abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Byla vydána Mafia: Domovina
    dnes 14:22 | IT novinky

    Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

    Ladislav Hagara | Komentářů: 0
    O2 má opět problémy
    dnes 13:22 | IT novinky

    Operátor O2 má opět problémy. Jako omluvu za pondělní zhoršenou dostupnost služeb dal všem zákazníkům poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství.

    Ladislav Hagara | Komentářů: 4
    Společnost OpenAI představila GPT-5
    dnes 05:55 | IT novinky

    Společnost OpenAI představila GPT-5 (YouTube).

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.103
    dnes 05:00 | Nová verze

    Byla vydána (𝕏) červencová aktualizace aneb nová verze 1.103 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.103 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Trump vyzval nového šéfa Intelu, aby odstoupil
    včera 17:33 | IT novinky

    Americký prezident Donald Trump vyzval nového generálního ředitele firmy na výrobu čipů Intel, aby odstoupil. Prezident to zdůvodnil vazbami nového šéfa Lip-Bu Tana na čínské firmy.

    Ladislav Hagara | Komentářů: 7
    Ubuntu 24.04.3 LTS
    včera 16:55 | Nová verze

    Bylo vydáno Ubuntu 24.04.3 LTS, tj. třetí opravné vydání Ubuntu 24.04 LTS s kódovým názvem Noble Numbat. Přehled novinek a oprav na Discourse.

    Ladislav Hagara | Komentářů: 0
    Rust 1.89.0
    včera 16:44 | Nová verze

    Byla vydána verze 1.89.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    Apple investuje sto miliard dolarů v USA, Trump chce cla na polovodiče z dovozu
    včera 12:22 | IT novinky

    Americká technologická společnost Apple uskuteční v USA další investice ve výši sta miliard dolarů (2,1 bilionu korun). Oznámil to ve středu šéf firmy Tim Cook při setkání v Bílém domě s americkým prezidentem Donaldem Trumpem. Trump zároveň oznámil záměr zavést stoprocentní clo na polovodiče z dovozu.

    Ladislav Hagara | Komentářů: 4
    Proxmox Backup Server 4.0
    včera 04:55 | Nová verze

    Zálohovací server Proxmox Backup Server byl vydán v nové stabilní verzi 4.0. Založen je na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    NetworkManager 1.54.0
    6.8. 16:33 | Nová verze

    Byla vydána nová verze 1.54.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Jan Václav.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (44%)
     (22%)
     (4%)
     (6%)
     (3%)
     (1%)
     (1%)
     (19%)
    Celkem 296 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / https Intranet only
    Štítky: certifikat, doména, http, Internet, problém, řešení, Self, signed, web

    Dotaz: https Intranet only

    otasomil avatar 6.3.2021 20:24 otasomil | skóre: 39 | blog: puppylinux
    https Intranet only
    Přečteno: 936×
    Zdravim ve spolek
    Resim takovy drobny problem ktery jaksezda je trivialni jen visi na lidech a jejich opatrnosti na miste kde to teda neni treba a aktivite modernich browseru neustale usera upozornovat ze prihlasovani na tomto webu neni bezpecne... Jedna se totiz o web na lokalni siti kde je vcelku zbytecne mit https, jenze obycejne http je zdrojem podobnych hlasek. Tudiz zda jde nejak jednoduse nasadit https na web intranet s Apache2. Nemam tim na mysli self signed certifikat ktery treba Chrome/mium opakovane ignoruje a prudi usera. Cili je nejake reseni s timto vydupat, mit https na lokalni adrese 192.168... aniz bych neustale resil dotazy ze to nejde, nejede , pise ze je nebezpecne... Pridavam info ze domena neni, jen IP, dostupnost zvenci neni.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    6.3.2021 22:21 panika
    Rozbalit Rozbalit vše Re: https Intranet only
    tak si domenu kup a mas to vyreseny. ja si je hostuju u wedosu a i kdyz si umim predstavit lepsi api, tak to s certbotem funguje. adresu si do dns das jakou chces, ja to s lokalnima provozuju. mozna mi neco unika tak me nakopni :)
    6.3.2021 23:36 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    Ja si skor jeho otazku interpretujem tak, ze proste do prehliadaca zada http://192.168.14.88/ a prehliadac mu picuje, ze je to nebezpecna symbolika. Pyta sa teda, ci sa da nejako prejst na https://192.168.14.88/ bez toho, aby mu do toho prehliadac picoval.

