Hallo zusammen,
ich hatte jüngst damit begonnen, mein Heimnetzwerk etwas "umzubauen" und bin nun am Schritt angelangt, auf einen guten Weg SSL mit zu integrieren.
Hier mein Setup:
Fritzbox als Router, welche bzgl. DNS Anfragen meinen Raspberry Pi (dort via Docker ein Bind9 DNS Server aktiv) befragt. Dort ist eine Zone hinterlegt, so dass ich zu meiner eigenen public Domain entsprechend SubDomains gepflegt habe, welche die IP von meinem NAS zurückgeben, um dort entsprechende Services aufzurufen (Nextcloud, Openhab, ...). All diese Services werden ebenfalls per Docker betrieben. Die eingehenden Anfragen (aktuell noch über Port 80) werden von einem Traefik Service entsprechend auf den zugehörigen Docker Service weitergereicht.
Das funktioniert soweit wie gewünscht.
Nun kommt die Flanke, dass ich dies mittels SSL absichern möchte.
Option 1)
Ich erstelle mir ein selbst signiertes Zertifikat, welches von Traefik genutzt werden kann. Die Laufzeit kann ich selbstständig etwas höher schrauben, so dass man nicht alle 3 Monate ran muss.
NACHTEIL: Jeder Client in meinem Netzwerk wird dies als nicht vertrauenswürdig ansehen, so dass auf jedem Client noch was konfiguriert werden muss, damit dem Zertifikat vertraut wird.
Option 2)
Traefik ist dafür ausgelegt, über Letsencrypt automatisch sich Zertifikate zu beziehen. Also in meinem Fall für meine Public Domain. Das Problem hier ist dann bei meinem Setup, dass ich einen Port für außen freischalten muss, damit die Letsencrypt Server dann mit meinen Services kommunzieren können. Den Port könnte man schnell wieder schließen, aber aufgrund der 3 Monatsgültigkeit darf man dann immer wieder ran.
VORTEIL: Jeder Client würde dem Zertifikat vertrauen ohne das da noch was konfiguriert werden muss - NACHTEIL: Alle drei Monate muss man hier selbst aktiv werden.
Das ist mein aktuelles Verständnis, was ich an Optionen habe. Nun frage ich mich, welcher Weg hier am meisten Sinn macht, einzuschlagen? Eventuell gibt es noch ganz andere Optionen, bzw. könnt ihr berichten, wie ihr das bei euch selbst pflegt?
Gibt es eventuell externe kostenlose Dienste, über die man für seine Domain ein Wildcard Zertifikat erhalten kann, welches man (idealerweise automatisiert) downloaden kann, um damit die Absicherung vorzunehmen?
Ich bin auf das Feedback gespannt und auf jeden Fall im Vorfeld besten Dank dazu!
Viele Grüße
Christian
ich hatte jüngst damit begonnen, mein Heimnetzwerk etwas "umzubauen" und bin nun am Schritt angelangt, auf einen guten Weg SSL mit zu integrieren.
Hier mein Setup:
Fritzbox als Router, welche bzgl. DNS Anfragen meinen Raspberry Pi (dort via Docker ein Bind9 DNS Server aktiv) befragt. Dort ist eine Zone hinterlegt, so dass ich zu meiner eigenen public Domain entsprechend SubDomains gepflegt habe, welche die IP von meinem NAS zurückgeben, um dort entsprechende Services aufzurufen (Nextcloud, Openhab, ...). All diese Services werden ebenfalls per Docker betrieben. Die eingehenden Anfragen (aktuell noch über Port 80) werden von einem Traefik Service entsprechend auf den zugehörigen Docker Service weitergereicht.
Das funktioniert soweit wie gewünscht.
Nun kommt die Flanke, dass ich dies mittels SSL absichern möchte.
Option 1)
Ich erstelle mir ein selbst signiertes Zertifikat, welches von Traefik genutzt werden kann. Die Laufzeit kann ich selbstständig etwas höher schrauben, so dass man nicht alle 3 Monate ran muss.
NACHTEIL: Jeder Client in meinem Netzwerk wird dies als nicht vertrauenswürdig ansehen, so dass auf jedem Client noch was konfiguriert werden muss, damit dem Zertifikat vertraut wird.
Option 2)
Traefik ist dafür ausgelegt, über Letsencrypt automatisch sich Zertifikate zu beziehen. Also in meinem Fall für meine Public Domain. Das Problem hier ist dann bei meinem Setup, dass ich einen Port für außen freischalten muss, damit die Letsencrypt Server dann mit meinen Services kommunzieren können. Den Port könnte man schnell wieder schließen, aber aufgrund der 3 Monatsgültigkeit darf man dann immer wieder ran.
VORTEIL: Jeder Client würde dem Zertifikat vertrauen ohne das da noch was konfiguriert werden muss - NACHTEIL: Alle drei Monate muss man hier selbst aktiv werden.
Das ist mein aktuelles Verständnis, was ich an Optionen habe. Nun frage ich mich, welcher Weg hier am meisten Sinn macht, einzuschlagen? Eventuell gibt es noch ganz andere Optionen, bzw. könnt ihr berichten, wie ihr das bei euch selbst pflegt?
Gibt es eventuell externe kostenlose Dienste, über die man für seine Domain ein Wildcard Zertifikat erhalten kann, welches man (idealerweise automatisiert) downloaden kann, um damit die Absicherung vorzunehmen?
Ich bin auf das Feedback gespannt und auf jeden Fall im Vorfeld besten Dank dazu!
Viele Grüße
Christian