Let's Encrypt-Zertifikat für rein private Domain?

Sagt mal, bisher hatte ich noch keinen Bedarf an so was, aber dieses KeeWeb scheint rumzuzicken, wenn es nicht über HTTPS läuft. Ich will damit in unserem LAN mit einer Domain, die auch nur dort sicht- & erreichbar ist, unsere Passwörter verwalten. Ist es möglich, bei Let’s Encrypt (oder auch anderweitig) ein TLS-Zertifikat für eine Domain wie trautes.heim zu bekommen? Mit einem self signed-Zertifikat ist nix gewonnen, weil dann wieder der Browser meckert und die User damit verschreckt.

Domain muss aus dem Web erreichbar sein…
Aus dem Web im Sinne von weltweit per DNS.

Ja und nein.

  1. Nur während der Erstellung des Zertifikates
  2. Die Subdomain muss dies nicht, wenn du dir ein wildcard-Zertifikat (*.heim) holst.

Du musst halt dann dafür sorgen, dass die domain für dich auf die entsprechende IP aufgelöst wird und dann dort ein gültiges Zertifikat hinterlegen. 3 Monate- gültige Zertifikate von letsencrypt bekommst du für domains über die du eine gewisse Kontrolle hast. Dabei kannst du uU auch wildcard-Zertifikate erstellen (erkläre dir gerne wie).

Damit die DNS Anfragen “richtig” aufgelöst werden (also sagen wir mal du hast wirklich die domain trautes.heim und dein lokaler Dienst läuft auf der 192.168.0.7) kannst du FÜR DEINEN RECHNER einfach /etc/hosts anpassen - in meiner Erinnerung geht das auch relativ problemlos unter Windows (nur halt irgendwie anders). Damit das für alle clients in einem lokalen Netzwerk funktioniert solltest du einen DNS Server betreiben. Manche router bringen das schon mit. Wenn nicht, bringen manche Router die Möglichkeit mit, diesen im DHCP-Server im router einzutragen. DHCP empfielt ja den clients einen DNS Server und die halten sich eigentlich auch immer dran. Der DNS Server sollte natürlich nicht-lokale Domains entsprechend “upstream” anfragen, weiterleiten und cachen können.

Wenn du eine pfSense oder OPNSense als Router hast, ist das ziemlich trivial.

Ich könnte dir zum Geburtstag ein drei Monate gültiges trautes.heim.siebenlinden.net Zertifikat schenken wenn du willst.

Business-Idee: Zertifikate für “*.hier” verkaufen. Für 1€ im Monat kann man dort ein letsencrypt-Zertifikat bestellen und hat Zugriff auf eine API, die das Zertifikat auch ausliefert (für automatische renewals). Wenn das nicht gegen die letsencrypt-Richtlinien ist. Ists bestimmt, sonst gäb es das sicher schon.

Also beim erneuten lesen “rein private domain”: Natürlich nein. Aber domain-Auflösung in einem privaten Offline Netz mit gültigen Zertifikaten (aber eben auch durchaus einer von dir besessenen domain): Ja.

Ah, das ist ne praktikable Idee - damit könnte ich ja auch z.b. trautesheim.diamond-lotus.de bei Let’s Encrypt anfordern und im DNS-Server auf den tatsächlichen Server im LAN lenken. Ist auf jeden Fall nen Versuch wert. Danke für den Tipp @felix!

1 Like

In Bayern würde sich “.dahoam” anbieten. :grin:

Hmpf, jetzt hab ich noch ein DNS-Problem: Mit Hilfe einer Master-Zone im DNS-Server war es mir möglich, die Subdomain für das Zertifikat einzurichten. Jetzt zerschellen aber Anfragen nach diamond-lotus.de, was natürlich ein wenig suboptimal ist. Wie kriege ich es hin, dass der lokale DNS-Server zwar die eine Subdomain bedient, alle anderen Subdomains sowie die diamond-lotus.de selber wie gehabt an den Forwarder durchreicht?

welchen DNS-Dienst verwendest du denn? Bei dnsmasq auf der OPNsense trage ich einfach nur die betreffende Subdomain ein, und das klappt problemlos.
Simon

Den von Synology. Scheint intern auf BIND zu basieren, jedenfalls hat er Views.
Im Synology-Forum schreibt jemand, dass er am Ende alle Einträge des öffentlichen DNS-Servers von Hand übernommen hat, das kann’s ja irgendwie nicht sein…

Der Fachbegriff für das, was ich will, lautet Split-horizon DNS, darüber hab ich auch den Forumseintrag gefunden. Das typische Szenario dafür ist allerdings ein Server mit 2 Interfaces, eins im öffentlichen Internet, eins im LAN. Dabei helfen einem Views, allerdings nicht für mein Szenario.

Ich müsste wahrscheinlich erstmal was über DNS master zones verstehen. Welchen router verwendest du?

In der pfsense ist das ebenfalls recht einfach: host + domain -> ip (allerdings in der pfsense via einem “echtem” unbound DNS-Server und nicht via dnsmasq; wobei das vermutlich auch möglich wäre) .

Meine Vermutung: Master-Zone heißt: Für domain ABC.DEF frage IP x.x.x.x . Auf x.x.x.x läuft die Anwendung die du eigentlich auf der subdomain mit Zertifikat haben willst. Wenns blöd wird und workarounds benötigt, weil der router das alles nicht so will wie du müsstest du tatsächlich einen dns server auf x.x.x.x laufen lassen oder den dort laufenden webserver so konfigurieren, dass er HTTP Anfragen auf diamond-lotus (aber nicht auf subdomain.diamon-lotus) redirected oder als proxy ausliefert.

Beides schmeckt irgendwie nicht sonderlich gut.

Jetzt brauchts den/die DNS-Expert*n (kenn ich nicht). Bin mir ziemlich sicher dass das geht, auch mit master-Zone und entsprechenden Einträgen.

Ich mach’s mir jetzt einfach & nehme statt diamond-lotus.de eine unserer diversen Umleitungs-Domains, die wir intern sowieso nicht benutzen. Da ist es dann egal, dass man die aus dem LAN nicht aufrufen kann.