Ablage fuer x509-Host-Zertifikate

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

Ablage fuer x509-Host-Zertifikate

Marc Haber-14
Hallo,

wenn ich openssl installiere, kommt ja ein selbstsigniertes
snakeoil-Zertifikat mit. Dabei liegt der private key in
/etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
/etc/ssl/certs. Letzteres finde ich nicht wirklich schön.

Wie macht ihr das? So wie debian das macht oder wo liegen Eure
Host-Zertifikate?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Jakobus Schürz-2

Am 15.04.20 um 21:33 schrieb Marc Haber:
> Hallo,
>
> wenn ich openssl installiere, kommt ja ein selbstsigniertes
> snakeoil-Zertifikat mit. Dabei liegt der private key in
> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>
> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
> Host-Zertifikate?


/usr/local/share/ca-certificates

lg jakob

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Harald Weidner
In reply to this post by Marc Haber-14
Hallo,

> wenn ich openssl installiere, kommt ja ein selbstsigniertes
> snakeoil-Zertifikat mit. Dabei liegt der private key in
> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>
> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
> Host-Zertifikate?

Wenn ich sie selbst erstelle, lege ich sie in /etc/ssl/local ab, damit sie
nicht in der Fülle der mitgelieferten Zertifikate untergehen.

Was von certbot kommt, liegt unter /etc/letsencrypt.

Gruß, Harald

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Paul Muster-22
In reply to this post by Marc Haber-14
Am 15.04.2020 um 21:33 schrieb Marc Haber:

> wenn ich openssl installiere, kommt ja ein selbstsigniertes
> snakeoil-Zertifikat mit. Dabei liegt der private key in
> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>
> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
> Host-Zertifikate?

/var/lib/dehydrated/certs/<domain>/

Und die private keys liegen da auch.

Beides entspricht m.W. der Standardeinstellung des ACME-Clients
"dehydrated", paketiert in Debian als Version 0.6.2-2+deb10u1.


Viele Grüße

Paul

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Marc Haber-14
On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
<[hidden email]> wrote:

>Am 15.04.2020 um 21:33 schrieb Marc Haber:
>> wenn ich openssl installiere, kommt ja ein selbstsigniertes
>> snakeoil-Zertifikat mit. Dabei liegt der private key in
>> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
>> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>>
>> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
>> Host-Zertifikate?
>
>/var/lib/dehydrated/certs/<domain>/

Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

Mit xca habe ich neulich endlich eine für meine kleine Umgebung
beherrschbare CA-Software gefunden.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Martin Reising
On Thu, Apr 16, 2020 at 11:44:06AM +0200, Marc Haber wrote:
> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

Wenn die CA- und Chain-pubkeys in

 /usr/local/share/ca-certificates
 
abgelegt wurden und die dazu passenden Privatekeys in /etc/ssl/private,
dann spricht doch nichts dagegen die Applikationszertifikate incl.
Privatekey im PEM-Format ebenfalls in /etc/ssl/private zu speichern.

signature.asc (201 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Marc Haber-14
On Thu, 16 Apr 2020 12:03:17 +0200, Martin Reising
<[hidden email]> wrote:

>On Thu, Apr 16, 2020 at 11:44:06AM +0200, Marc Haber wrote:
>> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
>> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
>> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.
>
>Wenn die CA- und Chain-pubkeys in
>
> /usr/local/share/ca-certificates
>
>abgelegt wurden und die dazu passenden Privatekeys in /etc/ssl/private,
>dann spricht doch nichts dagegen die Applikationszertifikate incl.
>Privatekey im PEM-Format ebenfalls in /etc/ssl/private zu speichern.

Ja, richtig. Ich hatte gehofft, dass es etwas einheitlicheres gibt als
"jeder macht es so wie er es für richtig hält".

