[Eisfair] vertrauenswürdige Zertifikate

[Detlef Paschke]

Am 16.01.2024 um 07:40 schrieb Marcus Röckrath:

Hallo Marcus,

> Ich frage mich allerdings, wofür überhaupt den Aufwand mit einem
> selbsterstellten selbstsignierten Zertifikat.

es gibt immer wieder mal Geräte, z.B IP-Kameras, die mittlerweile auf
einen Webzugriff per https bestehen. Oder die neue APC Software
PowerChute Serial Shutdown ist auch so ein Kandidat. Das vom Hersteller
drauf geprügelte Selbst signierte Zertifikat tauscht man dann gegen ein
eigenes (lokal gültiges) aus und schon ist alles schön.

> Im lokalen Netz kommt man gegebenenfalls auch mit http statt https aus und
> bei Öffnung eines Webservers nach außen würde ich da dann schon eher auf
> ein letsencrypt-Zertifikat setzen.

Ich habe bei mir mittlerweile alles auf sichere Verbindungen umgestellt
um nicht soviel durcheinander zu haben. Bevor ich jetzt ein Haufen
Ausnahmen mache, habe ich für das lokale Netz ein eigenes CA (welches
den Clients bekannt gemacht wird) und entsprechende Serverzertifikate
auf den Diensten und Geräten. Von außen (schabau.eu) greift das Let's
Encrypt Zertifikat und wenn aus dem lokalen Netz zugegriffen wird, (z.B
mail.home.lan) greift mein eigenes Zertifikat.

Ich verwende übrigens zum erstellen und verwalten meiner Zertifikate nur
noch XCA. https://hohnstaedt.de/xca/
Die ganze Zertifikatsgeschichte habe ich damit überhaupt erst so
halbwegs begriffen. Vor Eisfair certs habe ich dazumal oft gesessen wie
der Ochs vor dem Berg.

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu