AbcLinuxu:/ Poradna / Linuxová poradna / https Intranet only

Štítky: certifikat, doména, http, Internet, problém, řešení, Self, signed, web

Dotaz: https Intranet only

6.3.2021 20:24 otasomil | skóre: 39 | blog: puppylinux
https Intranet only

Přečteno: 997×

Odpovědět | Admin

Zdravim ve spolek
Resim takovy drobny problem ktery jaksezda je trivialni jen visi na lidech a jejich opatrnosti na miste kde to teda neni treba a aktivite modernich browseru neustale usera upozornovat ze prihlasovani na tomto webu neni bezpecne... Jedna se totiz o web na lokalni siti kde je vcelku zbytecne mit https, jenze obycejne http je zdrojem podobnych hlasek. Tudiz zda jde nejak jednoduse nasadit https na web intranet s Apache2. Nemam tim na mysli self signed certifikat ktery treba Chrome/mium opakovane ignoruje a prudi usera. Cili je nejake reseni s timto vydupat, mit https na lokalni adrese 192.168... aniz bych neustale resil dotazy ze to nejde, nejede , pise ze je nebezpecne... Pridavam info ze domena neni, jen IP, dostupnost zvenci neni.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

Nástroje: Začni sledovat (0) ?

Odpovědi

6.3.2021 22:21 panika
Rozbalit Rozbalit vše Re: https Intranet only

tak si domenu kup a mas to vyreseny. ja si je hostuju u wedosu a i kdyz si umim predstavit lepsi api, tak to s certbotem funguje. adresu si do dns das jakou chces, ja to s lokalnima provozuju. mozna mi neco unika tak me nakopni :)

6.3.2021 23:36 billgates | skóre: 27
Rozbalit Rozbalit vše Re: https Intranet only

Ja si skor jeho otazku interpretujem tak, ze proste do prehliadaca zada http://192.168.14.88/ a prehliadac mu picuje, ze je to nebezpecna symbolika. Pyta sa teda, ci sa da nejako prejst na https://192.168.14.88/ bez toho, aby mu do toho prehliadac picoval.

Ale moj nazor je tiez ten, ze normalne na tieto ucely kupit domenu, idealne nejaku, co stoji euro na rok a pouzivat ju na taketo ucely, pricom certy si vystavovat cez dns autentizaciu.

7.3.2021 06:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Pozor, že některé resolvery (nejslavněji dnsmasq defaultně v openwrt) dělají „rebinding protection“ a RFC1918 adresu ti nepřeloží. Jak to řešit nevím, buď máš síť kde máš kontrolu nad resolverem, nebo máš IPv6, nebo to uživatelům rozmluvíš, nebo máš smůlu.

7.3.2021 11:55 billgates | skóre: 27
Rozbalit Rozbalit vše Re: https Intranet only

rebind-domain-ok=domena.abc

8.3.2021 16:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Ano, to je tady v pohodě, protože má asi síť, kde to adminuje. Jakmile to má chodit uživatelům na zařízeních kde si to musí nastavit a ta zařízení nespravuje nikdo/je po cestě BFU/je to BOFH/je to opruz, tak je s tím problém.

6.3.2021 22:27 X
Rozbalit Rozbalit vše Re: https Intranet only

Vytvor si vlastni CA + cert pro lokalni IP a pridej si CA do prohlizece jako trusted..

6.3.2021 23:55 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

1) na IP nezáleží, musíš přistupovat přes dns jméno
2) certifikát získáš dvěma způsoby, buď si uděláš vlastní CA a budeš s ní podepisovat certifikáty pro jednotlivé služby a CA certifikát budeš distribuovat klientům. Druhá možnost je koupit si certifikát u nějaké CA a každý rok prodlužovat a na serveru měnit. Já mám kombinací obojího. Na centrální reverzní proxy mám koupený wildcard "*.corp.devaine.cz" a všechny služby pak propaguji jako "intranet.corp.devaine.cz / helpdesk.corp.devaine.cz apod." a všechny jsou tím pádem ok. A něco mám pod vlastní CA, co nejde přes tu reverzní proxy apod.
3) intranet by zabezpečený měl být, pokud je to nějaký, který slouží lidem a jsou tam různé dokumenty
Zdar Max

Měl jsem sen ... :(

8.3.2021 06:12 rpajik | skóre: 18 | blog: rpajikuv_blog
Rozbalit Rozbalit vše Re: https Intranet only

Internet by zabezpečený být měl, ale to tlačení https všude strašně komplikuje život.

Některé browsery ignorují lokální hosts soubor. Vnucují https na místo kam se připojuji přes http ale provoz běží v šifrované von, o které browser neví.