    Ale moj nazor je tiez ten, ze normalne na tieto ucely kupit domenu, idealne nejaku, co stoji euro na rok a pouzivat ju na taketo ucely, pricom certy si vystavovat cez dns autentizaciu.
    Jendа avatar 7.3.2021 06:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Pozor, že některé resolvery (nejslavněji dnsmasq defaultně v openwrt) dělají „rebinding protection“ a RFC1918 adresu ti nepřeloží. Jak to řešit nevím, buď máš síť kde máš kontrolu nad resolverem, nebo máš IPv6, nebo to uživatelům rozmluvíš, nebo máš smůlu.
    7.3.2021 11:55 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    rebind-domain-ok=domena.abc
    Jendа avatar 8.3.2021 16:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Ano, to je tady v pohodě, protože má asi síť, kde to adminuje. Jakmile to má chodit uživatelům na zařízeních kde si to musí nastavit a ta zařízení nespravuje nikdo/je po cestě BFU/je to BOFH/je to opruz, tak je s tím problém.
    6.3.2021 22:27 X
    Rozbalit Rozbalit vše Re: https Intranet only
    Vytvor si vlastni CA + cert pro lokalni IP a pridej si CA do prohlizece jako trusted..
    Max avatar 6.3.2021 23:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    1) na IP nezáleží, musíš přistupovat přes dns jméno
    2) certifikát získáš dvěma způsoby, buď si uděláš vlastní CA a budeš s ní podepisovat certifikáty pro jednotlivé služby a CA certifikát budeš distribuovat klientům. Druhá možnost je koupit si certifikát u nějaké CA a každý rok prodlužovat a na serveru měnit. Já mám kombinací obojího. Na centrální reverzní proxy mám koupený wildcard "*.corp.devaine.cz" a všechny služby pak propaguji jako "intranet.corp.devaine.cz / helpdesk.corp.devaine.cz apod." a všechny jsou tím pádem ok. A něco mám pod vlastní CA, co nejde přes tu reverzní proxy apod.
    3) intranet by zabezpečený měl být, pokud je to nějaký, který slouží lidem a jsou tam různé dokumenty
    Zdar Max
    Měl jsem sen ... :(
    8.3.2021 06:12 rpajik | skóre: 18 | blog: rpajikuv_blog
    Rozbalit Rozbalit vše Re: https Intranet only
    Internet by zabezpečený být měl, ale to tlačení https všude strašně komplikuje život.

    Některé browsery ignorují lokální hosts soubor. Vnucují https na místo kam se připojuji přes http ale provoz běží v šifrované von, o které browser neví.

    Z browserů se začínají stávat operační systémy a žít si vlastním životem ... a to mi správné nepřijde. Minimálně pokročilý uživatel by měl možnost to mít pod kontrolou ... a tato možnost se postupně vytrácí :-(
    Josef Kufner avatar 7.3.2021 02:19 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Pořiď si doménu libovolného řádu a rozběhej Let's Encrypt s wildcard záznamem. Vnější DNS může ukazovat na nějakou minimální statickou prezentaci, která jen řekne, adresu intranetu máš správně, ale musíš být na intranetu.

    Pak nějak pořeš automatickou distribuci certifikátů, třeba po SSH, a používej jako běžné certifikáty.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 7.3.2021 14:22 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    To není dobrý nápad, je to spíše hodně špatný nápad, viz: Split DNS - používáte to někdo?.
    Tj. pro určité druhy nasazení to je schůdné, ale pro dost to moc schůdné není, protože nelze zajistit vyprazdňování dns cache u klientů. Obecně to tedy není dobrý nápad.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:48 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Se Split DNS jsem nikdy neměl problém. Při připojení se ty cache na klientovi vypláchnou a je to v pohodě. Nicméně ty subdomény nemusí zvenčí vůbec existovat.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 8.3.2021 01:39 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Není to pravda, popisuji to v článku. Největší problémy jsou s mobilními zařízeními a web prohlížeči. Je možné, že u některých nasazení to nevadí a flushuje se to dobře, ale při větších nasazení končíš. Pro vlastní potřeby bych to ještě zkousnul, ale do firmy to nasadí jen blázen. I jeden blbý telefonát od uživatele je vopruz.
    Zdar Max
    Měl jsem sen ... :(
    10.3.2021 16:15 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak receno, neco uneumis, nerozumis tomu ale tvrdis, ze to nefunguje. Jak typicky (pro tebe specielne).

