RE: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Michel Py]

> Laurent Seror a écrit :
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté  des 
> keychains java de base,
> mais pour des serveurs qui ont des ips privées (en 10/8) et sans résolution 
> de nom côté client.

A part mettre le nom dans hosts, tu n'as qu'une solution, c'est mettre un 
certificat qui correspond à un nom (quelconque) et faire que le client ignore 
l'erreur du certificat invalide (car il accède la page par l'IP et non par le 
nom).
Wildcard pas cher pour *.toto.com que tu exportes, et ignorer l'erreur.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Radu-Adrian Feurdean]

On Mon, Apr 30, 2018, at 20:58, Wallace wrote:
> 
> Que dire de https://1.1.1.1/ qui a un certificat valide de DigiCert pour
> *.cloudflare-dns.com avec en alt name des IP en dur?
> A priori ça semble possible du moment que le CN soit un domaine même pas
> utilisé.

C'est une IP publique.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Wallace]

On 30/04/2018 12:42, Jonathan Leroy wrote:
>
> Salut,
>
> Aucun CA ne te fournira un certificat pour une IP RFC 1918 car c'est
> formellement interdit par les Baseline Requirements du CA/B Forum.
> Et c'est bien normal, puisque la propriété de ces IP n'est pas vérifiable.
>
> Source : 
> https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.6.pdf,
> section 7.1.4.2.1.
>
Que dire de https://1.1.1.1/ qui a un certificat valide de DigiCert pour
*.cloudflare-dns.com avec en alt name des IP en dur?
A priori ça semble possible du moment que le CN soit un domaine même pas
utilisé.




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 15:59, Radu-Adrian Feurdean a écrit :
> On Mon, Apr 30, 2018, at 14:31, Laurent wrote:
>> Merci pour toutes ces réponses. Je retiens :
>>
>> - c'est interdit
>> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
>> n'est pas faisable comme indiqué dans mon message initial).
> 
> Sans oublier:
>  - il est quand-meme recommande d'utiliser les noms DNS.

C'est quand même plus facile à retenir qu'une adresse IP sur 128 bits, n'est-ce
pas ?

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Radu-Adrian Feurdean]

On Mon, Apr 30, 2018, at 14:31, Laurent wrote:
> Merci pour toutes ces réponses. Je retiens :
> 
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> n'est pas faisable comme indiqué dans mon message initial).

Sans oublier:
 - il est quand-meme recommande d'utiliser les noms DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

pas dns possible, pas possible de rajouter de serveurs autre qu'un https,
pas possible de faire apprendre ce serveur aux clients de toutes les facons

Le 30 avril 2018 à 12:46, Julien Escario  a
écrit :

> Le 30/04/2018 à 13:58, Bruno Pagani a écrit :
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> >> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> >>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> puisque
> >>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> tu
> >>> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> serveur
> >>> publique puis en copiant (plus ou moins automatiquement) la clef sur
> ton serveur
> >>> privé quand celle-ci change.
> >> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas
> de Bind).
> >> D'ailleurs indispensable (si j'ai bien compris) pour générer du
> wildcard avec L.E.
> >>
> >> Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > ta zone. ;)
>
> Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en
> interne
> avec TON API.
> Par exemple avec https://github.com/Neilpang/acme.sh :
> nsupdate API
> ISPConfig 3.1 API
> Knot DNS API
> DirectAdmin API
>
> Et plus cryptique (il faut que je teste à l'occaze) :
> PowerDNS.com API
>
> A priori, ça inclus bien l'API de ton pdns :
> #PDNS_Url="http://ns.example.com:8081;
>
> Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non
> trivial).
>
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> > parfaitement d’accord).
>
> +1.
>
> Julien
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

Pas d'IP publique & pas de dns dispo donc non

Le 30 avril 2018 à 12:36, Phil Regnauld  a écrit :

> Et Letsencrypt avec DNS + wildcard...
>
> Laurent (laurent) writes:
> > Merci pour toutes ces réponses. Je retiens :
> >
> > - c'est interdit
> > - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> > n'est pas faisable comme indiqué dans mon message initial).
> >
> > À bientôt.
> >
> > L.
> >
> > Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> > écrit :
> >
> > > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> > >
> > > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> puisque
> > > >> lest'encrypt se connecte a ton serveur pour verifier sa validité.
> mais
> > > tu
> > > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > > serveur
> > > >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> > > ton serveur
> > > >> privé quand celle-ci change.
> > > > Ou passer par une API DNS (support qui s'élargit chaque jour mais
> pas de
> > > Bind).
> > > > D'ailleurs indispensable (si j'ai bien compris) pour générer du
> wildcard
> > > avec L.E.
> > > >
> > > > Julien
> > >
> > > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > > crois (Gandi, OVH, etc.). Si tu fais tourner ton
> Bind/Knot/NSD/Whatever,
> > > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > > ta zone. ;)
> > >
> > > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > > ont considéré que seul le contrôle de la zone DNS était une preuve
> > > suffisante de la légitimité à demander un wildcard, ce avec quoi je
> suis
> > > parfaitement d’accord).
> > >
> > > Bruno
> > >
> > >
> > >
> > >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Aymeric]