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Paul Muster-22
In reply to this post by Marc Haber-14
On 16.04.20 11:44, Marc Haber wrote:
> On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
> <[hidden email]> wrote:
>> Am 15.04.2020 um 21:33 schrieb Marc Haber:

>>> wenn ich openssl installiere, kommt ja ein selbstsigniertes
>>> snakeoil-Zertifikat mit. Dabei liegt der private key in
>>> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
>>> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>>>
>>> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
>>> Host-Zertifikate?
>>
>> /var/lib/dehydrated/certs/<domain>/
>
> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
*.int[ern].zuschlus.de, erschlagen könnte?

> Mit xca habe ich neulich endlich eine für meine kleine Umgebung
> beherrschbare CA-Software gefunden.

Ja, nee, danke. Da bin ich rausgewachsen.


mfG Paul

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Ulf Volmer
On 16.04.20 19:36, Paul Muster wrote:
> On 16.04.20 11:44, Marc Haber wrote:

>> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
>> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
>> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.
>
> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
> *.int[ern].zuschlus.de, erschlagen könnte?

Gerade für VPN und Co möchte man eine eigene CA, damit man Client
Zertifikate ausstellen kann.

Viele Grüße
Ulf

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Sven Hartge-5
In reply to this post by Paul Muster-22
Paul Muster <[hidden email]> wrote:
> On 16.04.20 11:44, Marc Haber wrote:
>> On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
>> <[hidden email]> wrote:
>>> Am 15.04.2020 um 21:33 schrieb Marc Haber:

>>>> wenn ich openssl installiere, kommt ja ein selbstsigniertes
>>>> snakeoil-Zertifikat mit. Dabei liegt der private key in
>>>> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
>>>> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>>>>
>>>> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
>>>> Host-Zertifikate?
>>>
>>> /var/lib/dehydrated/certs/<domain>/
>>
>> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
>> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
>> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
> *.int[ern].zuschlus.de, erschlagen könnte?

VoIP-Deployment: Jeder IP-DECT-Basisstation braucht ein eigenes
Zertifikat, dies von einer externen CA zu beziehen und dann jährlich
manuell zu erneuern ist Wahnsinn. (Ja, manuell, das VoIP-Netz hat keinen
Zugang zu externen Netzen.)

PDU-Deploymnet: Jede Schaltleiste braucht ein eigenes Zerttifikat, ...
siehe oben.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Marc Haber-14
In reply to this post by Paul Muster-22
On Thu, 16 Apr 2020 19:36:47 +0200, Paul Muster
<[hidden email]> wrote:
>Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
>heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
>wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
>*.int[ern].zuschlus.de, erschlagen könnte?

Das liegt unter anderem daran, dass mein DNS-Setup aktuell nicht
dynamisch genug für DNS-Challenges ist, ich nicht überall dort, wo ich
ein Zertifikat brauche auch einen erreichbaren Webserver habe und ich
ungerne mit Wildcards arbeiten möchte.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply | Threaded
Open this post in threaded view
|

Re: Ablage fuer x509-Host-Zertifikate

Paul Muster-22
In reply to this post by Sven Hartge-5
Am 16.04.2020 um 20:37 schrieb Sven Hartge:
> Paul Muster <[hidden email]> wrote:

>> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
>> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
>> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
>> *.int[ern].zuschlus.de, erschlagen könnte?
>
> VoIP-Deployment: Jeder IP-DECT-Basisstation braucht ein eigenes
> Zertifikat, dies von einer externen CA zu beziehen und dann jährlich
> manuell zu erneuern ist Wahnsinn. (Ja, manuell, das VoIP-Netz hat keinen
> Zugang zu externen Netzen.)
>
> PDU-Deploymnet: Jede Schaltleiste braucht ein eigenes Zerttifikat, ...
> siehe oben.

Es ging um Marcs private, häusliche IT. Dass man in professionellen
Umgebungen eine interne CA-Infrastruktur sehr gut brauchen kann, stelle
ich natürlich nicht in Frage.


mfG Paul