Certificaat aanbieder kiezen

woensdag 29 april 2020 15:12

Acties:

0 Henk 'm!

Topicstarter

Voor onze Exchange 2016 server gebruiken we momenteel certificaten van CACert.org. Een sympathieke club die kosteloos certificaten aanbiedt. Probleem: hun root-certificaat wordt niet meegeleverd bij bijvoorbeeld Windows. Moet je zelf installeren. Volgens de deskundigen is zo'n certificaat niet veilig. Daar kun je over discussiëren, maar dat doen we niet.

Ik wil een certificaat van een vertrouwde instantie gaan gebruiken. Lets Encrypt bekeken. In combinatie met bijv. ACME lijkt dat een leuke oplossing, maar dan moet ik poort 80 voor de hele wereld open zetten en daar heb ik geen zin in. Ik wil dus een multi-domain (SAN) certificaat aanschaffen. En aanbieders zat. De een spotgoedkoop, de ander schreeuwend duur. Wat de verschillen zijn? Ik kom er niet achter... Kortom, gevalletje keuze-stress. Gelukkig zullen er vast meer zijn met een SAN certificaat die me een fatsoenlijke aanbieder kunnen aanbevelen? Of me in elk geval kunnen vertellen waar ik moet letten....

woensdag 29 april 2020 15:24

Acties:

+1 Henk 'm!

ThinkCreative

Yes.

Kan je geen DNS-validatie doen met Let's Encrypt? Dan hoef je poort 80 niet open te zetten.

woensdag 29 april 2020 15:32

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Waar gaan de certificaten voor dienen? Wil je een trusted instantie gebruiken of een publicly trusted instantie?

In het eerste geval zou je ook een eigen CA kunnen inrichten en deployen. Als je cliendevices domainjoined zijn, kun je centraal je root-cert kunnen deployen.

Als je een public trusted cert wilt, kun je gewoon een willekeurige aanbieder pakken die default vertrouwd wordt door al je clients. Technisch zit er dan geen tot weinig verschil tussen de aanbieders, hooguit het gemak van een controlpanel tbv self service en dat soort ongein.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 3 mei 2020 14:01

Acties:

+3 Henk 'm!

Bech

Ik zou voor Xolphin gaan en het de goedkoopste certificaataanbieder pakken.

Wildcard voor 2 jaar, misschien wat losse certificaten voor een paar euro voor die gevallen waar een wildcard niet geschikt is.

Voor de kosten hoef je het niet te laten, geen gezeik en extra inspanning door zelf een Root certificate uit te hoeven rollen.

Xolphin (sslcertificaten.nl) is een Nederlandse toko, met hele goede prijzen en prima control panel.
Heb je in een paar minuten een certificaat geregeld.

Extra zaken zoals Extended Validation et cetera maken het er technisch niet beter op.
Meeste extra 'opties' is BS verkooppraatje. Tenzij je voor een certificering er echt specifiek aan moet voldoen.

zondag 3 mei 2020 14:44

Acties:

0 Henk 'm!

Osiris

Simon Weel schreef op woensdag 29 april 2020 @ 15:12:
Lets Encrypt bekeken. In combinatie met bijv. ACME lijkt dat een leuke oplossing, maar dan moet ik poort 80 voor de hele wereld open zetten en daar heb ik geen zin in.

Waarom heb je "geen zin" (wat natuurlijk een zeer matig argument op zichzelf is) in het openzetten van poort 80? Hoeft eventueel ook alleen maar tijdelijk tijdens het (automatisch) vernieuwen van je certificaat.

En zoals @ThinkCreative ook al zei is het niet per se verplicht: je kunt ook DNS-validatie gebruiken.

Sinds Let's Encrypt bestaat zou ik niet weten waarom je nog voor iets anders zou gaan eerlijk gezegd.

[ Voor 8% gewijzigd door Osiris op 03-05-2020 14:44 ]

zondag 3 mei 2020 22:23

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Voor Lets Encrypt moet je op moment van validatie even poort 80 openzetten. Daarna nooit meer.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 3 mei 2020 22:32

Acties:

+2 Henk 'm!

