Freeipa - PKI

[Hjaltiatla]

Var að velta fyrir mér hvort einhver hefur góða reynslu af því að nota Freeipa til að halda utan um og gefa út certificate ?
https://www.freeipa.org/page/PKI

Er ekk með flókna uppsetningu, Nota DNSmasq og set inn handvirkt DNS færslu á móti serverum á netkerfinu heima á Advanced Tomato routernum sem ég vill geta flett upp með nafnafærslu. Nota nginx sem reverse proxy til að sleppa við að slá handvirkt inn port númer þegar ég vill tengjast t.d plex þá skrifa ég plex.home í stað plex.home:32400/web.

Dæmi um færslur í DNS masq

Nginx config sem ég nota í reverse proxy
https://pastebin.com/wd6dhBvj

Vill einfaldlega geta notað nginx reverse proxy-inn til þess að deila út þessum certificate-um en hafði hugsað að nota Freeipa eða aðra hentuga lausn til að gefa út skilríkinn og vera CA svo ég þurfi ekki að nota óþolandi self signed skilríki. Ætti þá að geta þá notað https/ssl skilríki.

Einnig opinn fyrir uppástungum.

[Revenant]

Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt

easyrsa init-pki
easyrsa build-ca nopass

og gefa svo skilríki út með

Kóði: Velja allt

easyrsa build-server-full fqdn.domain.com nopass

(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)

[Hjaltiatla]

Engin þörf á freeipa til að búa til eigin rót og gefa út skilríki.

Ég nota easy-rsa innanhús hjá mér:

Til að búa til rót er það:

Kóði: Velja allt

easyrsa init-pki
easyrsa build-ca nopass

og gefa svo skilríki út með

Kóði: Velja allt

easyrsa build-server-full fqdn.domain.com nopass

(ef þú vilt hafa password á skilríkjunum þá sleppuru nopass)

Nice , tékka á þessu

Takk fyrir

[Hjaltiatla]

Jæja , fékk þetta til að virka.

Notaði EasyRSA til að gefa út skilríki og setti viðeigandi skilríki í möppu á reverse proxy servernum undir /etc/nginx/certs
Þurfti síðan að import Root CA á client vélar (til að fá trustið til að virka á milli client og server).

Bjó síðan til web config skrá fyrir hverja lénfærslu í möppunni /etc/nginx/conf.d og lítur hún svona út (hérna vísaði ég í útgefnu skilríkin undir möppunni /etc/nginx/certs)



Fékk þetta til að virka á endanum (eftir soldinn lestur um alls konar nginx directives)



@Revenant Takk fyrir ábendinguna

[kornelius]

Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

[Hjaltiatla]

Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.

[kornelius]

Ég nota bara Letsencrypt og á valid domain og síðan port forward inn á nginx sem sér um skilríkin og til að dreyfa sem reverse proxy á viðkomandi vefi inn á mínu lani.

Keyri svo í crontab vikulega "/usr/bin/certbot renew"

Ekkert ves - þarf aldrei að hugsa um þetta

Jamm, maður hafði hugsað sér að gera það á köflum (var samt illa við að opna á heimanetið á þessu stigi).
Eina port forward sem ég er með í gangi er fyrir Wireguard VPN sem sem keyrir á rpi (það var minn millivegur).

Gæti farið útí það að setja upp Wireguard server á móti þeim sem keyrir heima t.d hjá DO og verið með SITE-to-Site tunnel (hafði hugsað mér að gera það á einhverjum tímapunkti). Og nota Cloudflare proxy til að fela ip tölu og vera með löglegt lén. Þarf að skipuleggja hvernig ég hleypi inná Gatewayinn heima og hvaða host ég vill nota sem einskonar jump host.

Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,

[Hjaltiatla]

Gleymdi að taka fram að ég er að nota WAN-DMZ-LAN uppsetningu "ER-Lite Edgemax" þannig að vefir eru á DMZ þannig að það er ekki opið inn á LAN frá Interneti,

Jamm, það meikar sense
Maður er byrjaður að nota einhverjar snjallþjónustur ,aðeins byrjaður að pæla í þessu fyrir framtíðina ,treysti ekki öllu þessu stöffi sem keyrir upp sem container og þess háttar fyrir að vera frontur með default auðkenningu (ekki sami standard og resourcear á bakvið allar þessar þjónustur til að halda þessu í lagi samanborið við Google-MS Facebook etc). Maður fer fljótlega að tengja einvherjar skýjaþjónustur inná þjónustur sem maður vill hafa aðgang að á heimavöllinum (Ætla að stýra hverju ég hleypi inn á netkerfið). Já síðan getur maður búið sér til einhvern dummy Amazon echo hub til að snjalltækin "hringi ekki heim" og safni göngum til síns vinnuveitanda

[Hjaltiatla]

Sýnist þetta vera næst verkefni:https://theorangeone.net/posts/wireguar ... y-gateway/

Wireguard HAProxy Gateway

(nota nginx reverse proxy heima en ekki traefik, ætti ekki að skipta neinu máli)


Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista
https://aws.amazon.com/certificate-mana ... c=sn&loc=3


Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

[Revenant]

Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.

[Hjaltiatla]

Edit: væri draumur í dós ef það væri sambærileg þjónusta og AWS Certificate Manager Private Certificate Authority sem væri á viðráðanlegu verði fyrir hinn almenna hobby-ista

Pottþétt snilldar lausn fyrir fyritæki en ekki heimvöllinn.

Ef þú ert með lén í hýsingu hjá aðila sem býður upp á API þá er geturu látið hvaða ACME client nota DNS challenge til að fá Let's Encrypt skilríki (eða jafnvel wildcard skilríki).
Þá geturu request-að hvaða subdomain fyrir innanhúsþjónustu án þess að þurfa að proxy-a requestunum á viðkomandi þjón(a)/þjónustur.

Hljómar ágætlega , þarf að skoða þetta betur.
Er að nota Cloudflare og þeir bjóða uppá api , athuga hvort þetta séu einhver brjáluð vísindi: https://api.cloudflare.com/#getting-started-endpoints
Takk fyrir

[Hjaltiatla]

Sýnist þetta vera málið:
https://www.reddit.com/r/selfhosted/com ... crypt_dns/

Annaðhvort þetta: https://certbot-dns-cloudflare.readthed ... en/stable/
eða
https://certbot-dns-cloudflare.readthed ... en/stable/
Skoða þetta um helgina

[Hjaltiatla]

DNS challenge svínvirkar á móti Cloudflare API og löglega Domainu sem ég á (þarf ekkert að opna port inná heima networkið). @Revenant enn og aftur takk fyrir ábendinguna


Núna þarf ég ekkert að stússast að importa root CA í client-a á networkinu

[Hjaltiatla]

Ákvað að bæta við þennan þráð þar sem ég lenti í smá auka hausverk með DNS færslur innanhúss hjá mér.

Bæði Freenas og Proxmox voru með einhver vandræði þegar ég var að query-a nafnafærslur á bakvið nginx reverse proxy.
t.d virkaði ekki vnc console glugginn í proxmox né Freenas WebGUI framendinn.

Virðist hafa verið ákveðin API websocket sem þurftu ákveðna proxy_set_header færslu í nginx reverse proxy config-ið hjá mér
Hérna eru greinanar sem hjálpuðu mér:
https://blog.ktz.me/home-assistant-exte ... oxy-setup/
https://prezer.de/per-nginx-reverse-pro ... en-31.html

Þá fór allt að virka eðlilega:

Proxmox cluster

Freenas server

Wireguard access server

[Hjaltiatla]

Búinn að einfalda mér lífið og keyri Nginx reverse proxy á Docker container í stað þess að keyra beint af sýndarvél:
Gat bætt við Certbot og Cloudflare Plugin inní Dockerfile Minna vesen þegar ég þarf að setja upp aftur eða gera breytingar.
https://github.com/hjaltiatla/rproxy

Edit: Næsta skref er að drepa Windows Server 2019 netþjón sem ég nota eingöngu sem DNS netþjón því ég hef verið latur við að læra að nota BIND þá ætti maður að vera með allt heimastöffið skilgreint í kóða