innovaphone Forum

You are here

Help with Search (new window)
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Friday, 24 November 2023, 11:41 AM
2 of 2 users consider this post helpful
[Implemented] Let's Encrypt
Moin zusammen,

gibt es schon Ansätze Devices (ReverseProxy, PBX, App-PF) über Let's Encrypt mit gültigen Web-Server-Zertifikaten zu beglücken?

verschlüsselte Grüße
Niels

(Edited by Sebastian Hayer-Lutz (innovaphone) - original submission Wednesday, 4 March 2020, 04:30 PM)

Picture of Robin 3214
Registered 7 years 324 days
Robin 3214 Tuesday, 10 March 2020, 03:25 PM
0 of 2 users consider this post helpful
Re: Let's Encrypt
wofür brauchst du das? Dank dem neuen v13 Konzept kann man ganz einfach und sicher mit den Self-Signed Zertifikaten arbeiten. In der myApps App wird das ja direkt getrusted.
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Tuesday, 10 March 2020, 03:39 PM
3 of 3 users consider this post helpful
Re: Let's Encrypt
Nun nutzt aber nicht jeder myApps4Win. Jeder Browserzugriff wird potentiell ans unsicher eingestuft, was kein professionelles Bild abgibt.
Ich glaube, die Anfrage wäre was für die Wunschliste - eine Let's Encrypt App.

professionelle Grüße
Niels
Picture of Marc 189
Registered 13 years 183 days
Marc 189 Tuesday, 2 November 2021, 03:01 PM
Re: Let's Encrypt
gibts da schon was auf der Wunschliste? würde da auch voten.... smile
Picture of Marc 189
Registered 13 years 183 days
Marc 189 Tuesday, 2 November 2021, 03:05 PM
Re: Let's Encrypt
ah ja, habs gefunden
https://forum.innovaphone.com/moodle2/mod/forum/discuss.php?d=20041


Picture of Robin 3214
Registered 7 years 324 days
Robin 3214 Tuesday, 2 November 2021, 03:18 PM
Re: Let's Encrypt
Absolut nicht sinnvoll. Der Reverse Proxy braucht ein Wildcard-Zertifikat und Let's Encrypt stellt keine Wildcard-Zertifikate aus.

"The RP's certificate must therefore screenshot.png be valid for all the forwarded services. Practically, a wildcard service (like *.innovaphone.com) is required to make certificate validation work."
Picture of ThomasAH
Registered 3 years 178 days
ThomasAH Tuesday, 2 November 2021, 03:40 PM
Re: Let's Encrypt
Ein gekauftes Wildcard-Zertifikat ist hier sicherlich die einfachste Loesung, aber:
1. Man braucht kein Wildcard-Zertifikat, es reichen SAN-Eintraege fuer die benoetigten Hostnamen (z.B. nur drei fuer PBX, AP und RP/Turn). Let's Encrypt bietet das schon immer an.
2. Let's Encrypt stellt inzwischen (seit 2019 oder so) auch Wildcard-Zertifikate aus, allerdings werden die ueber DNS angefordert, nicht ueber HTTP, von daher nicht direkt Aufgabe der TK-Anlage.

Allerdings waere es gut, wenn die TK-Anlage einen automatischen Weg zum Installieren aktualisierter Keys/Zertifikate hat, damit man diese leicht erneuern kann. Auch gekaufte Zertifikate halten ja nur noch ein Jahr.
Picture of Peter 627
Registered 13 years 120 days
Peter 627 Tuesday, 2 November 2021, 03:39 PM in response to Robin 3214
Re: Let's Encrypt
Also soweit ich weiß geht es ein Wildcard anzufragen und ansonsten könnte man doch auch im CSR einfach zwei FQDNs im DNS Value anfragen oder nicht.

Zu der Sache sehe ich zwei Sachen die hier noch fehlen, die aber dann wirklich super toll wären.

1. Eine Art Job über Devices, der automatische Zertikate Anfrage / Verteilt.
z.B. mit Lets Encrypt oder auch einer Windows CA für interne Zertifikate.

