Freeipa - PKI

Hjaltiatla · Pósturaf **Hjaltiatla** » Fim 07. Maí 2020 20:15

Var að velta fyrir mér hvort einhver hefur góða reynslu af því að nota Freeipa til að halda utan um og gefa út certificate ?
https://www.freeipa.org/page/PKI

Er ekk með flókna uppsetningu, Nota DNSmasq og set inn handvirkt DNS færslu á móti serverum á netkerfinu heima á Advanced Tomato routernum sem ég vill geta flett upp með nafnafærslu. Nota nginx sem reverse proxy til að sleppa við að slá handvirkt inn port númer þegar ég vill tengjast t.d plex þá skrifa ég plex.home í stað plex.home:32400/web.

Dæmi um færslur í DNS masq
Mynd

Nginx config sem ég nota í reverse proxy
https://pastebin.com/wd6dhBvj

Vill einfaldlega geta notað nginx reverse proxy-inn til þess að deila út þessum certificate-um en hafði hugsað að nota Freeipa eða aðra hentuga lausn til að gefa út skilríkinn og vera CA svo ég þurfi ekki að nota óþolandi self signed skilríki. Ætti þá að geta þá notað https/ssl skilríki.

Einnig opinn fyrir uppástungum.

Revenant · Pósturaf **Revenant** » Fim 07. Maí 2020 20:31

Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt

easyrsa init-pki
easyrsa build-ca nopass

og gefa svo skilríki út með

Kóði: Velja allt

easyrsa build-server-full fqdn.domain.com nopass

(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)

Hjaltiatla · Pósturaf **Hjaltiatla** » Fim 07. Maí 2020 20:34

Revenant skrifaði:Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt
easyrsa init-pki easyrsa build-ca nopass

og gefa svo skilríki út með

Kóði: Velja allt
easyrsa build-server-full fqdn.domain.com nopass

(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)

Nice , tékka á þessu

Takk fyrir

Hjaltiatla · Pósturaf **Hjaltiatla** » Mán 11. Maí 2020 15:58

Jæja , fékk þetta til að virka.

Notaði EasyRSA til að gefa út skilríki og setti viðeigandi skilríki í möppu á reverse proxy servernum undir /etc/nginx/certs
Þurfti síðan að import Root CA á client vélar (til að fá trustið til að virka á milli client og server).

Bjó síðan til web config skrá fyrir hverja lénfærslu í möppunni /etc/nginx/conf.d og lítur hún svona út (hérna vísaði ég í útgefnu skilríkin undir möppunni /etc/nginx/certs)

Mynd

Fékk þetta til að virka á endanum (eftir soldinn lestur um alls konar nginx directives)

Mynd

@Revenant Takk fyrir ábendinguna

kornelius · Pósturaf **kornelius** » Mán 11. Maí 2020 16:36

Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

Hjaltiatla · Pósturaf **Hjaltiatla** » Mán 11. Maí 2020 16:43

kornelius skrifaði:Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.

kornelius · Pósturaf **kornelius** » Mán 11. Maí 2020 16:50

Hjaltiatla skrifaði:
kornelius skrifaði:Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.

Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,

Hjaltiatla · Pósturaf **Hjaltiatla** » Mán 11. Maí 2020 17:01

kornelius skrifaði:
Hjaltiatla skrifaði:
kornelius skrifaði:
Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,

Jamm, það meikar sense

Maður er byrjaður að nota einhverjar snjallþjónustur ,aðeins byrjaður að pæla í þessu fyrir framtíðina ,treysti ekki öllu þessu stöffi sem keyrir upp sem container og þess háttar fyrir að vera frontur með default auðkenningu (ekki sami standard og resourcear á bakvið allar þessar þjónustur til að halda þessu í lagi samanborið við Google-MS Facebook etc). Maður fer fljótlega að tengja einvherjar skýjaþjónustur inná þjónustur sem maður vill hafa aðgang að á heimavöllinum (Ætla að stýra hverju ég hleypi inn á netkerfið). Já síðan getur maður búið sér til einhvern dummy Amazon echo hub til að snjalltækin "hringi ekki heim" og safni göngum til síns vinnuveitanda

