Moskus Skrevet 22. mai 2016 Skrevet 22. mai 2016 Jeg har noen huller i den "tekniske almendannelsen", og inspirert av diskusjonen om DDNS tenkte jeg at det er jo mange smartinger her som også har peiling på IT, så det er på tide å spørre. Jeg har mange tjenester kjørende, også mot internett. Flere (om ikke alle) kan benytte seg av sertifikater, for å gjøre nettrafikken (og spesielt pålogging/utveksling av passord) kryptert. Men jeg vet egentlig ikke hvor jeg skal begynne. Jeg har et DDNS-oppsett som jeg bruker til det meste med direkte tilgang til mine systemer. Jeg har også et domene, som men bruker ikke det i denne sammenhengen bl.a. fordi det virker som om jeg da kun må oppdatere IP manuelt(?). Jeg har lange u-huskbare passord, forskjellige passord for ulike tjenester, og bla-bla-bla, men kunne likevel tenke meg å gjøre det enda bedre. Så spørsmål: 1) Hvis jeg skaffer meg et sertifikat, burde det være til DDNS tjensten (minserver.no-ip.org) eller det "ordentlige" domenet? 2) Hva er det egentlig som får utsett domenet? Hvis det er til minserver.no-ip.org, vil jeg kunne benytte den til forskjellige porter? 3) .... eller må disse SSL-beskyttede tjenestene benytte bestemte porter (som 433)? 4) Tips om gode sted å skaffe seg et sertifikat? Noen som har en kjapp, men forståelig innføring om sertifikater og sikkerhet? Siter
Lazarus Skrevet 22. mai 2016 Skrevet 22. mai 2016 (endret) Gir deg noen svar her. kan godt tas med en klype salt ettersom det ikke er her jeg har mest kompetanse...:-) 1) Tror det varierer etter hvordan du bruker DDNS. Dersom det er A record bør det gå bra å bruke DDNS navn. (minserver.no-ip.org). Har tidligere kun arbeidet uten bruk av DDNS go da gjelder URL som er skrevet i addresselinjen etter at websiden er lastet som teller. Her kan kanskje noen andre hjelpe 2) Sertifikatet kan brukes til flere porter dersom korrekt sertifikat type brukes. 3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes. eksempel: https://minserver.no-ip.org = peker på port 443 https://minserver.no-ip.org:447 = peker på port 447 begge vil virke, men på alt annet enn 443 så må det skrives manuelt. 4) https://letsencrypt.org/ https://letsencrypt.org/how-it-works/ Gratis offisielt sertifikat. inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette. Større bedrifter har avdelinger med ansvar for sertifikater og dens vedlikehold... kort og godt: Sertifikatene må komme fra en felles "trusted root", altså et firma eller liknende som har sitt hovedsertifikat distribuert til klienter. De har forskjellige nivåer alt etter hva sertifikatet skal sertifisere(websertifikat, klientsertifikat, identitet på bruker osv.). Sertifikatene må oppdateres basert på en utløpsdato som er lagret i sertifikatet... Vet ikke helt hva du er på jakt etter her, SSL er et felt som inneholder så mangt. Endret 22. mai 2016 av Lazarus forbedringer Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Takk for svar, Lazarus! Jo mer, jo bedre. Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk.. 8 timer siden, Lazarus skrev: 3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes. eksempel: https://minserver.no-ip.org = peker på port 443 https://minserver.no-ip.org:447 = peker på port 447 begge vil virke, men på alt annet enn 443 så må det skrives manuelt. Ja, akkurat så det er bare en vanlig "port-sak", 80 typisk er web, 21 er ftp, og 443 typisk er web over SSL. Det var det jeg trodde, men en innstilling i PRTG fikk meg til å tvile på dette. Men jeg ser nå at denne innstillingen nå er borte, så det kan være andre enn meg som reagerte... 8 timer siden, Lazarus skrev: https://letsencrypt.org/ https://letsencrypt.org/how-it-works/ Gratis offisielt sertifikat. Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner. 8 timer siden, Lazarus skrev: inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette. Keep talking. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 37 minutter siden, Moskus skrev: Takk for svar, Lazarus! Jo mer, jo bedre. Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk.. Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil. De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt. 37 minutter siden, Moskus skrev: Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner. Keep talking. Skal vi se. Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet. Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root. Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-) Kan kanskje teste når jeg en gang får tid til å sette meg ned med pulten i mer enn 10 min... :-) Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 1 time siden, Lazarus skrev: Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet. Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? 1 time siden, Lazarus skrev: Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root. Ja... "Trusted root", sier du. 1 time siden, Lazarus skrev: Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-) Ja, fiks ferdig på 3 minutter. Enkelt... ? Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ... Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 1 time siden, Lazarus skrev: Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil. De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt. Jeg prøver gjerne en slik hvis du har en. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? Alle?? Trenger ikke være full desktop tror jeg, holder med en cli.? Ja... "Trusted root", sier du. Trusted Root = for eks: https://letsencrypt.org/ Sitat Ja, fiks ferdig på 3 minutter. Enkelt... Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det.. Stiller gjerne på en "workshop" ? Sitat Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ... slik fungerer det(i veldig forenklet forstand). Letsencrypt er en CA(certificate authority) som kan utstede sertifikater til forskjellige funksjoner(webserver i ditt tilfelle). Det du trenger er å bruke deres metode for å forespørre et server-sertifikat til ditt DNS navn. Etter det legger du inn sertifikat og private key filene som klienten deres genererer på webserveren. Ferdig. Enkelt? Vil ikke påstå det... Sitat Jeg prøver gjerne en slik hvis du har en. Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. ? Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 44 minutter siden, Lazarus skrev: Alle? Trenger ikke være full desktop tror jeg, holder med en cli. "Alle" du liksom... CLI gjør det så tungvindt å surfe på nettet... ? 45 minutter siden, Lazarus skrev: Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det.. Stiller gjerne på en "workshop" That can be arranged! 52 minutter siden, Lazarus skrev: Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en. Siter
Lazarus Skrevet 23. mai 2016 Skrevet 23. mai 2016 1 time siden, Moskus skrev: "Alle" du liksom... CLI gjør det så tungvindt å surfe på nettet... That can be arranged! Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en. Jeg tror nok CLI kan gjøre seg bra til å surfe på nettet jeg. http://lynx.browser.org/ Bare å gi beskjed så stiller jeg opp. ? Router er på vei nå. ? Siter
Moskus Skrevet 23. mai 2016 Forfatter Skrevet 23. mai 2016 Ugh, Lynx... *flashback til studietiden*. Det var det datastudentene sverget til. "For effektivitet". 19 minutter siden, Lazarus skrev: Router er på vei nå. Wow. Du er rask! 3 timer siden, Lazarus skrev: Enkelt? Vil ikke påstå det... Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. Siter
iblis Skrevet 23. mai 2016 Skrevet 23. mai 2016 8 timer siden, Moskus skrev: Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. Google is your friend Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat? Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer... Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 8 timer siden, iblis skrev: Google is your friend Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities. Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 1 minutt siden, Lazarus skrev: Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis? Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...? Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 2 timer siden, Moskus skrev: Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis? Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...? Tror nok de store sponsorene kan ha hjulpet til her. og det virker som om dette er noe som bransjen har ønsket, derav gratis? Jeg har selv ønsket at dette ble gratis i årevis. er et styr med disse self-signed sakene. Sertifikatene deres ser ihvertfall OK ut. https://letsencrypt.org/certificates/ Siter
iblis Skrevet 24. mai 2016 Skrevet 24. mai 2016 3 timer siden, Moskus skrev: Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat? Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer... Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authorities i selve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted. Selv bruker jeg self signed sertifikater på alle duppedittene/serverne mine som kun jeg/familien skal ha tilgang til og bruker sertifikater fra RapidSSL på tjenester som er allment tilgjengelig slik som hjemmeautomasjon.no. 3 timer siden, Lazarus skrev: Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities. Ikke så lenge du installerer "self signed" sertifikatet som Trusted under Trusted Root Certification Authorities i systemet ditt Sitat Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat. Har aldri hørt om LetsEncrypt før nå, men dette skal jeg ta en titt på. Takk for info Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 17 minutter siden, iblis skrev: Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authorities i selve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted. Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen. LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder. Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 1 time siden, Moskus skrev: Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen. LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder. Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-) Siter
Moskus Skrevet 24. mai 2016 Forfatter Skrevet 24. mai 2016 11 minutter siden, Lazarus skrev: Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-) Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"? Siter
Lazarus Skrevet 24. mai 2016 Skrevet 24. mai 2016 1 time siden, Moskus skrev: Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"? Varierer litt med tjenester, de fleste jeg har vært borti har fungert med å bare kopiere. et par tjenester krever da å restartes for at nytt sertifikat tas i bruk. Har vært bort to-tre tjenester som krever at sertifikatet importeres, men i disse tilfellene så kan det automatiseres med script. vanligvis så vil webtjenester(https) håndtere nye sertifikater fint. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 OK, da kan dette gå veien. Jeg har fått fast IP, og funnet ut hvordan jeg setter opp subdomener i Cpanel. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 Siste spørsmål (akkurat nå): Holder det med et sertifikat for et domene, eller trenger man et for hvert sub-domene også? Nå er det bare å lese litt om Let'sEncrypt på Windows. Siter
iblis Skrevet 25. mai 2016 Skrevet 25. mai 2016 søk opp "ssl certificates wildcard". Disse koster som regel mer penger. Siter
Moskus Skrevet 25. mai 2016 Forfatter Skrevet 25. mai 2016 Ja, fant ut av "wildcard". Let's Encrypt tilbyr det ikke. Men det får nå så være. Nå har jeg fått laget et sertifikat! Hurra! Så får vi se om det lar seg installere noe sted... 1 Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.