Aurich Lawson | Getty Images Anteriormente, en «Proyectos de fin de semana para administradores de Homelab con problemas de control», creamos nuestra propia configuración de DNS y DHCP que se actualiza dinámicamente con bind y dhcpd. Nos reímos. Nosotros lloramos. Lanzamos. Se forjaron vínculos que nunca se romperían. Y espero que todos hayamos sacado algo especial del viaje, es decir, una configuración de DNS y DHCP que se actualiza dinámicamente. ¡Que ahora vamos a poner en práctica! Si te unes a nosotros nuevo, sin haber pasado por la parte anterior y con ganas de seguir este tutorial, ¡hola! Puede haber algunas partes que sean más difíciles de completar sin una instancia local de bind (u otro solucionador autorizado compatible con nsupdate). Hablaremos más sobre esto cuando lleguemos allí, pero sepa que si desea hacer una pausa e ir a hacer la primera parte primero, es posible que le resulte más fácil seguirla. La versión rápida: nuestro propio LetsEncrypt. Este artículo explicará el proceso de instalación de step-ca, una autoridad de certificación independiente en una caja. Luego configuraremos step-ca con un aprovisionador ACME, es decir, el entorno de gestión automática de certificados, la tecnología que sustenta LetsEncrypt y facilita el aprovisionamiento, renovación y revocación automática de certificados SSL/TLS. Después de que step-ca escuche las solicitudes ACME entrantes, hablaremos sobre las formas de obtener los servicios autohospedados en su ACME de habla LAN para que puedan comenzar a solicitar automáticamente certificados de nuestra autoridad de certificación step-ca, tal como LetsEncrypt funciona. Me centraré exclusivamente en el uso de acme.sh para solicitar y renovar certificados de clientes porque es la herramienta con la que estoy más familiarizado. Pero todo lo que hacemos debería ser factible con cualquier cliente ACME, así que si te sientes más cómodo con certbot o deshidratado, no dudes en usarlo con tus clientes. Las instrucciones deberían ser bastante fáciles de adaptar. No entendí nada de eso. ¿Estamos haciendo ahora qué? Entonces, ya sabe cómo instalar un nuevo elemento autohospedado en su LAN y, cuando inicia sesión en su interfaz web, recibe una advertencia de «su conexión no es segura» porque lo que acaba de instalar utiliza un TLS autofirmado. ¿certificado? Publicidad Ampliar / Advertencia La ceguera es algo malo. Esta pantalla tiene cosas importantes que decir.Lee Hutchinson Esas advertencias parecen espurias y la mayoría de las personas rápidamente se vuelven ciegas ante ellas, pero cumplen un propósito muy importante, incluso si es un propósito que a mucha gente no le importa. Mira, los navegadores web usan TLS y HTTPS para intentar lograr dos cosas conectadas e igualmente importantes: primero, y más obviamente, cifrar la conexión entre usted y el recurso web al que está accediendo. Pero el segundo propósito (el que se ve alterado por los certificados autofirmados y la fuente de las grandes advertencias) es la verificación de identidad. Tener la seguridad de que su comunicación cifrada va a la persona que cree que va a ser es casi tan vital como tener la comunicación cifrada en primer lugar. Una cadena de confianza se extiende desde las diversas autoridades de certificación raíz hasta los certificados TLS que emiten hasta los puntos finales y, al menos en teoría, uno debería poder confiar en que una CA ha realizado cierta diligencia debida para verificar la identidad y la propiedad. de los puntos finales a los que emite certificados. Cuando confía en una autoridad certificadora, confía en que las certificaciones de identidad en los certificados que emite la CA son realmente precisas; que ver un certificado para «www.example.com» realmente significa que está navegando por «www.example.com». » y no un sitio que finge serlo (o que su conexión no se ve comprometida mediante un ataque de tipo intermediario). Los certificados autofirmados rompen esa cadena de confianza. Su navegador no tiene forma de validar que el recurso es lo que dice su certificado, porque su navegador no confía en el emisor. Es por eso que los navegadores muestran grandes advertencias aterradoras cuando visita una página que presenta un certificado autofirmado: tiene cifrado, pero no verificación de identidad. Para desterrar las advertencias, debemos tener ambas, que es lo que pretendemos proporcionar con nuestra instalación step-ca. Configuraremos nuestra propia CA y haremos que su navegador y los dispositivos y servicios para los que emitirá certificados confíen en ella.

Source link