[FR] Offizielles SSL Zertifikat / ACME-Protokoll

[alexbeer]

Hallo,

Ich habe mir meinen TWS erst mit Wunschtermin 02/2019 bestellt. Um für die Einrichtung gewappnet zu sein, lese ich hier viel mit. Aus den klasse Tutorials und Videos habe ich jedoch nur die Zertifikatseinrichtung über eine eigene CA gefunden.
Da die Browser-Hersteller uns zum SSL Zertifikat auch im LAN zwingen, habe ich mir eine eigene Domain für mein LAN registriert. So kann ich für IP-Geräte im Netzwerk SSL-Zertifikate von LetsEncrypt nutzen. Da das Root-Zertifikat von LE in allen Browsern hinterlegt ist, entfällt somit das manuelle Hinzufügen des eigenen Root-CA-Zertifikats. Das manuelle Hinzufügen von Root-Zertifikaten ist auf meinen dienstlich genutzten Geräten per MDM/Richtlinie unterbunden.

Daher mein Feature Requests:

• - Implementierung des https://de.m.wikipedia.org/wiki/Automat ... nvironment Protokolls um einfach zB Lets Encrypt Zertifikate auf dem TWS erstellen zu können

• - oder Einfache Möglichkeit ein bestehendes Wildcard Zertifikat von einer URL abzuholen und im TWS zu installieren

Viele Grüße
Alex

[StefanW]

Hallo Alex,

ich fürchte das ist am Ende zu kompliziert und damit zu Support-Intensiv.

Der Punkt ist, da läuft nicht nur ein Stück Software, dass mal eben eine Zertifikat herunterlädt, sondern das Zertifikat wird nur ausgestellt, wenn der Beantragende auch ausreichend verifiziert werden kann.

In der einfachsten Stufe "Domain Validated" bedeutet dies, dass entweder ein DNS-Record in der Domäne anzulegen ist oder auf dem Webserver zur Domäne eine Datei unter einer URI zu der Domäne.

Damit man das automatisieren könnte, würde wenigstens ein dauerhafter Port-Forward auf den Timberwolf Server benötigt, was wir nicht anraten. Dauerhaft deshalb, weil z.B. bei den Let´s Encrypt Zertifikaten diese alle drei Monate erneuert werden müssten.

Man muss solche Folgen immer bei größeren Zahlen bedenken. Nehmen wir 5000 Timberwolf Server, Erneuerung alle 3 Monate und Fehler bei nur 3% der Erneuerungen (weil durch Tausch der Fritzbox das Port-Forwarding weg ist, eine IP-Adresse geändert usw.) dann kämen die Summe der Kunden auf 600 Probleme und damit potentielle Supportfälle. Das geht nicht.

Leider gibt es eine gewisse Schicht an Kunden, die schon bei sehr viel einfacheren Problemen Unterstützung von uns erwartet - ob wir diese Unterstützung nun "schulden" oder nicht, frei nach dem Motto "der Server ist von Dir, also musst Du mir nun 10 Jahre bei allem Helfen, was damit zu tun hat". Um dem Herr zu werden, müssten wir entweder recht abweisend und womöglich unhöflich werden, was diese Kundenschicht nicht versteht, oder wir bauen keine Funktionen ein, die potentiell supportträchtig sind.

Wir schlagen uns schon seit Jahren die Köpfe ein, wie wir dieses Zertifikatsproblem lösen können. Bisher sind wir zu keinem brauchbareren (oder bezahlbaren) Ansatz gekommen, als mit dem Self-Signed Zertifikat.

Das Du unser Zertifikat auf Deinen Firmen-PCs nicht installieren kannst, tut mir leid, ist aber aus Sicht der Firma verständlich.

[alexbeer]

Hi Stefan,
Danke für deine schnelle Antwort.
Portforward finde ich auch nicht empfehlenswert - muss aber auch gar nicht (mehr) sein. Mit ACME V2 kann die Validierung per DNS-01 (s.zB. http://docs.cert-manager.io/en/latest/t ... ation.html) erfolgen.
Das da alle paar Monate dann das Zertifikat ausgetauscht werden muss, stört damit überhaupt nicht.
Ich bin jedoch voll bei für, dass das nix für jedermann ist.
Eine eigene Domain verursacht schließlich auch dauerhaft (geringe) Kosten.
Vielleicht finden sich ja noch mehr Interessenten für diesen FR und ihr ggf Zeit, wenn es ruhiger geworden ist, dieses Thema nochmals zu betrachten. Mich würde es freuen.
Viele Grüße und noch einen geruhsamen 2. Advent

[StefanW]

Mit ACME V2 kann die Validierung per DNS-01 (s.zB. http://docs.cert-manager.io/en/latest/t ... ation.html) erfolgen.

Ich weiß, das habe ich oben in meiner Antwort auch so erwähnt mit "DNS Record".

Meine spezielle Sorge bei Lets Encrypt ist die Rezertifizierung alle drei Monate, da sehe ich gehäuftes Fehlerpotential.


lg

Stefan

[Chris M.]

@StefanW die Argumentation verstehe ich absolut.

Aber, man muss trennen zwischen "etwas anbieten" und "etwas verhindern":

Daher mein Feature Requests:

• - oder Einfache Möglichkeit ein bestehendes Wildcard Zertifikat von einer URL abzuholen und im TWS zu installieren

Genau so etwas in diese Richtung müsste doch in die Reichung "nicht verhindern" fallen. Der kundige Kunde baut sich per eigener Domian und eigener Logik (z.B. im eigenem Docker Container) einen Automatismus um regelmäßig für das neue Zertifikat zu sorgen => alles Kundenverantwortung.
Und der Timberwolf bietet die Möglichkeit (API!) so ein externes Zertifikat zu importieren und zu nutzen => kein Verhindern

So sollten auch die Bereiche abgedeckt werden, wo nicht mal eben so eigene Zertifikate am Client importiert werden können.