Hjaltiatla · Pósturaf **Hjaltiatla** » Þri 12. Maí 2020 08:06

Sýnist þetta vera næst verkefni:https://theorangeone.net/posts/wireguard-haproxy-gateway/

Wireguard HAProxy Gateway

(nota nginx reverse proxy heima en ekki traefik, ætti ekki að skipta neinu máli)
Mynd

Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista
https://aws.amazon.com/certificate-manager/pricing/?nc=sn&loc=3
Mynd

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

Revenant · Pósturaf **Revenant** » Þri 12. Maí 2020 16:50

Hjaltiatla skrifaði:Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.

Hjaltiatla · Pósturaf **Hjaltiatla** » Þri 12. Maí 2020 17:30

Revenant skrifaði:
Hjaltiatla skrifaði:Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.

Hljómar ágætlega , þarf að skoða þetta betur.
Er að nota Cloudflare og þeir bjóða uppá api , athuga hvort þetta séu einhver brjáluð vísindi: https://api.cloudflare.com/#getting-started-endpoints
Takk fyrir

Hjaltiatla · Pósturaf **Hjaltiatla** » Fös 15. Maí 2020 15:41

Sýnist þetta vera málið:
https://www.reddit.com/r/selfhosted/comments/ga02px/you_should_probably_know_about_letsencrypt_dns/

Annaðhvort þetta: https://certbot-dns-cloudflare.readthedocs.io/en/stable/
eða
https://certbot-dns-cloudflare.readthedocs.io/en/stable/
Skoða þetta um helgina

Hjaltiatla · Pósturaf **Hjaltiatla** » Lau 16. Maí 2020 12:17

DNS challenge svínvirkar á móti Cloudflare API og löglega Domainu sem ég á (þarf ekkert að opna port inná heima networkið). @Revenant enn og aftur takk fyrir ábendinguna

Núna þarf ég ekkert að stússast að importa root CA í client-a á networkinu

Hjaltiatla · Pósturaf **Hjaltiatla** » Lau 25. Júl 2020 10:42

Ákvað að bæta við þennan þráð þar sem ég lenti í smá auka hausverk með DNS færslur innanhúss hjá mér.

Bæði Freenas og Proxmox voru með einhver vandræði þegar ég var að query-a nafnafærslur á bakvið nginx reverse proxy.
t.d virkaði ekki vnc console glugginn í proxmox né Freenas WebGUI framendinn.

Virðist hafa verið ákveðin API websocket sem þurftu ákveðna proxy_set_header færslu í nginx reverse proxy config-ið hjá mér
Hérna eru greinanar sem hjálpuðu mér:
https://blog.ktz.me/home-assistant-external-reverse-proxy-setup/
https://prezer.de/per-nginx-reverse-proxy-auf-freenas-112-zugreifen-31.html

Þá fór allt að virka eðlilega:

Proxmox cluster
Mynd

Freenas server
Mynd

Wireguard access server
Mynd

Hjaltiatla · Pósturaf **Hjaltiatla** » Þri 19. Jan 2021 12:07

Búinn að einfalda mér lífið og keyri Nginx reverse proxy á Docker container í stað þess að keyra beint af sýndarvél:
Gat bætt við Certbot og Cloudflare Plugin inní Dockerfile

Minna vesen þegar ég þarf að setja upp aftur eða gera breytingar.
https://github.com/hjaltiatla/rproxy

Edit: Næsta skref er að drepa Windows Server 2019 netþjón sem ég nota eingöngu sem DNS netþjón því ég hef verið latur við að læra að nota BIND :crazy

þá ætti maður að vera með allt heimastöffið skilgreint í kóða

Freeipa - PKI

Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI

Re: Freeipa - PKI