1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • Managmenttool gesucht: autom. certs ausstellen

    From =?UTF-8?Q?Sebastian_G=C3=B6decke?=@21:1/5 to All on Tue Jan 23 14:10:01 2024
    Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen:
    wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients (also Endgeräte) und für Linuxserver, die (sichere) Dienste mit einem Zertifikat anbieten?
    Macht ihr das manuell oder automatisch und wenn automatisch, wie? Gibt es dafür eine Software, die so etwas u.a kann?

    Für Anregungen wäre ich sehr dankbar.

    --
    Mit freundlichen Grüßen
    Sebastian Gödecke

    <div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">wie
    erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients (also Endgeräte) und für Linuxserver, die (sichere) Dienste mit einem Zertifikat anbieten?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Macht ihr das
    manuell oder automatisch und wenn automatisch, wie? Gibt es dafür eine Software, die so etwas u.a kann?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,
    helvetica,sans-serif">Für Anregungen wäre ich sehr dankbar. </div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Mit freun
  • From Marco Moock@21:1/5 to All on Tue Jan 23 14:50:01 2024
    Am 23.01.2024 um 13:50:03 Uhr schrieb Sebastian Gödecke:

    Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen
    nutzen: wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients (also Endgeräte) und für Linuxserver, die (sichere)
    Dienste mit einem Zertifikat anbieten?

    Certbot existiert, bei uns läuft es aber weiterhin manuell.
    Das nervt natürlich einige Admins.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Sebastian_G=C3=B6decke?=@21:1/5 to All on Tue Jan 23 16:10:02 2024
    Hi, wenn ich mir deine Domain anschauen, sollte ihr auch eine eigene CA
    haben.
    Wir haben auch eine und wollten die halt nun mit/für Linux nutzen.

    Am Di., 23. Jan. 2024 um 14:09 Uhr schrieb Jan-Henrik Koch < j.koch@jur.uni-frankfurt.de>:

    Mal ganz blauäugig, aber: Certbot + Lets Encrypt?


    Am 23.01.2024 um 13:50 schrieb Sebastian Gödecke:
    Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen: wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients (also Endgeräte) und für Linuxserver, die (sichere) Dienste mit einem Zertifikat anbieten?
    Macht ihr das manuell oder automatisch und wenn automatisch, wie? Gibt
    es dafür eine Software, die so etwas u.a kann?
    --
    ------------------------------------------------------------------------ Jan-Henrik Koch ------------------------------------------------------------------------
    Mail encryption with S/MIME (default) and PGP provided and welcomed.
    S/MIME EAS: 4C:7F:82:D6:78:A1:00:2C:72:5E:61:57:94:09:73:0D
    PGP SIG: 96D8 D6FC 7DCE E117 29DB F065 C7C8 5734 0D11 48E3



    --
    Mit freundlichen Grüßen
    Sebastian Gödecke

    <div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hi, wenn ich mir deine Domain anschauen, sollte ihr auch eine eigene CA haben. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Wir
    haben auch eine und wollten die halt nun mit/für Linux nutzen. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am Di., 23. Jan. 2024 um 14:09 Uhr schrieb Jan-Henrik Koch &lt;<a href="mailto:j.koch@jur.uni-frankfurt.de">j.
    koch@jur.uni-frankfurt.de</a>&gt;:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Mal ganz blauäugig, aber: Certbot + Lets Encrypt?<br>


    Am 23.01.2024 um 13:50 schrieb Sebastian Gödecke:<br>
    &gt; Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen:<br>
    &gt; wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients <br>
    &gt;
  • From Ulf Volmer@21:1/5 to All on Tue Jan 23 17:10:02 2024
    Am 23.01.24 um 13:50 schrieb Sebastian Gödecke:
    Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen: wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients
    (also Endgeräte) und für Linuxserver, die (sichere) Dienste mit einem Zertifikat anbieten?
    Macht ihr das manuell oder automatisch und wenn automatisch, wie? Gibt
    es dafür eine Software, die so etwas u.a kann?


    Da, wo ich bisher unterwegs war, lief das manuell mit Shellscripten um
    openssl.

    Es sollte aber nicht das große Problem sein, dass über das ACME
    Protokoll abzuwickeln (als so, wie LE und andere das machen.)


    Eine Implementation davon wäre bei smallstep.com zu haben.


    Boulder ist wohl das, was LE entwickelt hat, zu haben unter


    https://github.com/letsencrypt/boulder


    Viele Grüße

    Ulf

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marc Haber@21:1/5 to simpsonetti@googlemail.com on Wed Jan 24 07:50:01 2024
    On Tue, 23 Jan 2024 15:45:25 +0100, Sebastian Gödecke <simpsonetti@googlemail.com> wrote:
    Hi, wenn ich mir deine Domain anschauen, sollte ihr auch eine eigene CA >haben.
    Wir haben auch eine und wollten die halt nun mit/für Linux nutzen.

    Für meine eigene CA verwende ich xca. Die ist aber auch klein genug,
    dass das Klickfrontend genau richtig ist. Besonders sexy finde ich die Möglichkeit, Zertifikate, Schlüssel etc direkt ins Clipboard zu
    exportieren, dass man sie dann in die ssh-Session des Zielsystems
    pasten kann. Auch das CSR des Servers bekommt man einfach über
    cut&paste in xca hinein.

    Als ich selbst das letzte Mal nach einer Software suchte (und xca
    fand) hatten sowohl pyca als auch das zu OpenVPN gehörende EasyRSA
    eine gewisse Verbreitung.

    Grüße
    Mac
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Ansgar Hellwig@21:1/5 to All on Wed Jan 24 23:30:02 2024
    Am 23.01.2024 um 13:50 schrieb Sebastian Gödecke:
    Hi, mal ne Frage an die, die hier linux in größeren Einrichtungen nutzen: wie erstellt ihr oder erneuert ihr eure Zertifikate für Linux-clients
    (also Endgeräte) und für Linuxserver, die (sichere) Dienste mit einem Zertifikat anbieten?
    Macht ihr das manuell oder automatisch und wenn automatisch, wie? Gibt
    es dafür eine Software, die so etwas u.a kann?

    Für Anregungen wäre ich sehr dankbar.

    Hashicorp Vault oder Step-CA.


    Grüße,
    Ansgar

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)