    Neznam ani jedninou firmu (a to jich znam stovky) kde by splitdns minimalne pro par sluzeb nepouzivali. Zadnej problem s tim nikdy nebyl a ani neni.

    ---

    Dete s tim guuglem dopice!
    Max avatar 10.3.2021 20:53 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Popsal jsem tam služby, které s tím mají problém a vysvětlil proč (jaké technologie za tím stojí). Z mé zkušenosti to bylo třeba 5 nahlášených incidentů týdně z cca 350 uživatelů. A kdyby jsi to četl, tak nejsem jediný, kdo s tím měl problémy. V době, kdy má každý mobil a vše se cpe do webu, s tím prostě problém je. Jasně jsem i napsal, že existuje asi nasazení, kde to problém není, ale v případě mobilních zařízení a web prohlížečů to problém je docela velký.
    Jde tedy o to, jakým vývojem se web prohlížeče a bezpečnostní opatření ubírají. A ty se rozhodně ubírají směrem, který se split dns není kompatibilní.
    Pokud k tomu máš nějaké relevantní věci, tak to napiš, ale ty jako vždy děláš strašně chytrýho, ale přitom netušíš, o čem je řeč a vždy se jen uchyluješ k osobním útokům.
    Zdar Max
    Měl jsem sen ... :(
    11.3.2021 08:46 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jasne, je to tak velkej problem, ze to pouziva i ten podelanej guugl, a miliony dalsich sluzeb i ve verejnym netu ... a to prave na web. Prave guugl ti klidne naserviruje 5 ruznych IPcek na 100m vzdalenosti a to klidne i v ramci stejnyho ISP. A samo podle toho v kterym baraku zrovna stojis, ho mas bud nemecky, francouzky, spanelsky nebo italsky ... rozhodne ne anglicky, protoze na lang co posila browser oni zvysoka serou.

    A existuje cela rada sluzeb, kde te server aktivne vyfuckuje, pokud na nej lezes z rosahu, kterej neobsluhuje, takze kdyby to nefungovalo, a klienti nedostali spravny IPcka, nefungoval by internet vubec. Oni totiz provozovatele nadsene servirujou data pres 1/2 planety, a proto provozujou vsemoznych cache/clustery/... aby to pak vlastne podle nejakyho Maxe vubec nefugovalo protoze klienti neumej pouzivat dns.

    Takze jak vidno, vubec netusis o cem zvanis.

    ---

    Dete s tim guuglem dopice!
    Max avatar 11.3.2021 08:56 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak to jsi silně nepochopil, o čem je řeč. Četl jsi vůbec, na co reaguješ?
    Celou dobu tu je řeč o split dns v rámci firmy.

