Reverse-Proxy Zertifikats frage

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Reverse-Proxy Zertifikats frage

Beitrag von Steffen-VM »

Hallo Forum, 

ich beschäftige mich aktuell mit dem Reverse-Proxy und habe dazu eine frage zum Thema Zertifikate. 

Ich würde gerne ein Zertifikat kaufen für test.firma.de. Muss ich das Zertifikat jetzt auf dem Linux Webserver einlesen und auf der Firewall oder nur auf der Firewall? 

Gruß
Steffen 

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Prinzipiell auf der Firewall/ Reverse Proxy. Auf dem Server dahinter selbst braucht es entweder kein Zertifikat oder ein anderes. (Abhaengig davon ob https genutzt wird oder http)
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

Das heißt ich könnte Intern den Server auf HTTP lassen und in der Firewall einfach das HTTPs Zertifikat einlesen? Dann ist er im Internet ja schon mal nur über HTTPS erreichbar.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ja. Jedoch wuerde ich auch intern die Kommunikation per HTTPS empfehlen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

Hallo, ich muss das Thema jetzt noch mal aufgreife. Ich soll das ganze Projekt jetzt verwirklichen.

Wir möchten gerne ein HTTPS Zertifikat kaufen. Jedoch wurde mir von unserem Mitarbeiter für die Zertifizierung die Info gegeben das wir eine .req datei brauchen. Laut Google kann ich das doch nur auf Windows Servern machen? Ich möchte das aber von der Securepoint haben. Ist das möglich? Oder was brauch der Kollege von der Securepoint?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

die Securepoint ist leider aktuell nicht in der Lage selber eine Zertifikatsanforderung zu erstellen.
Man könnte höchtens via openssl als root auf der Securepoint diese erzeugen. ( Oder auf einen Windows / Linux Client mit openssl - oder auf dem Windows Server )

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Warum muss es denn ein gekauftes Zertifikat sein?
Seit der v12 unterstützt die UTM Let's Encrypt.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

evtl. soll ein Wildcard Zertifikat eingesetzt werden? Das kann die UTM aktuell nicht.
Ich persönlich finde auch das Handling mit einer eigenen Domain über den CNAME schwierig. 

Fände es persönlich schön wenn in Zukunft ein deSEC Plugin für das ACME in der UTM als alternative zur Verfügung stehen würde.

Gruß

matthiasschoeberl
Beiträge: 3
Registriert: Do 20.01.2022, 22:53

Beitrag von matthiasschoeberl »

Hallo,

die Securepoint kann mittlerweile auch Wildcard-Zertifikate mit Let's Encrypt.

Einen schönen Abend!

Beste Grüße

Matthias Schöberl

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Guten Morgen,

seit wann geht das und wird's gemacht? Im Wiki finde ich dazu nichts.

Gruß

Franz

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

da wurde in der tat was in der 12.1.9 gepatched:

  • Bugfix: Let's Encrypt/ACME Unterstützung für Wildcard-Zertifikate wurde angepasst.

Im Wiki steht aktuell aber nicht wie das funktioniert.

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Na, vielleicht kann Mario oder ein anderer aus dem SP Team uns aufklären.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

dank matthiasschoeberl hab ich das nun eingerichtet bekommen.
In Prinzip folgt man der Anleitung für den externen DNS Namen und ersetzt dass die Subdomain durch ein *

Beispiel:
Im Zertifikat auf der UTM:

Subject Alternative Name: example.spdns.de
Alias: example.spdns.de

Subject Alternative Name: *.example.com
Alias: example.spdns.de

CNAME:

_acme-challenge.example.com IN CNAME _acme-challenge.example.spdns.de

Gruß

Benutzeravatar
Lauritzl
Securepoint
Beiträge: 61
Registriert: Mo 09.12.2019, 10:29

Beitrag von Lauritzl »

Danke für den Hinweis,
ja - das wurde geändert und ist nun auch im Wiki dokumentiert.
https://wiki.securepoint.de/UTM/AUTH/Zertifikate-ACME
Mit freundlichen Grüßen

Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Dankeschön, hat funktioniert!

Antworten