DNS werken.

liegebeestig
Elite Poster
Elite Poster
Berichten: 2037
Lid geworden op: 01 Jun 2006
Bedankt: 53 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor liegebeestig » 1 week 5 dagen 16 uur geleden (18 Sep 2020, 14:09)

Het rare is dat de integratie expliciet vraagt naar een intern ip adres. Ik heb een domein en een duckdns systeem voor ha met certificaat, maar dat werkt dus niet.

Dit is wat ik wil doen werken:
https://www.home-assistant.io/integrati ... e_connect/

Zie redirect URI

tizzen33
Starter
Starter
Berichten: 24
Lid geworden op: 30 Mar 2017
Bedankt: 5 keer
Recent bedankt: 1 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor tizzen33 » 1 week 5 dagen 8 uur geleden (18 Sep 2020, 22:56)

Die Redirect URI wordt gebruikt om de data, die de OAuth flow krijgt van de externe API, door te geven aan HA. Je kan hier dus elk ip adres of hostname gebruiken van je HA installatie, zolang het maar bereikbaar is vanaf de locatie waarop je de authenticatie start.

liegebeestig
Elite Poster
Elite Poster
Berichten: 2037
Lid geworden op: 01 Jun 2006
Bedankt: 53 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 33 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor liegebeestig » 1 week 4 dagen 23 uur geleden (19 Sep 2020, 07:53)

Dat zou in principe zo moeten zijn. De https...duckdns is van overal te bereiken met certificaat. Toch krijg ik een foutmelding als output.

dupondje
Pro Member
Pro Member
Berichten: 390
Lid geworden op: 14 Sep 2006
Bedankt: 11 keer

Re: Welke CA/Certs voor thuis ?

Berichtdoor dupondje » 1 week 4 dagen 22 uur geleden (19 Sep 2020, 08:49)

Als je een domein hebt en controle over de DNS ervan, vraag gewoon een wildcard cert aan bij Lets encrypt?

Krijg je *.domein.tld, kan je het overal waar je wil op installeren en je moet niets een public IP geven.


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast