Server Zertifikate mit Wildcards

[blaubaerli]

Hi @alexbeer,

das wird dir maximal für eigene Container helfen. Die Zertifikate der TW-internen Seiten kannst du nicht eigenständig beeinflussen oder modifizieren.

Gruß
Jens

[StefanW]

Dieses Zertifikat möchte ich gerne per Cron o.ä. regelmäßig / automatisch auf meinem TWS installieren. Die hier mehrfach zu findenden Herausforderungen mit den selbst signierten Zertifikaten hoffe ich so zu umgehen.

Dat geht nicht. Es gibt keinen Root-Zugriff auf den Timberwolf Server, weil der Support sonst nicht zu bezahlen ist, wir haben da sehr teure Erfahrungen auf dem Wiregate Server gemacht, sorrry.

Aber es wird eines Tages ein Feature geben, wie man sein eigenes Zertifikat auf den TWS bekommen kann, derzeit ist das noch nicht implementiert.

lg

Stefan

[Dante]

Mir ist grad ne Lösung für alle die mit dem Zugriff über timberwolfXXX.local Probleme haben oder den Server die eigene interne DNS-Struktur einfügen wollen:
Container mit eigener IP und Reverse-Proxy inkl. SSL einrichten und diesem ein selbst signiertes Zertifikat vergeben oder ggf. sogar eins dafür kaufen.

Oder gibt es seitens TW Funktionen die dies blockieren würden / könnten?
Certificate Pinning, Zwangsumleitungen auf timberwolfXXX.local o.ä.?

[blaubaerli]

Hi @Dante, hast du ne Idee, wie mir die Lösung dabei hilft, dass sich mein iPhone das sich im Datennetz des Providers meines Vertrauens befindet sich bemüssigt fühlen soll eine Namensauflösung für timberwolf168.local vorzunehmen? Ich habe keine Möglichkeit dem Ding eine IP aufzuzwingen die mir ggf. helfen würde.

Selbst wenn, ich habe meinem iPhone ein Regelwerk für den dynamischen Aufbau einer VPN-Verbindung bei Ansprache der Domain „fritz.box“ verpasst. Das klappt aber bei den aktuellen iOS-Versionen auch nur noch bei der Nutzung von Domainnamen und nicht bei Vorgabe expliziter IP-Adressen. Damit bin ich darauf angewiesen entweder aus diesem Weg weiterzukommen, oder eben über Zertifikate, ob selbstgezeichnet, LetsEncrypt basiert, oder von Elabnet zertifiziert.

Ohne die Lösung komme ich nicht an die Verwaltungsseiten des TW.

Ich hoffe eigentlich, dass ich mich irre. Aber ich bin noch nicht überzeugt.

Gruß
Jens

[Dante]

Dein Anwendungszweck ist also (auch) Zugriff auf den TW über das Internet und nicht über das lokale Netz / WLAN?

Dazu will ich einerseits auf den TW-Katalog verweisen (Seiten 8, 110 und 180):







Einen Zugriff über dann vllt. timberwolf1234.timberwolf.io oder über eine eigene Domain sind gem. Katalog also "voraussichtlich verfügbar ab Juni 2019" - ob der Zeitplan noch hinkommt muss @StefanW beantworten.

Das wäre die offizielle Lösung die kommen soll.


===============================================

Eine Alternative Lösung auf Basis meines Ansatzes wäre es dann, dass du dir einen Docker-Container mit eigener IP-Adresse in deinem LAN einrichtest, in diesem einen Reverse-Proxy installierst, der als Quelle die lokale Timberwolf-IP-Adresse hat. Die neue IP-Adresse per Portweiterleitung im Router mit dem Internet "verbinden". Und den Reverse-Proxy mit einem Zertifikat ausstatten.

Da ich den Bedarf dafür nicht habe und mich auch in die Themen Docker, Reverse-Proxy und Zertifikat hierfür (sollte theoretisch sogar mit Let's Encrypt möglich sein) erst tiefer einarbeiten müsste für eine praktische Umsetzung, kann ich dir nur einen meiner Meinung nach funktionierenden Plan aber keine saubere Anleitung dafür liefern.

[blaubaerli]

Das von ElabNet da was kommen wird ist mir klar. Auch der geplante Zeitplan.

Ich bin halt an einer Lösung interessiert, die vorher funzt.
Ich werde mir das mal ansehen. Danke für den Anstoß.

Gruß
Jens

[StefanW]

Wir haben heute, beim Thema Zertifikate schon eine Änderung eingebaut, wegen der Nutzer von Fritzboxen und Speedport-Routern (zumindest ausgewählte Modelle). Dort gibt es festeingestellte lokale Domänen in welcher der DHCP die Geräte einträgt und damit helfen wir dieser Kundengruppe schonmal:

Alle NEUEN Timberwolf Server bekommen nun ein erweitertes Zertifikat:




Hinsichtlich der "alten" Wölfe müssen wir noch klären.


lg

Stefan

[EarlBacid]

Sorry dass ich nochmal nerve, aber noch ein weiterer Name wäre super hilfreich:

timberwolfnnn

also einfach ohne Domain, denn damit ist der Wolf völlig autark. Was auch immer für eine Domain lokal verwendet wird, so wird diese typischerweise als DNS search-list an alle DHCP clients mitgegeben.

in meinem Fall earl.local.
somit ist mein Wolf von überall aus sowohl über timberwolf233.earl.local also auch einfach über timberwolf233 erreichbar.

VG
Earl

[StefanW]

timberwolfnnn

Das ist nach meinem Wissen nicht erlaubt. Es muss immer eine spezifische Domain angegeben werden.

D.h. ein solches Zertifikat wäre nicht gültig und wird von den Browsern abgelehnt


Stefan

[EarlBacid]

Hi Stefan,

erlaub ist es, und für die Nutzung im LAN auch unproblematisch. Selbstverständlich klappt das nicht mehr für Zertifikate im Internet, aber da dürfte es meist auch schon daran scheitern, dass der Hostname ohne Domain gar nicht erst aufgelöst werden kann.
Für Enterprise CA ist die Nutzung der Hostnames/Shortnames in Zertifikaten gängige Praxis.

Ich habe es sicherheitshalber gerade eben nochmal ausprobiert (mit einem anderen, internen Webserver). Sowohl die aktuelle Version von Chrome, Edge und Firefox akzeptieren das auch anstandslos und zeigen die Webseite anschließend als Sicher an.

Es wäre also eine Überlegung Wert

VG
Earl