Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Anbefalte innlegg

Skrevet

Jeg har noen huller i den "tekniske almendannelsen", og inspirert av diskusjonen om DDNS tenkte jeg at det er jo mange smartinger her som også har peiling på IT, så det er på tide å spørre.

 

Jeg har mange tjenester kjørende, også mot internett. Flere (om ikke alle) kan benytte seg av sertifikater, for å gjøre nettrafikken (og spesielt pålogging/utveksling av passord) kryptert. Men jeg vet egentlig ikke hvor jeg skal begynne. Jeg har et DDNS-oppsett som jeg bruker til det meste med direkte tilgang til mine systemer. Jeg har også et domene, som men bruker ikke det i denne sammenhengen bl.a. fordi det virker som om jeg da kun må oppdatere IP manuelt(?).

 

Jeg har lange u-huskbare passord, forskjellige passord for ulike tjenester, og bla-bla-bla, men kunne likevel tenke meg å gjøre det enda bedre.

 

Så spørsmål:

1) Hvis jeg skaffer meg et sertifikat, burde det være til DDNS tjensten (minserver.no-ip.org) eller det "ordentlige" domenet?

2) Hva er det egentlig som får utsett domenet? Hvis det er til minserver.no-ip.org, vil jeg kunne benytte den til forskjellige porter?

3) .... eller disse SSL-beskyttede tjenestene benytte bestemte porter (som 433)?

4) Tips om gode sted å skaffe seg et sertifikat?

 

Noen som har en kjapp, men forståelig innføring om sertifikater og sikkerhet? :)

Skrevet (endret)

Gir deg noen svar her. kan godt tas med en klype salt ettersom det ikke er her jeg har mest kompetanse...:-)

 

1) Tror det varierer etter hvordan du bruker DDNS. Dersom det er A record bør det gå bra å bruke DDNS navn. (minserver.no-ip.org).

Har tidligere kun arbeidet uten bruk av DDNS go da gjelder URL som er skrevet i addresselinjen etter at websiden er lastet som teller.

Her kan kanskje noen andre hjelpe

2) Sertifikatet kan brukes til flere porter dersom korrekt sertifikat type brukes.

 

3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes.

eksempel:

https://minserver.no-ip.org = peker på port 443

https://minserver.no-ip.org:447 = peker på port 447

begge vil virke, men på alt annet enn 443 så må det skrives manuelt.

 

4)

https://letsencrypt.org/

https://letsencrypt.org/how-it-works/

Gratis offisielt sertifikat.

 

inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette. Større bedrifter har avdelinger med ansvar for sertifikater og dens vedlikehold...

kort og godt:

Sertifikatene må komme fra en felles "trusted root", altså et firma eller liknende som har sitt hovedsertifikat distribuert til klienter.

De har forskjellige nivåer alt etter hva sertifikatet skal sertifisere(websertifikat, klientsertifikat, identitet på bruker osv.).

Sertifikatene må oppdateres basert på en utløpsdato som er lagret i sertifikatet...

 

 

Vet ikke helt hva du er på jakt etter her, SSL er et felt som inneholder så mangt.


 

 

Endret av Lazarus
forbedringer
Skrevet

Takk for svar, Lazarus! Jo mer, jo bedre.

Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk..

 

8 timer siden, Lazarus skrev:

3) SSL fungerer over "alle" porter, dvs du har like stor frihet som med vanlig http://. viktige er å legge til https:// når siden besøkes.

eksempel:

https://minserver.no-ip.org = peker på port 443

https://minserver.no-ip.org:447 = peker på port 447

begge vil virke, men på alt annet enn 443 så må det skrives manuelt.

Ja, akkurat så det er bare en vanlig "port-sak", 80 typisk er web, 21 er ftp, og 443 typisk er web over SSL. Det var det jeg trodde, men en innstilling i PRTG fikk meg til å tvile på dette.

 

Men jeg ser nå at denne innstillingen nå er borte, så det kan være andre enn meg som reagerte...

 

8 timer siden, Lazarus skrev:

Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner.

 

 

8 timer siden, Lazarus skrev:

inføring i SSL... kan snakke i timesvis... og jeg har ikke så mye erfaring innen dette.

Keep talking. ;) 

Skrevet
37 minutter siden, Moskus skrev:

Takk for svar, Lazarus! Jo mer, jo bedre.

Om litt skal vi snakke om litt proffere routere og APer, á la tek.no, for jeg lurer på om min Asus-router begynner å knele under all trafikk..

Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil.

De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt.

 

37 minutter siden, Moskus skrev:

Ja, de har jeg funnet, men syntes ikke det var selvsagt om hva jeg faktisk måtte gjøre. Husk, på dette området er jeg fullstendig nybegynner.

Keep talking. ;) 

 

Skal vi se.

Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet.

 

Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root. Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-)

 

Kan kanskje teste når jeg en gang får tid til å sette meg ned med pulten i mer enn 10 min... :-)

 

Skrevet
1 time siden, Lazarus skrev:

Prosessen de har på https://letsencrypt.org/getting-started/ foklarer hvordan du forespør et sertifikat. dette kan så legges inn på webserver og vil da fungere(har ikke testet ut deres tjeneste men har erfaring fra liknende tjenester). Guiden baserer seg på at du kjører Linux på maskinen som forespør sertifikatet.

Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? :P

 

1 time siden, Lazarus skrev:

Av annen info så er det ikke så mye du trenger, Du må ha sertifikat, som helst er fra en Trusted Root.

Ja... "Trusted root", sier du.

 

1 time siden, Lazarus skrev:

Du trenger et godt DNS oppsett med helst(min preferanse) et A record til offisiell adresse. har ikke så god erfaring med Web redirect/forward og SSL. og CNAME record vet jeg ikke om fungerer med ssl(tror det skal det?). Men DNS er et helt annet tema som dere allerede har en tråd på.. :-)

Ja, fiks ferdig på 3 minutter. Enkelt...  ?

 

 

 

Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ... :(

 

Skrevet
1 time siden, Lazarus skrev:

Anbefaler å ta en titt på MikroTik. For eks: http://routerboard.com/RB951G-2HnD. Disse boksene har overrasket meg i form av ytelse og muligheter... Har muligens en du kan låne for å teste ut hvis du vil.

De selger normalt kun til bedrifter, men jeg kan skaffe via firmaet mitt dersom det blir aktuelt.

Jeg prøver gjerne en slik hvis du har en. :)

Skrevet

Ja, det var akkurat det... "Kjøre Linux på maskinen som forespør sertifikatet".... hvem i all verden kjører Linux som desktop OS?!?? :P

Alle?? Trenger ikke være full desktop tror jeg, holder med en cli.?

 

Ja... "Trusted root", sier du.

Trusted Root = for eks: https://letsencrypt.org/

 

Sitat

Ja, fiks ferdig på 3 minutter. Enkelt...  1f60e.png

Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det..

Stiller gjerne på en "workshop" ?

 

Sitat

Problemet med https://letsencrypt.org/getting-started/ er at den forutsetter at jeg allerede forstår hvordan dette fungerer. ...

slik fungerer det(i veldig forenklet forstand). Letsencrypt er en CA(certificate authority) som kan utstede sertifikater til forskjellige funksjoner(webserver i ditt tilfelle). Det du trenger er å bruke deres metode for å forespørre et server-sertifikat til ditt DNS navn. Etter det legger du inn sertifikat og private key filene som klienten deres genererer på webserveren. Ferdig.

Enkelt? Vil ikke påstå det...

 

Sitat

Jeg prøver gjerne en slik hvis du har en. :)

Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. ?

 

Skrevet
44 minutter siden, Lazarus skrev:

Alle?1f600.png Trenger ikke være full desktop tror jeg, holder med en cli.1f913.png

"Alle" du liksom... :P

CLI gjør det så tungvindt å surfe på nettet... ?

 

45 minutter siden, Lazarus skrev:

Tror nok det går fort når du først kommer inni det... men... alt er lett for de som kan det..

Stiller gjerne på en "workshop" 1f609.png

That can be arranged! :D

 

52 minutter siden, Lazarus skrev:

Jeg skal sjekke om jeg har en og kanskje vår felles bekjente kan være behjelpelig med å transportere den. 1f609.png

Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. ;)

Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en.

Skrevet
1 time siden, Moskus skrev:

"Alle" du liksom... :P

CLI gjør det så tungvindt å surfe på nettet... 1f60e.png

 

That can be arranged! :D

 

Ja, jeg så jo at det plutselig dukket oppen Ikea-bryter. ;)

Jeg ser signaler fra den, men har ikke funnet ut om den egentlig er støttet i plugin'en.

Jeg tror nok CLI kan gjøre seg bra til å surfe på nettet jeg.

http://lynx.browser.org/


Bare å gi beskjed så stiller jeg opp. ?