[starwarsfan]

Daher mein Feature Requests:

• - oder Einfache Möglichkeit ein bestehendes Wildcard Zertifikat von einer URL abzuholen und im TWS zu installieren

Das würde ich auch sehr begrüssen. Schon allein wenn sich der TW in einem anderen Subnetz befindet, kann es mit dem mitgelieferten Zertifikat kritisch werden.

[StefanW]

Hallo Chris,

gegen die zweite Möglichkeit - den Import von Provate Key & Zertifikat - spricht wenig dagegen, muss ich aber erst prüfen. Mit all den Fehlerprüfungen usw. ist sowas anstrengender als man glaubt.

Ich kläre das intern ab

Stefan

[Zugschlus]

Hallo Stefan,

gegen die zweite Möglichkeit - den Import von Provate Key & Zertifikat - spricht wenig dagegen, muss ich aber erst prüfen. Mit all den Fehlerprüfungen usw. ist sowas anstrengender als man glaubt.

Die meisten Geräte mit SSL-Webinterface, die ich kenne, erlauben entweder

• den Upload eines eigenen private keys und des dazugehörigen Zertifikats oder
• erzeugen auf dem System einen Certificate Signing Request, den man sich herunterladen, mit seiner eigenen CA signieren und das Zertifikat dann wieder hochladen kann.
• kommen mit einem selbstsignierten Zertifikat, das man sich einzeln importieren kann und bei dem man nicht einer kompletten CA vertrauen muss.

Die ersten zwei Variante kenne ich vor allen Dingen aus dem professionellen Umfeld, wo der Hersteller davon ausgehen kann, dass der Kunde eine eigene CA hat (die Netscreen-Firewalls haben das zum Beispiel so gemacht); die dritte Variante benutzt AVM für seine Fritzboxen. DIe sind millionenfach ausgerollt, so schlimm supportträchtig kann das also gar nicht sein

Aktuell habe ich für meinen Timberwolf-Server jeweils lokale Ausnahmen eingerichtet (Fritzbox-Methode), einer "wildfremden" CA Komplettvertrauen einzuräumen rollt mir doch ziemlich die Fußnägel hoch...

Grüße
Marc

[StefanW]

Hallo Marc,

Die ersten zwei Variante kenne ich vor allen Dingen aus dem professionellen Umfeld, wo der Hersteller davon ausgehen kann, dass der Kunde eine eigene CA hat (die Netscreen-Firewalls haben das zum Beispiel so gemacht);

Würde mir auch gut gefallen, aber derzeit haben Dinge wie Objektverwaltung und Logik und danach DMX, MQTT usw. Vorrang, weil das das Interesse der meisten Kunden wiederspiegelt.

die dritte Variante benutzt AVM für seine Fritzboxen. DIe sind millionenfach ausgerollt, so schlimm supportträchtig kann das also gar nicht sein

Naja, erstens haben wir nicht das Budget eines Herstellers der irgendwas Millionenfach verkauft und zweitens ist den Kunden einfach klar, dass sie dort eher nicht sich zu melden brauchen bei einem Problem. Wenn ich mir ansehe, mit was wir so alles konfrontiert werden..... Vermutlich einfach weil wir kleiner sind und der Kunde vermutet, dass er damit bei uns durch kommt.

Es sind also andere Verhältnisse, daher ist ein Vergleich immer schwer. Aber wenn ich eines gelernt habe in den letzten 10 Jahren seit Einführung des WireGate, dann, dass ein möglicher Gewinn im diametralen Verhältnis zum Supportaufwand steht. Daher scheuen wir so weit möglich alle komplexen Funktionen bei denen der Kunde allzuviel bediene muss. Daher ist soviel Plug´N´Play und mit sovielen Anzeigen versehen, damit sich der Kunde so gut wie möglich selbst helfen kann.

Bei Dingen wie CSR usw. habe ich bei 90% der Anwender aber Sorgen....

einer "wildfremden" CA Komplettvertrauen einzuräumen rollt mir doch ziemlich die Fußnägel hoch...

Verständlich, wobei die ernsthafen zertifizierten großen CAs diejenigen sind, die tatsächlich Mist bauen. Haben hier noch Startcom EV Zertifikate, für die wir mal viel Geld bezahlt und großen Aufwand mit Notar getrieben haben.

Es musste hinsichtlich der Zertifikate einfach schnell gehen, daher haben wir diese Methode gewählt, da Sie auch für die allermeisten Kunden die einfachste ist. Späöter können wir uns gerne an die ersten beiden Varianten machen, ist ja nur Fleißarbeit.

[Zugschlus]

Verständlich, wobei die ernsthafen zertifizierten großen CAs diejenigen sind, die tatsächlich Mist bauen. Haben hier noch Startcom EV Zertifikate, für die wir mal viel Geld bezahlt und großen Aufwand mit Notar getrieben haben.

Argl. EV ist für alles unterhalb Bank IMO im Wesentlich Effekthascherei, braucht kein Mensch
Und bei Bank vermutlich auch.

Es musste hinsichtlich der Zertifikate einfach schnell gehen, daher haben wir diese Methode gewählt, da Sie auch für die allermeisten Kunden die einfachste ist. Späöter können wir uns gerne an die ersten beiden Varianten machen, ist ja nur Fleißarbeit.

Völlig klar, ich erwarte das ja auch nicht übermorgen, mir reicht es völlig wenn Euch bewusst ist dass da noch "Luft nach oben" herrscht...

Grüße
Marc