需要的建议:在同一主机上的多个web服务之间共享LE通配符证书时的最佳实践

Question

我需要你的建议。从opsec的角度来看，在同一主机上的多个web服务之间共享LE通配符证书的最佳方法是什么？

我的设置如下：

在我的域中，我有一个自动更新的LE通配符证书( assigned )

• 保存证书的文件夹被映射到一个主机文件夹，由LE-user:LE-group拥有，并且拥有700个特权
• 。

所有子域都指向同一主机上的web服务(所有containerized)

• All公开访问的服务都由Nginx反向代理(容器化)处理，因此它们都是LE加密的downstream

• The管理服务(门户、管理员、座舱等))。只能从局域网访问，并且都受到强密码和唯一密码

的保护。

我的问题是：

我想用LE通配符证书来保护上面提到的管理服务，因为我厌倦了必须确认我“接受风险”，因为他们使用的是自签名证书，但我怀疑实现这一目标的最佳方法是什么。到目前为止，我认为有三种可能的解决方法，它们都有各自的缺点：

1. 创建一个由cron作业执行的脚本，每当证书被更新时，该脚本将LE证书复制到各种管理服务证书文件夹。
   • Drawback:脚本需要使用根privileges

运行

1. 允许管理服务访问主机映射文件夹中的证书。
   • Drawback: i需要704访问LE Cert文件夹或740，并将所有管理服务用户添加到LE group

中。

1. 通过反向代理为管理服务提供服务，启用TOTP保护并限制对服务器公共IP的访问。
   • Drawback:如果我搞砸了什么，或者我的Nginx或TOTP安装中有一个零天的漏洞，那么管理服务就是公开的accessible

。

从opsec的角度来看，以上提到的解决方案中的哪一种是“最佳实践”解决方案，还是您会建议一个完全不同的解决方案，我还没有想过呢？

事先非常感谢！

Answer 1

请考虑以下几点：

1. 创建合法的本地CA根证书，其内容类似openssl.

。

1. ，合法地签署用于管理服务的服务器证书，并配置Admin端点以使用.

。

确保CA根证书位于连接到admin-services.的计算机的可信CA证书存储区(又名信任存储库)中

以这种方式创建的证书只有一个不受信任的根CA，直到您在连接机器的信任存储中显式地信任它(即步骤3)。现在增加的好处是，您可以在需要时终止任一证书，而不是每3个月到期一次，而不像LE通配符证书。

资源：https://deliciousbrains.com/ssl-certificate-authority-for-local-https-development/