 

Router er på vei nå. ?

 

Skrevet

Ugh, Lynx... *flashback til studietiden*. Det var det datastudentene sverget til. "For effektivitet". :P

 

 

19 minutter siden, Lazarus skrev:

Router er på vei nå. 1f412.png

Wow. Du er rask! :) 

 

 

3 timer siden, Lazarus skrev:

Enkelt? Vil ikke påstå det...

Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. :) 

Skrevet
8 timer siden, Moskus skrev:

Nei. Jeg får faktisk lese litt mer før jeg plager deg, jeg synes alltid det er greit å iallfall ha litt kjennskap til grunnteorien før man involverer fagfolk. :) 

 

Google is your friend ;) 

Skrevet

Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat?

 

Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer...

 

 

Skrevet
8 timer siden, iblis skrev:

 

Google is your friend ;) 

Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities.

Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat.

Skrevet
1 minutt siden, Lazarus skrev:

Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat.

Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis?

 

Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...?

Skrevet

 

2 timer siden, Moskus skrev:

Dette er et tilleggsproblem jeg sliter med. Sertifikater koster penger, faktisk en god del penger. Hvordan kan noen få det til gratis?

 

Klassisk "når noe høres ut til å være for godt til å være sant"- ånd...?

Tror nok de store sponsorene kan ha hjulpet til her. og det virker som om dette er noe som bransjen har ønsket, derav gratis?

Jeg har selv ønsket at dette ble gratis i årevis. er et styr med disse self-signed sakene.

Sertifikatene deres ser ihvertfall OK ut.

https://letsencrypt.org/certificates/

Skrevet
3 timer siden, Moskus skrev:

Joda... men må jeg ikke drive på med installasjon av egne sertifikater i nettlesere, etc med et "self signed" sertifikat?

 

Jeg har tidligere prøvd meg på denne guiden, men det eneste jeg klarte var å låse meg ute av HomeSeer...

 

 

 

Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authoritiesselve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted.

 

Selv bruker jeg self signed sertifikater på alle duppedittene/serverne mine som kun jeg/familien skal ha tilgang til og bruker sertifikater fra RapidSSL på tjenester som er allment tilgjengelig slik som hjemmeautomasjon.no.

 

3 timer siden, Lazarus skrev:

Self-signed vil jo trigge feil/infomeldinger når du åpner websiden fra et system med kun standard Trusted root certification authorities.


Ikke så lenge du installerer "self signed" sertifikatet som Trusted under Trusted Root Certification Authorities i systemet ditt ;)

 

Sitat

Metoden til LetsEncrypt.org gir deg et gratis offisielt sertifikat.

 

Har aldri hørt om LetsEncrypt før nå, men dette skal jeg ta en titt på. Takk for info :) 

Skrevet
17 minutter siden, iblis skrev:

Jo, men så lenge du installerer sertifikatet som Trusted under Trusted Root Certification Authoritiesselve systemet (Sertifikatbehandling i Win10, Keychain i OSX osv) så vil også nettlesere og andre programmer behandle sertifikatene som trusted.

Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen.

 

LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder.

Skrevet
1 time siden, Moskus skrev:

Det var det jeg trodde jeg gjorde, uten at det gikk særlig bra... Får kikke på det igjen.

 

LetsEncrypt ser jo tilforlatelig praktisk ut, da. Utenom at det kun varer i 3 måneder.

Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-)

Skrevet
11 minutter siden, Lazarus skrev:

Kort varighet er OK. de har inkludert et script for automatisk fornyelse av sertifikat. :-)

Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"?

Skrevet
1 time siden, Moskus skrev:

Ja, det er akkurat det. Jeg skal ha et sertifikat til ulike tjenester, som HomeSeer, Netcam Studio og PRTG.... er det bare å " kopiere over"?

Varierer litt med tjenester, de fleste jeg har vært borti har fungert med å bare kopiere. et par tjenester krever da å restartes for at nytt sertifikat tas i bruk.

 

Har vært bort to-tre tjenester som krever at sertifikatet importeres, men i disse tilfellene så kan det automatiseres med script.

 

vanligvis så vil webtjenester(https) håndtere nye sertifikater fint.

Skrevet

Ja, fant ut av "wildcard". Let's Encrypt tilbyr det ikke. Men det får nå så være. :)

 

Nå har jeg fått laget et sertifikat! Hurra! Så får vi se om det lar seg installere noe sted... :P

 

  • Like 1

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.