Osiris

Wim-Bart schreef op zondag 3 mei 2020 @ 22:23:
Voor Lets Encrypt moet je op moment van validatie even poort 80 openzetten. Daarna nooit meer.

En met "nooit" bedoel je "elke 60 dagen"?

zondag 3 mei 2020 22:51

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Osiris schreef op zondag 3 mei 2020 @ 22:32:
[...]

En met "nooit" bedoel je "elke 60 dagen"?

Hoe bedoel je met 60 dagen? Bij mij staat ie gewoon dicht tijdens de refresh en hij werkt perfect. Al jaren. Er zit namelijk een keiharde response-redirect op via iis. Die moest ik namelijk tijdelijk uitschakelen toen ik ging upgraden naar Acme v2.

[ Voor 20% gewijzigd door Wim-Bart op 03-05-2020 22:58 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

maandag 4 mei 2020 03:03

Acties:

0 Henk 'm!

Xelefim

We werken met GlobalSign voor publieke certs.

Nooit issues mee gehad en blijkbaar ‘Made In Belgium’ (alhoewel ze wrs zijn doorverkocht).

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

maandag 4 mei 2020 03:20

Acties:

+1 Henk 'm!

Zenix

BOE!

Ik heb hier goede ervaring mee: https://www.ssls.com/ PositiveSSL SAN is prima te gebruiken voor Exchange bijvoorbeeld. Voor die paar euro's geen gedoe.

[ Voor 17% gewijzigd door Zenix op 04-05-2020 03:22 ]

maandag 4 mei 2020 07:10

Acties:

0 Henk 'm!

Osiris

Wim-Bart schreef op zondag 3 mei 2020 @ 22:51:
[...]

Hoe bedoel je met 60 dagen? Bij mij staat ie gewoon dicht tijdens de refresh en hij werkt perfect. Al jaren. Er zit namelijk een keiharde response-redirect op via iis. Die moest ik namelijk tijdelijk uitschakelen toen ik ging upgraden naar Acme v2.

Let's Encrypt-certificaten zijn 90 dagen geldig en LE raadt aan om na 60 dagen te renewen. Voor een renewal is een geldige authorizatie nodig. En als je dat via de `http-01` challenge doet, dan moet poort 80 toch echt (tijdelijk) open zijn. En wat een "keiharde response-redirect" is mag Joost weten.

maandag 4 mei 2020 10:00

Acties:

0 Henk 'm!

Bech

Osiris schreef op maandag 4 mei 2020 @ 07:10:
[...]
En wat een "keiharde response-redirect" is mag Joost weten.

Ik denk dat dit betekent dat poort 80 wel degelijk open staat, en dan een http redirect stuurt

maandag 4 mei 2020 18:14

Acties:

+1 Henk 'm!

Osiris

Bech schreef op maandag 4 mei 2020 @ 10:00:
[...]

Ik denk dat dit betekent dat poort 80 wel degelijk open staat, en dan een http redirect stuurt

Dat was inderdaad mijn vervolgvraag geweest, hoe die redirect zonder poort 80 tot stand zou moeten komen

dinsdag 5 mei 2020 01:43

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Osiris schreef op maandag 4 mei 2020 @ 07:10:
[...]

Let's Encrypt-certificaten zijn 90 dagen geldig en LE raadt aan om na 60 dagen te renewen. Voor een renewal is een geldige authorizatie nodig. En als je dat via de `http-01` challenge doet, dan moet poort 80 toch echt (tijdelijk) open zijn. En wat een "keiharde response-redirect" is mag Joost weten.

Alles wat naar poort 80 gaat, gaat naar https://autodiscover.domeinnaam.nl/autodiscover/.... of https://webmail.domeinnaam.nl/owa (default)

De aanvragen naar .well-known/acme-challenge/token zie ik wel aankomen maar retourneren gewoon owa.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 5 mei 2020 10:02

Acties:

0 Henk 'm!

Osiris

Dan hoop ik voor je dat je certificaat nog wel geldig is na 90 dagen.

Vraag

Alle reacties