    Ty tu hážeš příklady s DNS balancerama alá round robin (= více záznamů k jednomu dns) či geo balancerama (např. v každém státě ti to přeloží na jinou IP, která je k tobě, resp. ten cloud housing, nejblíž, aby jsi to měl co nejrychlejší) a další, což je úplně něco jinýho a tohle fakt problém není.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 7.3.2021 14:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    A ještě k tomu wildcard certifikátu. Pokud vím, tak ještě nedávno bylo vyžadováno ověření jen přes dns záznam. Tj. musel jsi používat nějaké dns severy, které uměly API a mohl jsi renew automatizovat.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:38 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Na běžně používaném DNS serveru se nastaví ověřovací záznam jako CNAME na self-hosted server, kde je obyčejný Bind a Let's Encrypt klient a ten už si to pořeší (tento server se na nic jiného nepoužije). Je to zcela bezproblémové nastavení, které funguje s jakýmkoliv registrátorem a jakýmikoliv DNS servery.
    Hello world ! Segmentation fault (core dumped)
    otasomil avatar 8.3.2021 16:39 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jestli dobre rozumim tak Letsencrypt certifikat mohu ziskat i bez zpristupneni webu na Internet? Jak se jmenuje tato metoda, jak postupovat? Na VPS kde bezi verejne pristupna sluzba to je vcelku jasny ale takhle na lokalni siti? Ideal by bylo se o to nestarat a Cronem aby se delal renew do onech 3 mesicu.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Jendа avatar 8.3.2021 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    DNS-01. Blbé je že to asi nejde použít pokud hostuješ DNS u někoho, kdo nemá pro provádění změn příčetné API, nebo každá změna trvá půl hodiny (zdravíme Forpsi).
    Josef Kufner avatar 8.3.2021 22:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    To není pravda. Jde to obejít, jak píšu, pomocí vlastního name serveru se subdoménou jen pro ověření. U providera si nastavíš NS záznam pro tvou _acme-challenge.* a na odkazovaném serveru si už můžeš dělat co chceš. Zbytek domény je pořád hostován na slušných serverech a pro Let's Encrypt máš svůj server, který umí vše, co je potřeba.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 8.3.2021 16:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak ještě je možnost (asi hlavně pokud můžeš provozovat split horizon DNS) si zařídit certifikát pomocí "venkovního webu", který bude servírovat jen prázdnou stránku a ten soubor s challengí (a poběží klidně na úplně jiném počítači), a pak ho zkopírovat na ten počítač v intranetu…
    otasomil avatar 9.3.2021 20:50 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak jsem nakonec zvolil nasledujici postup a to domenu s A, AAAA zaznamem + Letsencrypt. Pro ziskani certifikatu navic vubec neni treba zadny webserver. Certbot jej totiz ma vlastni. Jen jsem zastavil Apache2 aby se uvolnil port 80, prepsal cesty k souborum s certifikaty docasne povolil pres IPv6 pristup zvenci... no viz nasledujici prikazy. Uz nakonfigurovany Apache2 jsem nechtel pouzivat protoze bych musel prepisovat Require ip a tak mi cesta certbot --standalone prisla schudnejsi. 
    systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot certonly --standalone --preferred-challenges http -d domena.tld
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2
    Pro renew zatim nevim zda bude stacit jen spustit: 
    certbot renew
    A nebo bude treba zase povolit pristup zvenci viz: 
    systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot renew
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2
    Zatim vse je OK, uvidim za cca tri mesice. Kazdopadne diky vsem za info.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Josef Kufner avatar 9.3.2021 21:09 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Stačit to nebude, neboť vyžádání si certifikátu a renew zahrnuje stejné ověření. Pokud nechceš trápit Apache, nahoď tam Bind a ověř přes DNS. Nebo můžeš nastavit Apache, aby tu .well-known cestu hostoval do vyhrazeného adresáře, kam ti Certbot uloží ověřovací soubory.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 9.3.2021 21:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    No ale to znamená, že v DNS musíš mít venkovní a ne intranetovou IP, ne? Jak ti pak funguje ten intranet?
    otasomil avatar 10.3.2021 18:05 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Domena ma A zaznam 192.168... a AAAA IPv6 je pristupna zvenci (po otevreni portu 80 ve FW) tak lze ziskat certifikat i jen pres IPv6 a ten pak funguje lokalne jak na v6 tak na v4. Vse tak funguje, i wget, curl akceptuji certifikat a bezi s vynucenou ipv4 i ipv6
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    10.3.2021 00:04 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: https Intranet only
    certbot certonly --standalone --preferred-challenges http -d domena.tld

    Ale toto nie je wildcard certifikat, ale certifikat pre konkretny "host" domena.tld. Cize pre domeny 3. radu (nieco.domena.tld) ho nemozes pouzit (hej mozes, ale klienti budu pindat).
    otasomil avatar 10.3.2021 18:06 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jo pouzil jsem nevyuzitou domenu druheho radu jen pro intranet.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.