Netgate SG-1000 microFirewall

Author Topic: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten  (Read 447 times)

0 Members and 1 Guest are viewing this topic.

Offline otto1699

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Hallo,

Let’s Encrypt hat ja für Anfang 2018 Wildcard Zertifikate angekündigt.

Nun will ich das Acme Package in Verbindung mit einem HA Proxy Package installieren, würdet Ihr noch warten bis es die Wildcard Zertifikate gibt?
Kann das Acme Package schon mit den Wildcard Zertifikaten umgehen oder muss noch ein Package Update kommen?


Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3340
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten
« Reply #1 on: January 02, 2018, 09:17:13 am »
Hi,

das Paket nutzt ganz normal einen ACME Client. Dieser wird sicherlich noch geupdated, aber davon abgesehen wird der Client einfach ganz normal "beantragen", was konfiguriert wird. Wenn man also *.blubb.de beantragt wird er den Request rausschicken und momentan auf die Nase fallen, weil es noch keine Wildcards gibt. Das Paket an sich muss dafür aber nichts wirklich dazulernen, da wird höchstens acme.sh - also der ACME Client - aktualisiert.

Allerdings muss man das auch nicht wirklich haben/machen, sondern kann einfach auch mal loslaufen mit dem Package und normalen Zertifikaten. Wenn du nicht vorhast, mit dem Proxy 50 Domains aus der gleichen Domain zu bedienen, kann man auch erstmal mit einzelnen Zertifikaten loslegen :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline otto1699

  • Newbie
  • *
  • Posts: 5
  • Karma: +0/-0
    • View Profile
Re: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten
« Reply #2 on: January 02, 2018, 11:57:15 am »
Hi,
Quote
Wenn du nicht vorhast, mit dem Proxy 50 Domains aus der gleichen Domain zu bedienen, kann man auch erstmal mit einzelnen Zertifikaten loslegen :)

Nee, sind nur 5. Dann lege ich mal los.

Und danke für die schnelle Antwort  :)

Offline trixters

  • Jr. Member
  • **
  • Posts: 29
  • Karma: +0/-0
    • View Profile
Re: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten
« Reply #3 on: February 21, 2018, 11:15:39 am »
Auch auf die gefahr hin mich unbeliebt zu machen:

Genau das hatte ich eigentlich vor.
Einen Squid-Reverse-Proxy zu bauen, der mir den HTTPS-Mist abnimmt und mit wenigen Wildcards auskommt.

Dann rennen die User zum Proxy und bekommen dort ihre Verschlüsselung und ich muss nicht Zertifikate auf X-Servern mit verschiedenster Software pflegen.

Das passende Tutorial fehlt mir leider noch - daher werde ich wohl später wieder zum Fragen hier aufschlagen - sorry.

Mich wundert ehrlich warum das noch kein anderer vor mir gemacht hat ????

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 437
  • Karma: +65/-7
    • View Profile
Re: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten
« Reply #4 on: February 21, 2018, 11:28:16 am »
Edit: Falsch gelesen. Schau dir mal https://doc.pfsense.org/index.php/Haproxy_package an.
« Last Edit: February 21, 2018, 11:31:50 am by Grimson »

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3340
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Let’s Encrypt: Wildcard Zertifikate - mit Acme Package noch warten
« Reply #5 on: February 22, 2018, 04:19:14 am »
@trixters: haben schon genug Leute gemacht, allerdings eben nicht mit Wildcards sondern mit einzelnen Zertifikaten. SSL Termination via Proxy (meistens HAproxy) oder Loadbalancer ist nichts Abgefahrenes :) Und bei einer halbwegs passablen Umsetzung ist da kein Wildcard notwendig. Seit LE richtig am Start ist brauchen wir überall, wo wir sonst mit Wildcards genutzt haben inzwischen auf einzelne Zertifikate umgestiegen ohne große Probleme. Darum der Kommentar von LE bzw. mir: Wildcards nur wo es nötig ist :)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.