Ich hab das so verstanden, dass du ein *.wien.funkfeuer.at Zertifikat haben willst, für welches sich dann jeder mit Zugangsdaten im Redeemer den Private Key runterladen kann.
Für *.node.wien.funkfeuer.at Zertifikate halte ich es sinnvoller zu ermöglichen im Redeemer ein "Haupt-Device" pro Knoten angeben zu können, dann könnte sich jeder selber bei beliebigen Certificate Authorities solche Wildcard Zertifikate ausstellen lassen. LG, Thomas Am 15. März 2018 um 17:58 schrieb Dr. Michael Kerber <[email protected]>: > Why? > ist ja sinn eines Wildcard certs. wenn ich es richtig verstehe müsste ich um > es gültig zu haben ein level höher sein. und für die wildcards muss man dns > als authorisation nehmen bei letsencrypt. > > das dns für wien.funkfeuer.at verwendet > <devname>.<nodename>.wien.funkfeuer.at also idealerweise bekommt so ein > knoten ein cert. wenn dies eben über die nodedb gemacht werden kann und das > cert dort geholt für alle router eines knoten ist das recht angenehm. Das > sichere sharing der certs (key zum abholen nutzen?) ist machbar (auch > iprange einschränken der zugriff hat). > > Ich muss die certs ja in einer organisation auch auf die server mit uu > unterschiedlichen admins verteilen. Warum sollte die CA dagegen vorgehen. > die sind ja nicht öffentlich auf der website. > > mlg > -mike > > > On 15/03/18 17:25, Thomas Käfer wrote: >> >> Hallo! >> >> Bin dagegen. Private Key sharing ist bhöse (TM) und solche Zertifikate >> müssten von der Certificate Authority gesperrt werden sobald diese >> davon Wind bekommt. >> >> LG, Thomas >> >> Am 15. März 2018 um 17:20 schrieb Dr. Michael Kerber >> <[email protected]>: >>> >>> Hallo! >>> >>> Nachdem jetzt lets encrypt auch wildcard certs vergibt [1] könnte man >>> eines >>> für zb wien.funkfeuer.at machen und dieses für die router zur >>> verfügungstellen? dann braucht man nicht den acme für openwrt auf jeden >>> router bzw ein dns anpassskript etc. >>> >>> Wie ist die Sichtweise dazu? >>> >>> mlg mike >>> >>> [1] >>> >>> https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579 >>> >>> -- >>> Wien mailing list >>> [email protected] >>> https://lists.funkfeuer.at/mailman/listinfo/wien > > > -- > Wien mailing list > [email protected] > https://lists.funkfeuer.at/mailman/listinfo/wien -- Wien mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/wien