On 2018-04-30 14:46, Julien Escario wrote:



Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en 
interne

avec TON API.
Par exemple avec https://github.com/Neilpang/acme.sh :
nsupdate API




Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non 
trivial).


C’est ce que j’utilise avec nom de domaine (bind+nsupdate+L.E.) et ça 
fonctionne très bien (tant que tu ne commence pas à mélanger deux noms 
de domaine dans le même certificat gérer par deux trucs différents…).


Aymeric.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 13:58, Bruno Pagani a écrit :
> Le 30/04/2018 à 12:14, Julien Escario a écrit :
> 
>> Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
>>> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
>>> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu
>>> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur
>>> publique puis en copiant (plus ou moins automatiquement) la clef sur ton 
>>> serveur
>>> privé quand celle-ci change.
>> Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de 
>> Bind).
>> D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard 
>> avec L.E.
>>
>> Julien
> 
> Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> ta zone. ;)

Pas tout à fait vrai : suivant le client utilisé, tu peux le faire en interne
avec TON API.
Par exemple avec https://github.com/Neilpang/acme.sh :
nsupdate API
ISPConfig 3.1 API
Knot DNS API
DirectAdmin API

Et plus cryptique (il faut que je teste à l'occaze) :
PowerDNS.com API

A priori, ça inclus bien l'API de ton pdns :
#PDNS_Url="http://ns.example.com:8081;

Et même du Bind (pour me faire mentir) mais avec nsupdate (semble non trivial).

> Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> ont considéré que seul le contrôle de la zone DNS était une preuve
> suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> parfaitement d’accord).

+1.

Julien
<>

signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Duchet Rémy]

Autre option :
Utiliser un serveur avec IP et fqdn "resolvable" pour générer la demande et 
ensuite exporter le tout pour l'importer sur le server avec l'IP privé.


> -Message d'origine-
> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de
> Laurent
> Envoyé : lundi, 30 avril 2018 14:32
> À : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée
>
> Merci pour toutes ces réponses. Je retiens :
>
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste 
> n'est
> pas faisable comme indiqué dans mon message initial).
>
> À bientôt.
>
> L.
>
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani <bruno.pag...@ens-lyon.org> a
> écrit :
>
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky,
> > >> puisque lest'encrypt se connecte a ton serveur pour verifier sa
> > >> validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef
> > >> sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais
> > > pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du
> > > wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton
> > Bind/Knot/NSD/Whatever, tu peux très bien gérer l’ajout du champ
> > correspondant qui va bien dans ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je
> > suis parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Phil Regnauld]

Et Letsencrypt avec DNS + wildcard...

Laurent (laurent) writes:
> Merci pour toutes ces réponses. Je retiens :
> 
> - c'est interdit
> - il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
> n'est pas faisable comme indiqué dans mon message initial).
> 
> À bientôt.
> 
> L.
> 
> Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
> écrit :
> 
> > Le 30/04/2018 à 12:14, Julien Escario a écrit :
> >
> > > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> > >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> > >> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> > tu
> > >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> > serveur
> > >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> > ton serveur
> > >> privé quand celle-ci change.
> > > Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de
> > Bind).
> > > D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard
> > avec L.E.
> > >
> > > Julien
> >
> > Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> > crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> > tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> > ta zone. ;)
> >
> > Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> > ont considéré que seul le contrôle de la zone DNS était une preuve
> > suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> > parfaitement d’accord).
> >
> > Bruno
> >
> >
> >
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Laurent]

Merci pour toutes ces réponses. Je retiens :

- c'est interdit
- il faut donc faire autrement : /etc/hosts ou CA Root interne. (Le reste
n'est pas faisable comme indiqué dans mon message initial).

À bientôt.

L.