Z browserů se začínají stávat operační systémy a žít si vlastním životem ... a to mi správné nepřijde. Minimálně pokročilý uživatel by měl možnost to mít pod kontrolou ... a tato možnost se postupně vytrácí :-(

7.3.2021 02:19 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Pořiď si doménu libovolného řádu a rozběhej Let's Encrypt s wildcard záznamem. Vnější DNS může ukazovat na nějakou minimální statickou prezentaci, která jen řekne, adresu intranetu máš správně, ale musíš být na intranetu.

Pak nějak pořeš automatickou distribuci certifikátů, třeba po SSH, a používej jako běžné certifikáty.

Hello world ! Segmentation fault (core dumped)

7.3.2021 14:22 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

To není dobrý nápad, je to spíše hodně špatný nápad, viz: Split DNS - používáte to někdo?.
Tj. pro určité druhy nasazení to je schůdné, ale pro dost to moc schůdné není, protože nelze zajistit vyprazdňování dns cache u klientů. Obecně to tedy není dobrý nápad.
Zdar Max

Měl jsem sen ... :(

8.3.2021 00:48 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Se Split DNS jsem nikdy neměl problém. Při připojení se ty cache na klientovi vypláchnou a je to v pohodě. Nicméně ty subdomény nemusí zvenčí vůbec existovat.

Hello world ! Segmentation fault (core dumped)

8.3.2021 01:39 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Není to pravda, popisuji to v článku. Největší problémy jsou s mobilními zařízeními a web prohlížeči. Je možné, že u některých nasazení to nevadí a flushuje se to dobře, ale při větších nasazení končíš. Pro vlastní potřeby bych to ještě zkousnul, ale do firmy to nasadí jen blázen. I jeden blbý telefonát od uživatele je vopruz.
Zdar Max

Měl jsem sen ... :(

10.3.2021 16:15 j
Rozbalit Rozbalit vše Re: https Intranet only

Jinak receno, neco uneumis, nerozumis tomu ale tvrdis, ze to nefunguje. Jak typicky (pro tebe specielne).

Neznam ani jedninou firmu (a to jich znam stovky) kde by splitdns minimalne pro par sluzeb nepouzivali. Zadnej problem s tim nikdy nebyl a ani neni.

---

Dete s tim guuglem dopice!

10.3.2021 20:53 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Popsal jsem tam služby, které s tím mají problém a vysvětlil proč (jaké technologie za tím stojí). Z mé zkušenosti to bylo třeba 5 nahlášených incidentů týdně z cca 350 uživatelů. A kdyby jsi to četl, tak nejsem jediný, kdo s tím měl problémy. V době, kdy má každý mobil a vše se cpe do webu, s tím prostě problém je. Jasně jsem i napsal, že existuje asi nasazení, kde to problém není, ale v případě mobilních zařízení a web prohlížečů to problém je docela velký.
Jde tedy o to, jakým vývojem se web prohlížeče a bezpečnostní opatření ubírají. A ty se rozhodně ubírají směrem, který se split dns není kompatibilní.
Pokud k tomu máš nějaké relevantní věci, tak to napiš, ale ty jako vždy děláš strašně chytrýho, ale přitom netušíš, o čem je řeč a vždy se jen uchyluješ k osobním útokům.
Zdar Max

Měl jsem sen ... :(

11.3.2021 08:46 j
Rozbalit Rozbalit vše Re: https Intranet only

Jasne, je to tak velkej problem, ze to pouziva i ten podelanej guugl, a miliony dalsich sluzeb i ve verejnym netu ... a to prave na web. Prave guugl ti klidne naserviruje 5 ruznych IPcek na 100m vzdalenosti a to klidne i v ramci stejnyho ISP. A samo podle toho v kterym baraku zrovna stojis, ho mas bud nemecky, francouzky, spanelsky nebo italsky ... rozhodne ne anglicky, protoze na lang co posila browser oni zvysoka serou.

A existuje cela rada sluzeb, kde te server aktivne vyfuckuje, pokud na nej lezes z rosahu, kterej neobsluhuje, takze kdyby to nefungovalo, a klienti nedostali spravny IPcka, nefungoval by internet vubec. Oni totiz provozovatele nadsene servirujou data pres 1/2 planety, a proto provozujou vsemoznych cache/clustery/... aby to pak vlastne podle nejakyho Maxe vubec nefugovalo protoze klienti neumej pouzivat dns.

Takze jak vidno, vubec netusis o cem zvanis.

---

Dete s tim guuglem dopice!

11.3.2021 08:56 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

Tak to jsi silně nepochopil, o čem je řeč. Četl jsi vůbec, na co reaguješ?
Celou dobu tu je řeč o split dns v rámci firmy.

