Kommerzielles Zertifikat

  • Hallo zusammen,


    bisher habe ich für meine Zertifikate Let's Encrypt verwendet. Durch gewachsense Infrastruktur kann ich nicht jedes Gerät von außen erreichbar machen und ein ständiges importieren des neuen LE Zertifikats ist auch keine Option. Da es auch für eine interne Domain herhalten soll bleibt da nur der weg über ein kommerzielles Zertifikat und genau hier fängt mein Problem an. Es gibt so viel unterschiedliche Anbieter (die man auch mal auf News Seiten finden Konnte, C0m0do *hust*). Ich blicke da ehrlich gesagt nicht mehr durch :S. Ich brauche ein vorzugsweise günstiges Wildcard Cert. Da das ganze auch für die interne Domain (int.domain.tld) gelten soll ist Wildcard "verbrannt". Für gefühlt einen Laster voller Goldbarren kann man sich ein rund um sorglos Zertifikat kaufen das auch sub.int.domain.tld unterstützt, Multi Level Wildcard nennen das einige Anbieter. Ich frage mich ob das überhaupt nötig ist deswegen würde ich gern mal eure Empfehlungen hören für meinen folgenden Anwendungsfall:


    • domain.tld
    • sub.domain.tld
    • sub.int.domain.tld
    • SSH sowie RDP ohne Zertifikatswarnung
    • keine tausende von Euro


    Das sind die Einsatzgebiete die ich habe, die sollten unbedingt abgedeckt sein. Ich hoffe auf eure Empfehlungen :)


    Danke und Grüße

  • Durch gewachsense Infrastruktur kann ich nicht jedes Gerät von außen erreichbar machen und ein ständiges importieren des neuen LE Zertifikats ist auch keine Option.

    Die DNS-Validierung ist keine Option? Das könnte man über die DNS-API abwickeln. Dafür muss das Gerät nicht von außen erreichbar sein.


    Den späteren Import am Gerät kann man mittels Script sicher auch irgendwie automatisieren. Bei mir bekommt sogar der Drucker automatisch ein LE-Zertifikat. Hochgeladen wird es mit ein paar cURL-Befehlen und ein wenig Bash-Zauberei.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Auch ein kommerzielles Zertifikat muss regelmäßig erneuert und ausgetauscht werden. Momentan gibt es auch dort den Trend, dass Zertifikate eine immer geringere Laufzeit bekommen. Apple hat z.B. auch schon angekündigt keine Zertifikate mit einer Laufzeit von mehr als 13 Monaten mehr zu akzeptieren (wenn ich mich richtig erinnere). Sprich auch da kommen aktuell nur noch 1-jährige Zertifikate in Frage

    Aus meiner Sicht sollte man sich das Geld lieber sparen und in eine vernünftige Automatisierung der Zertifikatserneuerung stecken. Erneuert werden muss jedes Zertifikat. Dann lieber gleich von Anfang an richtig.

    Es ist ein Mythos, dass kommerzielle Zertifikate weniger Arbeit verursachen ;)

  • Puuuuhhh ehrlich gesagt weiß ich nicht ob mein Hoster sowas anbietet (Domain liegt nicht bei netcup). Die LE Geschichte habe ich mir gründlich überlegt und ist wieder gestorben. So schön einfach das ist, die Schmerzen fangen hinter der Firewall an. Mal geht der Befehl nicht sauber durch, Zertifikatswarnung. Das verteilen auf die Geräte klappt nicht, Zertifikatswarnung. Für mich etwas zu "bastelig" und fehleranfällig. Ich dachte eher an ein Setup and forget (bis zum renew).

  • Auch ein kommerzielles Zertifikat muss regelmäßig erneuert und ausgetauscht werden. Momentan gibt es auch dort den Trend, dass Zertifikate eine immer geringere Laufzeit bekommen. Apple hat z.B. auch schon angekündigt keine Zertifikate mit einer Laufzeit von mehr als 13 Monaten mehr zu akzeptieren (wenn ich mich richtig erinnere). Sprich auch da kommen aktuell nur noch 1-jährige Zertifikate in Frage

    Aus meiner Sicht sollte man sich das Geld lieber sparen und in eine vernünftige Automatisierung der Zertifikatserneuerung stecken. Erneuert werden muss jedes Zertifikat. Dann lieber gleich von Anfang an richtig.

    Es ist ein Mythos, dass kommerzielle Zertifikate weniger Arbeit verursachen ;)

    Das mag sein, die berufliche Praxis zeigt mir das es eben nicht so ist. Vielleicht hab ich so einen Knall niemals mitbekommen, mag auch sein. Bisher habe ich nur gute Erfahrungen damit gemacht.


    Ja Apple hat die Laufzeit auf ein Jahr gesenkt. Finde ich auch gut, aber lieber einmal im Jahr als ständig zu debuggen bis es läuft, der Kosten/Nutzen Faktor liegt hier definitiv auf kaufen statt Lets Encrypt.