Usando o Let's Encrypt certs on LAN com redirecionamento de DNS?

1

Estou tentando usar LE certs existentes com um servidor na minha LAN. Eu expus a porta 443 para obter os certificados para mine.example.com e o acesso https funciona bem na WAN.

No entanto, eu supus (talvez tolamente) que eu poderia usar os mesmos certificados internamente configurando o redirecionamento de DNS (usando dnsmasq em uma caixa separada) em minha LAN para apontar mine.example.com para o IP local.

O redirecionamento funciona bem e aponta as máquinas locais para o IP interno quando eu vou para mine.example.com , mas os certificados agora mostram os erros de 'Autoridade de certificação inválida'.

Talvez eu entenda mal como o processo de CA funciona, mas presumi que, como os LE CERs são baseados em DNS, eles ainda deveriam trabalhar com o redirecionamento de DNS local.

Alguém sabe como fazer isso funcionar?

Ou alguém pode explicar por que isso não funciona?

Eu sei que posso obter diferentes certificados para máquinas locais do LE, mas isso significaria tentar configurar o servidor para usar certificados diferentes para acesso interno e externo. Supondo que eu precise fazer isso, existe uma maneira fácil de usar certificados diferentes dependendo do tráfego de origem?

Estarei servindo conteúdo da web através do nginx e também do painel de administração do Webmin, então pode ser relativamente fácil de fazer para o nginx, dada a flexibilidade nas configurações (embora o google também não tenha sido muito útil aqui), mas não tenho certeza outros serviços da web em execução na máquina?

P.S. desculpe se isso acaba por ser uma duplicata, mas não consegui encontrar nada com muita pesquisa aqui (ou nos googles).

    
por DanteAlighieri 24.03.2017 / 12:04

1 resposta

0

Você precisará verificar os certificados no armazenamento de raiz confiável de cada sistema para ver se as CAs raiz relevantes estão instaladas.

Vamos criptografar a documentação de seus certificados: link Observe que eles foram assinados pela IdenTrust, além da cadeia assinada pela própria raiz, ISRG.

No Windows, abrir um certificado e ver a guia Caminho de Certificação mostra a cadeia. Certificados não confiáveis têm um ícone de crachá de erro e mostram um texto de status diferente de OK. Verifique qual raiz você está usando e se está em sua loja confiável. No Chrome, o certificado pode ser encontrado em devtools F12, guia de segurança.

Considere também usar um testador TLS, como testssl.sh. O armazenamento de certificados será diferente, mas pode mostrar vários problemas.

    
por 29.03.2017 / 05:37