Ty tu hážeš příklady s DNS balancerama alá round robin (= více záznamů k jednomu dns) či geo balancerama (např. v každém státě ti to přeloží na jinou IP, která je k tobě, resp. ten cloud housing, nejblíž, aby jsi to měl co nejrychlejší) a další, což je úplně něco jinýho a tohle fakt problém není.
Zdar Max

Měl jsem sen ... :(

7.3.2021 14:25 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: https Intranet only

A ještě k tomu wildcard certifikátu. Pokud vím, tak ještě nedávno bylo vyžadováno ověření jen přes dns záznam. Tj. musel jsi používat nějaké dns severy, které uměly API a mohl jsi renew automatizovat.
Zdar Max

Měl jsem sen ... :(

8.3.2021 00:38 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Na běžně používaném DNS serveru se nastaví ověřovací záznam jako CNAME na self-hosted server, kde je obyčejný Bind a Let's Encrypt klient a ten už si to pořeší (tento server se na nic jiného nepoužije). Je to zcela bezproblémové nastavení, které funguje s jakýmkoliv registrátorem a jakýmikoliv DNS servery.

Hello world ! Segmentation fault (core dumped)

8.3.2021 16:39 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Jestli dobre rozumim tak Letsencrypt certifikat mohu ziskat i bez zpristupneni webu na Internet? Jak se jmenuje tato metoda, jak postupovat? Na VPS kde bezi verejne pristupna sluzba to je vcelku jasny ale takhle na lokalni siti? Ideal by bylo se o to nestarat a Cronem aby se delal renew do onech 3 mesicu.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

8.3.2021 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

DNS-01. Blbé je že to asi nejde použít pokud hostuješ DNS u někoho, kdo nemá pro provádění změn příčetné API, nebo každá změna trvá půl hodiny (zdravíme Forpsi).

8.3.2021 22:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

To není pravda. Jde to obejít, jak píšu, pomocí vlastního name serveru se subdoménou jen pro ověření. U providera si nastavíš NS záznam pro tvou _acme-challenge.* a na odkazovaném serveru si už můžeš dělat co chceš. Zbytek domény je pořád hostován na slušných serverech a pro Let's Encrypt máš svůj server, který umí vše, co je potřeba.

Hello world ! Segmentation fault (core dumped)

8.3.2021 16:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

Jinak ještě je možnost (asi hlavně pokud můžeš provozovat split horizon DNS) si zařídit certifikát pomocí "venkovního webu", který bude servírovat jen prázdnou stránku a ten soubor s challengí (a poběží klidně na úplně jiném počítači), a pak ho zkopírovat na ten počítač v intranetu…

9.3.2021 20:50 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Tak jsem nakonec zvolil nasledujici postup a to domenu s A, AAAA zaznamem + Letsencrypt. Pro ziskani certifikatu navic vubec neni treba zadny webserver. Certbot jej totiz ma vlastni. Jen jsem zastavil Apache2 aby se uvolnil port 80, prepsal cesty k souborum s certifikaty docasne povolil pres IPv6 pristup zvenci... no viz nasledujici prikazy. Uz nakonfigurovany Apache2 jsem nechtel pouzivat protoze bych musel prepisovat Require ip a tak mi cesta certbot --standalone prisla schudnejsi.

systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot certonly --standalone --preferred-challenges http -d domena.tld
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2

Pro renew zatim nevim zda bude stacit jen spustit:

certbot renew

A nebo bude treba zase povolit pristup zvenci viz:

systemctl stop apache2
ip6tables -P INPUT ACCEPT
ip6tables -F
certbot renew
ip6tables-restore < /etc/iptables/rules.v6
systemctl start apache2

Zatim vse je OK, uvidim za cca tri mesice. Kazdopadne diky vsem za info.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

9.3.2021 21:09 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: https Intranet only

Stačit to nebude, neboť vyžádání si certifikátu a renew zahrnuje stejné ověření. Pokud nechceš trápit Apache, nahoď tam Bind a ověř přes DNS. Nebo můžeš nastavit Apache, aby tu .well-known cestu hostoval do vyhrazeného adresáře, kam ti Certbot uloží ověřovací soubory.

Hello world ! Segmentation fault (core dumped)

9.3.2021 21:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: https Intranet only

No ale to znamená, že v DNS musíš mít venkovní a ne intranetovou IP, ne? Jak ti pak funguje ten intranet?

10.3.2021 18:05 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Domena ma A zaznam 192.168... a AAAA IPv6 je pristupna zvenci (po otevreni portu 80 ve FW) tak lze ziskat certifikat i jen pres IPv6 a ten pak funguje lokalne jak na v6 tak na v4. Vse tak funguje, i wget, curl akceptuji certifikat a bezi s vynucenou ipv4 i ipv6

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

10.3.2021 00:04 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: https Intranet only

certbot certonly --standalone --preferred-challenges http -d domena.tld

Ale toto nie je wildcard certifikat, ale certifikat pre konkretny "host" domena.tld. Cize pre domeny 3. radu (nieco.domena.tld) ho nemozes pouzit (hej mozes, ale klienti budu pindat).

10.3.2021 18:06 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: https Intranet only

Jo pouzil jsem nevyuzitou domenu druheho radu jen pro intranet.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

Založit nové vlákno • Nahoru

Tiskni Sdílej: