Jag är nog mer intresserad att höra om någon har erfarenhet att sätta upp en egen CA, med allt vad detta innebär. Tanken är att köra litet mer "på riktigt". Självsignerade certifikat och SSH-nycklar lärde jag mig för typ 20 år sedan, nu vill jag efterlikna en professionell miljö precis i sann homelab-anda.
Processen är inte så farligt komplicerad egentligen.
Du genererar en privat nyckel och från den ett root-cert.
Sen installerar du root-certet på alla maskiner i nätverket du vill vara CA för.
Därefter för varje servers så skapar du nyckelpar och CSR, utfärdar cert från CSR + CA private key + CA root cert
Tror det går att automatisera med ACME Certbot så den använder din egen CA.
Du vill alltså bli en Certifikatutfärdare, det är det som du tänkt?
Fast det ska vara för lokalt bruk, förstår jag dig rätt då ?
Du nämner "professionell miljö" men för att uppnå detta som en CA så krävs det att man blir en offentlig CA så som t.ex. letsencrypt är idag.
Jag förstår inte riktigt varför du behöver ha detta för lokalt bruk, geo ip för ssh var ett tips...
En setup med intern/privat CA är nog vanlig på ställen med rätt mycket servrar där det finns krav på att man inte ska kunna tjuvlyssna bara för att man kommit innanför yttre muren. Har gått igenom en hel del checklistor från större finansiella institut och känner några som jobbar på myndigheter där man är lite paranoid emellanåt. Då brukar det vara vanligt att man kräver att all kommunikation är certifierad. Om du då avinstallerar alla andra rootcert från dina interna servrar och bara litar på ditt eget så kan du begränsa vem du litar på. Och mycket billigare än att köpa tio tusen cert.
Varför man vill göra det i hemlabbet är väl bara för att få träna lite innan det är skarpt läge antar jag?
Brass knuckles and a 2x4