Freeipa - PKI

Allt sem tengist öðrum stýrikerfum en Windows
Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Freeipa - PKI

Pósturaf Hjaltiatla » Fim 07. Maí 2020 20:15

Var að velta fyrir mér hvort einhver hefur góða reynslu af því að nota Freeipa til að halda utan um og gefa út certificate ?
https://www.freeipa.org/page/PKI

Er ekk með flókna uppsetningu, Nota DNSmasq og set inn handvirkt DNS færslu á móti serverum á netkerfinu heima á Advanced Tomato routernum sem ég vill geta flett upp með nafnafærslu. Nota nginx sem reverse proxy til að sleppa við að slá handvirkt inn port númer þegar ég vill tengjast t.d plex þá skrifa ég plex.home í stað plex.home:32400/web.

Dæmi um færslur í DNS masq
Mynd
Nginx config sem ég nota í reverse proxy
https://pastebin.com/wd6dhBvj

Vill einfaldlega geta notað nginx reverse proxy-inn til þess að deila út þessum certificate-um en hafði hugsað að nota Freeipa eða aðra hentuga lausn til að gefa út skilríkinn og vera CA svo ég þurfi ekki að nota óþolandi self signed skilríki. Ætti þá að geta þá notað https/ssl skilríki.

Einnig opinn fyrir uppástungum.
Síðast breytt af Hjaltiatla á Fim 07. Maí 2020 20:17, breytt samtals 1 sinni.


Just do IT
  √

Skjámynd

Revenant
Geek
Póstar: 899
Skráði sig: Fim 24. Jún 2004 12:36
Reputation: 62
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Revenant » Fim 07. Maí 2020 20:31

Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt

easyrsa init-pki
easyrsa build-ca nopass


og gefa svo skilríki út með

Kóði: Velja allt

easyrsa build-server-full fqdn.domain.com nopass


(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)


i7-2600K 3.4GHz @ 4.7GHz (103 MHz x 46) 1.416 V | ASUS P8P67 Pro | ASUS GeForce GTX1070 | Mushkin Blackline 8 GB CL9 1600MHz | Antec TruePower 750W | HAF X

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Fim 07. Maí 2020 20:34

Revenant skrifaði:Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt

easyrsa init-pki
easyrsa build-ca nopass


og gefa svo skilríki út með

Kóði: Velja allt

easyrsa build-server-full fqdn.domain.com nopass


(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)

Nice , tékka á þessu :)

Takk fyrir


Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Mán 11. Maí 2020 15:58

Jæja , fékk þetta til að virka.

Notaði EasyRSA til að gefa út skilríki og setti viðeigandi skilríki í möppu á reverse proxy servernum undir /etc/nginx/certs
Þurfti síðan að import Root CA á client vélar (til að fá trustið til að virka á milli client og server).

Bjó síðan til web config skrá fyrir hverja lénfærslu í möppunni /etc/nginx/conf.d og lítur hún svona út (hérna vísaði ég í útgefnu skilríkin undir möppunni /etc/nginx/certs)

Mynd

Fékk þetta til að virka á endanum (eftir soldinn lestur um alls konar nginx directives)

Mynd

@Revenant Takk fyrir ábendinguna :)


Just do IT
  √

Skjámynd

kornelius
has spoken...
Póstar: 164
Skráði sig: Þri 09. Jan 2018 09:15
Reputation: 42
Staða: Ótengdur

Re: Freeipa - PKI

Pósturaf kornelius » Mán 11. Maí 2020 16:36

Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta



Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Mán 11. Maí 2020 16:43

kornelius skrifaði:Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta


Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.


Just do IT
  √

Skjámynd

kornelius
has spoken...
Póstar: 164
Skráði sig: Þri 09. Jan 2018 09:15
Reputation: 42
Staða: Ótengdur

Re: Freeipa - PKI

Pósturaf kornelius » Mán 11. Maí 2020 16:50

Hjaltiatla skrifaði:
kornelius skrifaði:Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta


Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.


Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,



Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Mán 11. Maí 2020 17:01

kornelius skrifaði:
Hjaltiatla skrifaði:
kornelius skrifaði:
Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,


Jamm, það meikar sense :)
Maður er byrjaður að nota einhverjar snjallþjónustur ,aðeins byrjaður að pæla í þessu fyrir framtíðina ,treysti ekki öllu þessu stöffi sem keyrir upp sem container og þess háttar fyrir að vera frontur með default auðkenningu (ekki sami standard og resourcear á bakvið allar þessar þjónustur til að halda þessu í lagi samanborið við Google-MS Facebook etc). Maður fer fljótlega að tengja einvherjar skýjaþjónustur inná þjónustur sem maður vill hafa aðgang að á heimavöllinum (Ætla að stýra hverju ég hleypi inn á netkerfið). Já síðan getur maður búið sér til einhvern dummy Amazon echo hub til að snjalltækin "hringi ekki heim" og safni göngum til síns vinnuveitanda


Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Þri 12. Maí 2020 08:06

Sýnist þetta vera næst verkefni:https://theorangeone.net/posts/wireguard-haproxy-gateway/

Wireguard HAProxy Gateway

(nota nginx reverse proxy heima en ekki traefik, ætti ekki að skipta neinu máli)
Mynd

Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista
https://aws.amazon.com/certificate-manager/pricing/?nc=sn&loc=3
Mynd

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.
Síðast breytt af Hjaltiatla á Þri 12. Maí 2020 10:47, breytt samtals 1 sinni.


Just do IT
  √

Skjámynd

Revenant
Geek
Póstar: 899
Skráði sig: Fim 24. Jún 2004 12:36
Reputation: 62
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Revenant » Þri 12. Maí 2020 16:50

Hjaltiatla skrifaði:Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.


Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.


i7-2600K 3.4GHz @ 4.7GHz (103 MHz x 46) 1.416 V | ASUS P8P67 Pro | ASUS GeForce GTX1070 | Mushkin Blackline 8 GB CL9 1600MHz | Antec TruePower 750W | HAF X

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Þri 12. Maí 2020 17:30

Revenant skrifaði:
Hjaltiatla skrifaði:Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.


Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.


Hljómar ágætlega , þarf að skoða þetta betur.
Er að nota Cloudflare og þeir bjóða uppá api , athuga hvort þetta séu einhver brjáluð vísindi: https://api.cloudflare.com/#getting-started-endpoints
Takk fyrir


Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Fös 15. Maí 2020 15:41



Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Vaktari
Póstar: 2259
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 288
Staðsetning: ::1
Staða: Tengdur

Re: Freeipa - PKI

Pósturaf Hjaltiatla » Lau 16. Maí 2020 12:17

DNS challenge svínvirkar á móti Cloudflare API og löglega Domainu sem ég á (þarf ekkert að opna port inná heima networkið). @Revenant enn og aftur takk fyrir ábendinguna :)
Mynd

Núna þarf ég ekkert að stússast að importa root CA í client-a á networkinu :)


Just do IT
  √