Tak samozřejmě, že pro interní použití je třeba si tu důvěru zajistit nad svými systémy. Naimportujete svůj CA cert chain kam potřebujete, ideálně ho máte rovnou v šabloně instalačního media nebo v šabloně virtuálních strojů.
Pro tyhle případy - prostě obyč generování/podepisování/ověřování (místo "ručních" self-signed) zkouším používat cfssl - https://github.com/cloudflare/cfssl - http api, multiroot, intermediate ca. Pro vlastní systémy, které nejsou jen http se mi to jeví jako vhodnější varianta - např různé db replikace, tcp tls/ssl daemoni. Možnost vydávat klientské nebo serverové certifikáty zvlášť. CRL a OCSP už je čistě třešnička navíc. Není to z mého pohledu uplně out-of-the box použitelné, ale vypadá to nadějně.
Pokud používáte pro IPA, tak ta umí taktéž generovat certifikáty - https://www.freeipa.org/page/Certmonger
pokud potřebujete interní certifikáty s CRL a OCSP tak docela fajn je taky https://www.ejbca.org/
S timhle souvisi jedna moje bolistka, kterou jsem jeste nemel cas resit ani na intelektualni urovni ci si na to vyrabet nazor. Vyrobci zarizeni s admin rozhranim (switche, routery, tiskarny...) poskytuji budto alespon nebo vyhradne https pristup k admin interface. Nicmene, rada z techto zarizeni obsahuje self-signed certifikat nebo certifikat, ktery je navazany na nejakou autoritu, ktera neni bezne v prohlizeci. S tim, jak dneska prohlizece pristupuji k zajisteni bezpecnosti zacina byt docela narocne ci otravne pro kazdeho cloveka se k admin interface dostat ("zobrazit podrobnosti" -> "vim co delam" -> "pekne prosim" -> prejit na stranku a podobne). Myslel jsem, ze kde je to mozne, certifikat vymenit za certifikat vystaveny z LE, ale oni (asi celkem logicky a technicky spravne ) vystavuji certifikaty jenom k verejnym domenam. Je nejaky zpusob, jak tohle resit? Tedy aby mne prestala "bezpecnost" otravovat a zacala pro mne pracovat?
Ano. Dokonce ten A
záznam pro tiskárnu se ani nemusí překládat v internetu, ale jenom ve vaší domácí síti. Z internetu musí jít přeložit jenom ten TXT
záznam _acme-challenge.printer.home.y.net
v okamžiku ověřování certifikátu. Používám to tak doma (a ty privátní adresy se překládají i z internetu, neřeším to), ve firmě používáme tu druhou variantu, že ve veřejné zóně máme jenom TXT
záznamy pro ověřování a A
/ AAAA
záznamy jsou jen v interní zóně (my tam ve skutečnosti máme CNAME
záznamy na .local
adresy).
To je sice super.
Ale...
1] kazdy si muze vyhledat v seznamu domen takovehle domeny...to neni moc vhodne.
2] 3 mesicni lhuta je pro tyhle zarizeni, ktere mnohdy umi jen http(s) administraci, takze zadne api na upgrade, k nicemu
3] mnoha tato zarizeni neumi pracovat s intermediate, popr. se to tam ani nevejde... (zle oko na HP G7)
kazdy si muze vyhledat v seznamu domen takovehle domeny
V jakém seznamu domén? Jaké „takovéhle“ domény tam budete hledat?
3 mesicni lhuta je pro tyhle zarizeni, ktere mnohdy umi jen http(s) administraci, takze zadne api na upgrade, k nicemu
Nikdo vás nenutí používat Let's Encrypt, klidně si tam kupte komerční certifikát s platností několik let.
mnoha tato zarizeni neumi pracovat s intermediate, popr. se to tam ani nevejde...
Který prohlížeč dnes nemá intermediate certifikát Let's Encrypt mezi důvěryhodnými certifikáty? Ostatně, jeden nebo dokonce dva intermediate certifikáty běžně používají i komerční autority. Vlastně jediná autorita, u které si vybavuji, že podepisovala přímo kořenovým certifikátem, je I.CA – a i ta už dnes používá intermediate certifikáty.
Treba do iDrac6 jsem LE certifikat nedostal, kdyz mel byt iDrac LDAP klient. Protoze do nej dostanete jen CA certifikat a kdyz server posle svuj serverovy a intermediate, tak ho iDrac neuzna, neumi si sestavit ten retez duvery.
Nicmene kdyz si vezmu jaky opruz je dostavat certifikaty treba do Cisco/Linksys rady 200, tak interni CA je jedina sance jak to nejak rozumne pouzivat a certy delat alespon na dva roky. Vsechny domaci krabicky na tom nebudou o nic lepe. Jakmile to ma jen webovou administraci, tak by tam menil certifikaty po 3 mesich jen silenec.
V rade 2960 uz je vymena certifikatu snadna a rychla, ale zase kdyz pouzivate takove switche, tak uz urcite nejakou interni CA mate.
Takze v nasazeni LE pro domaci krabicky moc sanci nevidim, to zvladne Turris a pak dlouho nic.
Synology NAS mají od nějaké aktualizace podporu Let's Encrypt zabudovanou (ale používají ověřování přes soubor na HTTP serveru, takže NAS musí být dostupný z internetu). Myslím, že podpora pro ACME bude v těchhle zařízeních postupně přibývat, protože když to má ovládat laický uživatel přes webový prohlížeč, bude potřeba, aby tam byl důvěryhodný certifikát. Že tam ta podpora není teď mne nepřekvapuje, výrobci těchhle zařízení byli vždycky opoždění o několik let – stačí si vzpomenout, jak dlouho tam přežíval proprietární Windows-only software pro konfiguraci, ActiveX, Flash…
PKI ve Vaultu je poměrně mladá věc (odhadem 3-6 měsíců?), ale podle dokumentace by to mělo fungovat docela slibně (https://www.vaultproject.io/docs/secrets/pki/index.html). Jen nevím, jestli k tomu někdo napsal skript, který by řešil automatickou obnovu ve stylu ACME klientů.
Škoda, že pro FreeIPA je podpora ACME pořád jen v backlogu. Boulder vypadá zajímavě, ale bez propojení na nějakou centralizovanou správu je ve firmách, kde má vlastní CA smysl, dost na nic.