SSL CAs mit CFSSL, Boulder oder Consul sinnvoll pflegen

Es gibt gute Gründe, eine eigene SSL Certificate Authority (SSL CA) zu betreiben. Die Werkzeuge CFSSL, Boulder und Consul helfen einem dabei.

Artikel verschenken

25.01.2019, 09:23 Uhr

Lesezeit: 23 Min.

iX Magazin

Von

Martin Gerhard Loschwitz

SSL CAs mit CFSSL, Boulder oder Consul sinnvoll pflegen
- Eine CA pflegen: Mühsame Arbeit
- Der Klassenprimus: CFSSL
Erst die Root-CA
Die CA-Zertifikate ausrollen
Die Zertifikatsausstellung automatisieren
Bei Let’s Encrypt abschauen

Artikel in iX 1/2019 lesen

Netzwerkverbindungen gehören in der IT zum Alltagsgeschäft. In den vergangenen Jahren hat die durchschnittliche Zahl an Verbindungen auf der Netzwerkebene in normalen Setups nochmals erheblich zugenommen: Grund sind Cloud-native-Applikationen, die dem Prinzip der Mikrodienste folgen, die allesamt irgendwie miteinander kommunizieren müssen. Und auch wer große skalierbare Plattformen wie OpenStack betreibt, wickelt den Löwenanteil der Kommunikation zwischen den Komponenten über klassische TCP/IP-Verbindungen ab.

Schaut man bei solchen Setups unter die Haube, fällt aber schnell auf, dass der Faktor Verschlüsselung dabei meist unter den Tisch gefallen ist. Klar – sind HTTP-basierte Verbindungen mit der Außenwelt über Load Balancer oder ähnliche Werkzeuge gefordert, kommen dafür in aller Regel SSL-verschlüsselte Verbindungen mit offiziellen Zertifikaten zum Einsatz. Die interne Kommunikation zwischen verschiedenen Diensten in einem lokalen Netz hingegen sichern viele Administratoren nicht – schließlich "ist das lokale Netzwerk ja sicher".

Dass diese Aussage freilich nur je nach Bedrohungsszenario stimmt, ist klar – und ebenso klar ist, dass es eigentlich nicht sonderlich viel Aufwand wäre, auch interne Verbindungen mit SSL abzusichern. Die Compliance-Vorgaben diverser Großunternehmen schreiben diese Security-Maßnahme mittlerweile explizit vor, sodass Systemverwalter gar nicht um die Arbeit herumkommen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

, !!!Aufmacher: Bild von einem Wohnzimmer oder anderem Raum, an dem Blumentöpfe und andere Bilddetails mit Labels beschriftet sind

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

SSL CAs mit CFSSL, Boulder oder Consul sinnvoll pflegen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.