Le lun. 30 avr. 2018 à 13:59, Bruno Pagani  a
écrit :

> Le 30/04/2018 à 12:14, Julien Escario a écrit :
>
> > Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> >> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> >> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais
> tu
> >> pourrais tricher en faisant un wildcart avec let's encrypt sur un
> serveur
> >> publique puis en copiant (plus ou moins automatiquement) la clef sur
> ton serveur
> >> privé quand celle-ci change.
> > Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de
> Bind).
> > D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard
> avec L.E.
> >
> > Julien
>
> Les API DNS ne sont que pour les fournisseurs de service DNS tiers je
> crois (Gandi, OVH, etc.). Si tu fais tourner ton Bind/Knot/NSD/Whatever,
> tu peux très bien gérer l’ajout du champ correspondant qui va bien dans
> ta zone. ;)
>
> Et oui, le challenge DNS est obligatoire pour le wildcard (en gros ils
> ont considéré que seul le contrôle de la zone DNS était une preuve
> suffisante de la légitimité à demander un wildcard, ce avec quoi je suis
> parfaitement d’accord).
>
> Bruno
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Bruno Pagani]

Autant faire ça soi-même dans ce cas…

Bruno

Le 30/04/2018 à 13:49, Quentin Leconte a écrit :
> Re-bonjour,
>
> Il semblerait que GlobalSign propose une solution « IntranetSSL », qui permet 
> d’émettre des certificats sur IP et domaines privés. Cependant, ils ne le 
> font pas sur leur CA public, ils utilisent un CA non public qu’il faudra 
> surement que tu déploies sur ton parc.
> https://www.globalsign.fr/fr/ssl/intranetssl/ 
> 
>
> Bonne journée,
> Quentin
>
>
>> Le 30 avr. 2018 à 12:18, Quentin Leconte, SHPV FRANCE 
>>  a écrit :
>>
>> Bonjour Laurent,
>>
>> Nous avons déjà fait certifier certaines de nos IP publiques pour des 
>> clients. Je vérifie de mon côté si nous pouvons faire la même avec des IP 
>> privées et je reviens vers toi.
>>
>> Quentin L
>>
>>> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
>>>
>>> Hello la liste,
>>>
>>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>>> logique mais bon).
>>>
>>> Merci,
>>> L.
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Quentin Leconte]

Re-bonjour,

Il semblerait que GlobalSign propose une solution « IntranetSSL », qui permet 
d’émettre des certificats sur IP et domaines privés. Cependant, ils ne le font 
pas sur leur CA public, ils utilisent un CA non public qu’il faudra surement 
que tu déploies sur ton parc.
https://www.globalsign.fr/fr/ssl/intranetssl/ 


Bonne journée,
Quentin


> Le 30 avr. 2018 à 12:18, Quentin Leconte, SHPV FRANCE 
>  a écrit :
> 
> Bonjour Laurent,
> 
> Nous avons déjà fait certifier certaines de nos IP publiques pour des 
> clients. Je vérifie de mon côté si nous pouvons faire la même avec des IP 
> privées et je reviens vers toi.
> 
> Quentin L
> 
>> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
>> 
>> Hello la liste,
>> 
>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>> logique mais bon).
>> 
>> Merci,
>> L.
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Jonathan Leroy]

Le 30 avril 2018 à 11:26, Laurent  a écrit :
> Hello la liste,
>
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).

Salut,

Aucun CA ne te fournira un certificat pour une IP RFC 1918 car c'est
formellement interdit par les Baseline Requirements du CA/B Forum.
Et c'est bien normal, puisque la propriété de ces IP n'est pas vérifiable.

Source : https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.6.pdf,
section 7.1.4.2.1.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Landry Minoza]

Le CA / Browser Forum interdit explicitement cette pratique à toutes les AC
publiques depuis 2016 (
https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf)
il est donc interdit pour toute AC présente par défaut dans les OS et
navigateurs de signer un certificat pour un domaine non enregistré ou une
adresse IP réservée.
Les deux options possibles sont donc :

   - Utiliser une AC interne (passé le setup pas toujours simple et le
   déploiement du certificat racine, il y a plein d’avantages…).
   - Faire signer un certificat pour un domaine qui t’appartient (ou à ton
   client) par n’importe quelle AC du marché autorisant des challenges de type
   DNS – voir mail (L.E. bien entendu, mais la plupart le proposent pour les
   certificats DV).

Cordialement,

Le lun. 30 avr. 2018 à 11:26, Laurent  a écrit :

> Hello la liste,
>
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
>
> Merci,
> L.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Quentin Leconte, SHPV FRANCE]

Bonjour Laurent,

Nous avons déjà fait certifier certaines de nos IP publiques pour des clients. 
Je vérifie de mon côté si nous pouvons faire la même avec des IP privées et je 
reviens vers toi.

