Moskus Skrevet 22. mai 2016 Skrevet 22. mai 2016 Jeg har noen huller i den "tekniske almendannelsen", og inspirert av diskusjonen om DDNS tenkte jeg at det er jo mange smartinger her som også har peiling på IT, så det er på tide å spørre. Jeg har mange tjenester kjørende, også mot internett. Flere (om ikke alle) kan benytte seg av sertifikater, for å gjøre nettrafikken (og spesielt pålogging/utveksling av passord) kryptert. Men jeg vet egentlig ikke hvor jeg skal begynne. Jeg har et DDNS-oppsett som jeg bruker til det meste med direkte tilgang til mine systemer. Jeg har også et domene, som men bruker ikke det i denne sammenhengen bl.a. fordi det virker som om jeg da kun må oppdatere IP manuelt(?). Jeg har lange u-huskbare passord, forskjellige passord for ulike tjenester, og bla-bla-bla, men kunne likevel tenke meg å gjøre det enda bedre. Så spørsmål: 1) Hvis jeg skaffer meg et sertifikat, burde det være til DDNS tjensten (minserver.no-ip.org) eller det "ordentlige" domenet? 2) Hva er det egentlig som får utsett domenet? Hvis det er til minserver.no-ip.org, vil jeg kunne benytte den til forskjellige porter? 3) .... eller må disse SSL-beskyttede tjenestene benytte bestemte porter (som 433)? 4) Tips om gode sted å skaffe seg et sertifikat? Noen som har en kjapp, men forståelig innføring om sertifikater og sikkerhet? Siter
Lazarus Skrevet 22. mai 2016 Skrevet 22. mai 2016 (endret) Gir deg noen svar her. kan godt tas med en klype salt ettersom det ikke er her jeg har mest kompetanse...:-) 1) Tror det varierer etter hvordan du bruker DDNS. Dersom det er A record bør det gå bra å bruke DDNS navn. (minserver.no-ip.org). Har tidligere kun arbeidet uten bruk av DDNS go da gjelder URL som er skrevet i addresselinjen etter at websiden er lastet som teller. Her kan kanskje noen andre hjelpe 2) Sertifikatet kan brukes til flere porter dersom korrekt sertifikat type brukes. 3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes. eksempel: https://minserver.no-ip.org = peker på port 443 https://minserver.no-ip.org:447 = peker på port 447 begge vil virke, men på alt annet enn 443 så må det skrives manuelt. 4) https://letsencrypt.org/ https://letsencrypt.org/how-it-works/ Gratis offisielt sertifikat. inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette. Større bedrifter har avdelinger med ansvar for sertifikater og dens vedlikehold... kort og godt: Sertifikatene må komme fra en felles "trusted root", altså et firma eller liknende som har sitt hovedsertifikat distribuert til klienter. De har forskjellige nivåer alt etter hva sertifikatet skal sertifisere(websertifikat, klientsertifikat, identitet på bruker osv.). Sertifikatene må oppdateres basert på en utløpsdato som er lagret i sertifikatet... Vet ikke helt hva du er på jakt etter her, SSL er et felt som inneholder så mangt. Endret 22. mai 2016 av Lazarus forbedringer Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Takk for svar, Lazarus! Jo mer, jo bedre. Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk.. Lazarus skrev (På 22.5.2016 den 22.12): 3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes. eksempel: https://minserver.no-ip.org = peker på port 443 https://minserver.no-ip.org:447 = peker på port 447 begge vil virke, men på alt annet enn 443 så må det skrives manuelt. Ekspander Ja, akkurat så det er bare en vanlig "port-sak", 80 typisk er web, 21 er ftp, og 443 typisk er web over SSL. Det var det jeg trodde, men en innstilling i PRTG fikk meg til å tvile på dette. Men jeg ser nå at denne innstillingen nå er borte, så det kan være andre enn meg som reagerte... Lazarus skrev (På 22.5.2016 den 22.12): https://letsencrypt.org/ https://letsencrypt.org/how-it-works/ Gratis offisielt sertifikat. Ekspander Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner. Lazarus skrev (På 22.5.2016 den 22.12): inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette. Ekspander Keep talking. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 Moskus skrev (På 23.5.2016 den 7.03): Takk for svar, Lazarus! Jo mer, jo bedre. Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk.. Ekspander Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil. De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt. Moskus skrev (På 23.5.2016 den 7.03): Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner. Keep talking. Ekspander Skal vi se. Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet. Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root. Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-) Kan kanskje teste når jeg en gang får tid til å sette meg ned med pulten i mer enn 10 min... :-) Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Lazarus skrev (På 23.5.2016 den 7.50): Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet. Ekspander Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? Lazarus skrev (På 23.5.2016 den 7.50): Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root. Ekspander Ja... "Trusted root", sier du. Lazarus skrev (På 23.5.2016 den 7.50): Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-) Ekspander Ja, fiks ferdig på 3 minutter. Enkelt... ? Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ... Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Lazarus skrev (På 23.5.2016 den 7.50): Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil. De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt. Ekspander Jeg prøver gjerne en slik hvis du har en. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 Moskus skrev (På 23.5.2016 den 9.03): Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? Ekspander Alle?? Trenger ikke være full desktop tror jeg, holder med en cli.? Moskus skrev (På 23.5.2016 den 9.03): Ja... "Trusted root", sier du. Ekspander Trusted Root = for eks: https://letsencrypt.org/ Sitat Ja, fiks ferdig på 3 minutter. Enkelt... Ekspander Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det.. Stiller gjerne på en "workshop" ? Sitat Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ... Ekspander slik fungerer det(i veldig forenklet forstand). Letsencrypt er en CA(certificate authority) som kan utstede sertifikater til forskjellige funksjoner(webserver i ditt tilfelle). Det du trenger er å bruke deres metode for å forespørre et server-sertifikat til ditt DNS navn. Etter det legger du inn sertifikat og private key filene som klienten deres genererer på webserveren. Ferdig. Enkelt? Vil ikke påstå det... Sitat Jeg prøver gjerne en slik hvis du har en. Ekspander Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. ? Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Lazarus skrev (På 23.5.2016 den 11.26): Alle? Trenger ikke være full desktop tror jeg, holder med en cli. Ekspander "Alle" du liksom... CLI gjør det så tungvindt å surfe på nettet... ? Lazarus skrev (På 23.5.2016 den 11.26): Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det.. Stiller gjerne på en "workshop" Ekspander That can be arranged! Lazarus skrev (På 23.5.2016 den 11.26): Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. Ekspander Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 Moskus skrev (På 23.5.2016 den 12.19): "Alle" du liksom... CLI gjør det så tungvindt å surfe på nettet... That can be arranged! Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en. Ekspander Jeg tror nok CLI kan gjøre seg bra til å surfe på nettet jeg. http://lynx.browser.org/ Bare å gi beskjed så stiller jeg opp. ? Router er på vei nå. ? Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Ugh, Lynx... *flashback til studietiden*. Det var det datastudentene sverget til. "For effektivitet". Lazarus skrev (På 23.5.2016 den 14.05): Router er på vei nå. Ekspander Wow. Du er rask! Lazarus skrev (På 23.5.2016 den 11.26): Enkelt? Vil ikke påstå det... Ekspander Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. Siter
iblis Skrevet 23. mai 2016 Skrevet 23. mai 2016 Moskus skrev (På 23.5.2016 den 14.26): Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. Ekspander Google is your friend Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat? Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer... Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 iblis skrev (På 23.5.2016 den 22.52): Google is your friend Ekspander Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities. Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 Lazarus skrev (På 24.5.2016 den 7.01): Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Ekspander Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis? Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...? Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 Moskus skrev (På 24.5.2016 den 7.04): Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis? Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...? Ekspander Tror nok de store sponsorene kan ha hjulpet til her. og det virker som om dette er noe som bransjen har ønsket, derav gratis? Jeg har selv ønsket at dette ble gratis i årevis. er et styr med disse self-signed sakene. Sertifikatene deres ser ihvertfall OK ut. https://letsencrypt.org/certificates/ Siter
iblis Skrevet 24. mai 2016 Skrevet 24. mai 2016 Moskus skrev (På 24.5.2016 den 6.56): Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat? Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer... Ekspander Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authorities i selve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted. Selv bruker jeg self signed sertifikater på alle duppedittene/serverne mine som kun jeg/familien skal ha tilgang til og bruker sertifikater fra RapidSSL på tjenester som er allment tilgjengelig slik som hjemmeautomasjon.no. Lazarus skrev (På 24.5.2016 den 7.01): Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities. Ekspander Ikke så lenge du installerer "self signed" sertifikatet som Trusted under Trusted Root Certification Authorities i systemet ditt Sitat Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Ekspander Har aldri hørt om LetsEncrypt før nå, men dette skal jeg ta en titt på. Takk for info Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 iblis skrev (På 24.5.2016 den 11.13): Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authorities i selve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted. Ekspander Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen. LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder. Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 Moskus skrev (På 24.5.2016 den 11.31): Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen. LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder. Ekspander Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-) Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 Lazarus skrev (På 24.5.2016 den 13.25): Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-) Ekspander Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"? Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 Moskus skrev (På 24.5.2016 den 13.39): Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"? Ekspander Varierer litt med tjenester, de fleste jeg har vært borti har fungert med å bare kopiere. et par tjenester krever da å restartes for at nytt sertifikat tas i bruk. Har vært bort to-tre tjenester som krever at sertifikatet importeres, men i disse tilfellene så kan det automatiseres med script. vanligvis så vil webtjenester(https) håndtere nye sertifikater fint. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 OK, da kan dette gå veien. Jeg har fått fast IP, og funnet ut hvordan jeg setter opp subdomener i Cpanel. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 Siste spørsmål (akkurat nå): Holder det med et sertifikat for et domene, eller trenger man et for hvert sub-domene også? Nå er det bare å lese litt om Let'sEncrypt på Windows. Siter
iblis Skrevet 25. mai 2016 Skrevet 25. mai 2016 søk opp "ssl certificates wildcard". Disse koster som regel mer penger. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 Ja, fant ut av "wildcard". Let's Encrypt tilbyr det ikke. Men det får nå så være. Nå har jeg fått laget et sertifikat! Hurra! Så får vi se om det lar seg installere noe sted... 1 Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.