📱 Erkannter Endgerättyp ⛱️ Tag und Nacht. Verbraucht keinen oder einen 🍪. 🖼️ Hintergrund ändern. Verbraucht keinen oder einen 🍪.
🧬 0 Ihre DNS in den Krei.se-DNS-Servern, führt zum Bio-Labor 🍪 0 Anzahl Ihrer gespeicherten Kekse, führt zur Keksdose       

Eigene 🏰 ED25519-CA (Zertifizierungs-Authorität)

Im Gegensatz zur 🛖 LetsEncrypt-CA können Sie mit einer eigenen CA sichere 🔑 ED25519-Schlüssel generieren.

Der Vorteil von ED25519 ist die Implementierung: Selbst wenn ein Programm oder die Maschine dahinter hier Fehler macht sind die Schlüssel noch sicher. Das ist bei RSA und ECDSA so nicht der Fall, allerdings sind aktuell nur diese in allen Browsern und Mailclienten, etc. unterstützt.

📝 Auf Krei.se nutzen wir daher die eigene 🏰 ED25519-CA für alle Dienste die nur von internen Diensten angefragt werden die sich nicht so schnell ändern und daher problemlos unser CA systemweit erhalten können.

Das betrifft also:

  • Allen Datenverkehr von und zum 🌳 Domänencontroller mit OpenLDAP.
  • Alle 🛡️ VPN-Zugänge ins interne Netzwerk (hier benötigt ohnehin jeder Client 🔑 eigene Schlüssel, eine CA mitzuverteilen ist da kein Thema)
  • Alle Zugriffe auf Nutzerverzeichnisse von Clienten (diese benötigen also für ThinClients, etc. ein angepasstes Linux, das brauchen die aber ohnehin)

Das betrifft NICHT:

  • Mail-Verkehr und Abruf von E-Mails. Hier ist eine Ausnahme sinnvoll, da der Mitarbeiter so auch sein privates Telefon für Mailverkehr nutzen kann und andere Mail-Server unsere CA nicht kennen werden, uns aber trotzdem Mails nicht im Klartext übermitteln sollen.
  • Webserver und Dienste die Sie intern oder im Internet öffentlich, also ohne Nutzer-Authentifizierung anbieten, z.B. ein Medienserver im lokalen Netz.

Dort machen 🗝️ LetsEncrypt-Schlüssel Sinn, denn der Datenverkehr wird hier nur für Mitleser verschlüsselt und sichert keine ihrer eigenen Infrastruktur ab.

ED25519-CA-Zertifikat systemweit hinterlegen

🐧 Debian:

domain.tld_RootCA.crt holen. Drauf achten, dass die Datei auf .crt endet, bei mir wurde sonst vergessen /etc/ssl/cerst/ca-certificates.crt zu updaten.

cp domain.tld_Root_CA.crt /usr/local/share/ca-certificates
update-ca-certificates --fresh

🏹 Arch:

cp domain.tld_Root_CA.crt /etc/ca-certificates/trust-source/anchors/
update-ca-trust extract

👷👷👷 --- ab hier wird noch gebaut --- 👷👷👷