Quentin L

> Le 30 avr. 2018 à 11:26, Laurent  a écrit :
> 
> Hello la liste,
> 
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
> 
> Merci,
> L.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 12:11, pascal.val...@free.fr a écrit :
> par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque
> lest'encrypt se connecte a ton serveur pour verifier sa validité. mais tu
> pourrais tricher en faisant un wildcart avec let's encrypt sur un serveur
> publique puis en copiant (plus ou moins automatiquement) la clef sur ton 
> serveur
> privé quand celle-ci change.

Ou passer par une API DNS (support qui s'élargit chaque jour mais pas de Bind).
D'ailleurs indispensable (si j'ai bien compris) pour générer du wildcard avec 
L.E.

Julien
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Zak]

Hello,

2018-04-30 12:05 GMT+02:00 Julien Escario :
> Le 30/04/2018 à 11:26, Laurent a écrit :
>>
>> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
>> des keychains java de base, mais pour des serveurs qui ont des ips privées
>> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
>> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
>> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
>> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
>> logique mais bon).
>
> Pas certain de comprendre : la fait que l'IP soit publique n'interresse que
> let's encrypt qui utilise ACME pour valider.
>
> Un C.A. classique passera par une validation du type 'postmas...@truc.com' 
> pour
> faire la validation de tous les certificats *.truc.com.
>
> Ca doit même pouvoir se faire en DNS (en tout cas avec Comodo).

la validation peut aussi se faire via dns pour Letsencrypt sans que le
serveur ne soit accessible via http :)
https://community.letsencrypt.org/t/how-to-use-dns-01-challenge/28593

> Seul contrainte : le CN doit faire partie d'un domaine 'résolvable' 
> publiquement
> (aka avec un whois qui marche). Pas de truc.monnom ou bidulle.montld par 
> exemple.
> Donc rien en .local pour lequel je vois souvent passer des demandes.

-- 
Hofstadter's Law: It always takes longer than you expect, even when
you take into account Hofstadter's Law.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Michel 'ic' Luczak]

Hello,

> On 30 Apr 2018, at 11:26, Laurent  wrote:
> 
> mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client.

Mettre le domaine du certificat dans /etc/hosts ?

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[pascal.val...@free.fr]

Bonjour,

un certificat s'achete sur la base d'un nom de machine pour un domaine 
rattaché (exemple : www pour domain.tld).


tu peux donc gererer ta clef de serveur sur ton serveur en ip privé, 
faire le csr et demander sa signature sans probleme a une autorité de 
certification.


par contre si tu veux utiliser lets'encrypt ce sera plus tricky, puisque 
lest'encrypt se connecte a ton serveur pour verifier sa validité. mais 
tu pourrais tricher en faisant un wildcart avec let's encrypt sur un 
serveur publique puis en copiant (plus ou moins automatiquement) la clef 
sur ton serveur privé quand celle-ci change.


pour verifier son chagnement, plein de solution. script a base de rsync 
ou de git, selon tes preferences, avec relance d'apache dans la foulée.


Voila.



Le 30/04/2018 à 11:26, Laurent a écrit :

Hello la liste,

j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
des keychains java de base, mais pour des serveurs qui ont des ips privées
(en 10/8) et sans résolution de nom côté client. Donc je veux signer un
common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
logique mais bon).

Merci,
L.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question sur certificat SSL sur adresse privée

[Julien Escario]

Le 30/04/2018 à 11:26, Laurent a écrit :
> Hello la liste,
> 
> j'ai besoin d'un certificat SSL signé par un CA officiel bien supporté dans
> des keychains java de base, mais pour des serveurs qui ont des ips privées
> (en 10/8) et sans résolution de nom côté client. Donc je veux signer un
> common name sur une ip privée. Je sais que c'est stupide. En dehors de ce
> fait, est ce quelqu'un sait comment obtenir cela ? La plupart des sociétés
> que j'ai contacté m'ont répondu que ce n'était pas possible (ce qui est
> logique mais bon).
> 
> Merci,
> L.

Pas certain de comprendre : la fait que l'IP soit publique n'interresse que
let's encrypt qui utilise ACME pour valider.

Un C.A. classique passera par une validation du type 'postmas...@truc.com' pour
faire la validation de tous les certificats *.truc.com.

Ca doit même pouvoir se faire en DNS (en tout cas avec Comodo).

Seul contrainte : le CN doit faire partie d'un domaine 'résolvable' publiquement
(aka avec un whois qui marche). Pas de truc.monnom ou bidulle.montld par 
exemple.
Donc rien en .local pour lequel je vois souvent passer des demandes.

Julien
<>

signature.asc
Description: OpenPGP digital signature