Let’s Encrypt auf internen Servern

german
ucs-4-2
letsencrypt

#1

Hallo,

bin ich richtig informiert, dass Let’s Encrypt nur Zertifikate ausstellt, wenn die Domain auf die IP des Host auflöst, welcher die Anforderung zur Austellung des Let’s Encrypt Zertfikates angefordert hat? Wie wäre hier die beste Vorgehensweise für interne Netzte? Wie verteile ich selbstsignierte Zertifkate auf die Clients, auch denen diese nicht der Domäne sind (mobile Devices)?

Kann die Let’s Encrypt App auch auf einem Member installiert sein? Wenn diese auf einem Master installiert ist, können Zertifikate verteilt werden?


#2

Hallo @Uwe ,

generell gilt: Systeme, für die Let’s Encrypt Zertifikate ausstellen soll, müssen über das Internet erreichbar und über ihre öffentliche Domain auflösbar sein. D.h. derartige Zertifikate können nicht für Systeme angefordert und ausgestellt werden, die sich ausschließlich in einem Intranet befinden.

Ja. Zertifikate werden nur für das anfordernde System ausgestellt.

Ja, die App sollte auf jedem System sein, für das ein Let’s Encrypt Zertifikat verwendet werden soll, also auch auf einem Member. Die Zertifikate werden nur für Webserver und Mailserver (SMTP, IMAP) verwendet. LDAP und Samba bleiben hiervon unberührt und verwenden weiterhin die Zertifikate, die UCS mit der umgebungseigenen CA signiert.

Gruß, Nico.


#3

Hallo, meine Frage geht auch in exakt diese Richtung.

Der Mailserver ist hinter einer Firewall im Intranet. Von extern gibt es eine auflösbare Adresse. Der Mailserver ist einer von 4 UCS Servern (Master und 3 Member). Die Firewall soll nur für bestimmte Ports Zugriff erlauben. Ich mochte den Mailserver von aussen erreichen können und einen NextClud Dienst auf einem weiteren Member. Beide sollen mit letsencrypt Certifikaten bestückt sein.
Das Certifikat solle also möglichst intern und extern funktionieren.
Ein kurzer Kommentar zur Sinnhaftigkeit wäre hilfreich.
Weiterhin möchte ich im intranet und extern auch Outlook2013 nutzen und weiss noch nicht ob und wie die Certifikate dann nutzbar bzw auf WIN7 / 10 zu installieren sind.

Vielen Dank für Hilfe und Hinweise dazu

Christian