2. On Top wäre es richtig Sahne, für die eingesetzen FQDNs im Reverse Proxy im Bereich der Application Certificates einzelne Zertifikate hochladen zu können. Dann könnte man auch einen Reverseproxy für verschiedene Domains nutzen...

--------
Die ist Situation wäre aber ... sich selbst einen Job schreiben der die Zertifikate per HTTP Post und curl z.B. auf die Geräte hochlädt.

Gruß

Peter
Picture of Edward 932
Registered 12 years 8 days
Edward 932 Thursday, 2 December 2021, 10:54 AM in response to Robin 3214
1 of 1 users consider this post helpful
Re: Let's Encrypt
Auf meinem Testsystem habe ich inzwischen ein Let's Encrypt Zertifikat installiert. Voraussetzung ist der Zugriff auf den public DNS Server eurer Domain (DNS TXT record _acme-ahallenge.domain.xxx) und das Zertifikat muss manuell installiert werden. Dies ist dann 3 Monate gültig und muss danach manuell erneuert werden.
Basis ist folgende Dokumentation:
https://cloudalbania.com/2021/04/12/offline-generation-of-lets-encrypt/

certbot -d "*.domain.xxx" --manual-public-ip-logging-ok --manual --preferred-challenges dns certonly

Das generiert ein *.pem Zertifikat. Dies muss dann nur noch konvertiert werden und auf der PBX oder RP installieren.

Grüße

Ed
Picture of Peter 627
Registered 13 years 120 days
Peter 627 Friday, 3 December 2021, 06:00 AM
1 of 1 users consider this post helpful
Re: Let's Encrypt
Hi, das habe ich auch bei mir mit einem separaten Linux Debian gemacht/getestet was auch automatisch die Zertifikate verlängert. Ich hatte in dem Antrag jetzt nur FQDN's für pbx und app in einem drin, aber schickt ja auch schon oft.

In dem Moment wo der certbot agiert, ist auf dem debian ein Webserverpfad aktiv auf dem dann der Datenaustausch zwischen certbot und CA stattfindet.
"/.well-known". Hier bin ich auf dem Reverse Proxy auf dem meine beiden FQDN von extern ankommen, einfach Hergangen und habe diesen Pfad nicht zur PBX oder APP geschickt , sondern auf mein Debian was das Zertifikat anfragt. HTTP muss allerdings offen sein , zusätzlich zu HTTPS.

Natürlich wäre interessant ob ich certbot auch einfach auf dem V13 Linux App laufen lassen könnte. In dem Fall müsste dann "nur" in Devices noch eine Möglichkeit bestehen, dass zu verteilen. Natürlich kann man auch per curl skripten, aber Devices wäre schon cooler ^^.

Gruß

Peter

Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Friday, 3 December 2021, 07:15 AM
Re: Let's Encrypt
Moin Peter,

warum sollte das nicht auf der App-PF laufen können? Es muss nur updatesicher sein, was ja aber auch machbar ist, wenn Innovaphone das baut. Etwas unschön ist natürlich, wenn man HTTP braucht, denn dann muss sich ja der ReverseProxy auf allen von ihm verwalteten URL‘s mit unsicheren Anfragen beschäftigen.

interessierte Grüße
Niels
Picture of Achim 1648
Registered 10 years 243 days
Achim 1648 Thursday, 6 January 2022, 03:49 PM
Re: Let's Encrypt
Moin,

auch wenn der Thread schon aus letztem Jahr ist ... wenn ich das richtig verstanden habe, braucht man die http-Verbindung nur einmal, bei der Domain-Validation.
Danach kann man http in der Firewall theoretisch wieder sperren, da die Erneuerung der Zertifikate durch das bei der Validierung hinterlegte Schlüsselpaar erfolgt.

Kann das jemand bestätigen ?

Gruß Achim
Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Friday, 24 November 2023, 11:41 AM in response to Muschelpuster
1 of 1 users consider this post helpful
Re: Let's Encrypt
Hallo zusammen,

Lets Encrypt ist ab 14r1 implementiert und kann in aktueller Beta bereits getestet werden smile

https://wiki.innovaphone.com/index.php?title=Reference14r1:Concept_Let%27s_Encrypt
← You can define your color theme preference here