Ich habe die community edition von TrueNAS Scale auf einem TerraMaster F2-425 installiert und versuche nu erfolglos das WebUI mit https zu öffnen. Im Menüpunkt “/ System / Zertifikate “ sehe ich keine Funktion eine eigene CA und ein selbst signiertes Zertifikat zu erstellen. Nur der Import wird angeboden und ein Zertifikat mit dem Namen “truenas_default” sind zu finden. Muss ich hier Zertifikate ausserhalb von TrueNAS Scale erstellen und verwenden ? Vielen Dank vorab
1 Like
Nabend,
ein Community member hat ein script dafür erstellt
1 Like
Hähbittewas?
In TrueNAS CORE - dem beerdigten FreeBSD basierten TrueNAS - war eine vollständige lokale CA drin.
Haben die bei iX eigentlich irgendetwas anderes auf der Roadmap als Features zu entfernen?
Danke für den Hinweis. Ich betreibe meine CA allerdings schon lange auf meiner OPNsense. Trotzdem übel. Das ging mal, völlig einwandfrei.
1 Like
Im Preparig to Upgrade Teil der Release Notes für 25.10 steht:
TrueNAS 25.10 removes the Certificate Authority (CA) functionality that allowed TrueNAS to create and sign certificates. Users can continue to manage certificates by creating Certificate Signing Requests (CSRs) to be signed by external certificate authorities or and importing certificates that have been signed by external CAs or directory services. These alternatives provide the certificate management capabilities most users need while ensuring proper certificate validation through established certificate authorities.
Ich nehme mal an, das Feature wird wenig genutzt worden sein und iX wollte keine Ressourcen darauf ver(sch)wenden, es weiter zu pflegen.
Ob man seine CA ausgerechnet auf einem NAS pflegen sollte, darüber lässt sich streiten (ich hab meine CA auch auf dem NAS liegen, aber von Anfang an unabhängig von der TrueNAS GUI), genau wie darüber, ob es not tut, ein funktionierendes Feature einfach zu entfernen, aber ich glaube die Auswirkungen werden nicht allzu viele Nutzer treffen.
1 Like
Kommentar des Jahres.
Wenn es um CAs geht, haben unsere Freunde im Development Bereich seit Jahren nicht viel gemacht, zB sind nur vier externe CAs leicht vom GUI her benutzbar.
Habe mir daher bei Cloudflare ein Konto aufgemacht und alles FQDN / SSL funktioniert gut, nur wäre eine erweiterte Auswahl von CA Anbietern doch eine bessere Lösung, oder?
Das heutige GUI SCALE SSL System ist leichter zu handhaben, als unter CORE, aber auch das bedeutet nicht viel.
1 Like
jeder bekommt jetzt die Warnmeldung, das das Zertifikat abgelaufen ist. Firefox weigert sich die GUI anzuzeigen und man muß seinen Bookmark manuell editieren und auf http gehen. Wer das nicht weiß, denkt unter Umständen, sein NAS ist kaputt, weil er nicht mehr sich dort einloggen kann…
Ich finde es auch etwas unglücklich, dass die CA rausgeflogen ist. Nicht jeder hat Bock sich ein weiteres Konto irgendwo zu klicken und Cloudflare zu nutzen…
Das hat erstmal wenig miteinander zu tun.
Auch ein mit der in truenas integrierten CA erstelltes Zertifikat würde jeder client erstmal anmeckern weil die CA nicht als vertrauenswürdig bekannt wäre. Aufrufen kann man die seite Trotzdem per https und die Schlussfolgerung “das NAS ist kaputt” isr da auch eher weit hergeholt
Man kann mit Hilfe einer Pi eine in-Haus-CA bauen. Haben Dan und ich per den Instruktionen by Smallstep je eine gebaut. Ein ziemlich langwieriger und nicht einfacher Prozess. Mit Hilfe von Dans Skript (siehe Github) auch das GUI der CORE Kiste gesichert.
Für ein paar Monate lief die Haus-CA auch ohne Probleme, aber dann gab meine den Geist auf und ich wanderte nach Cloudflare ab, nachdem das eine GUI Option auf SCALE wurde.
Hab alle internen CAs auf OPNsense. Die Funktion wird dort auch nicht verschwinden.
1 Like
die lokale CA kann man Firefox hinzufügen bzw. die Felerseite durchlesen und “ich kenne das Risiko” anklicken und kommt auf die Seite. Seitdem das Zertifikat allerdings abgelaufen ist, wird die GUI unter Https allerdings gar nicht mehr angeboten - auch nicht mehr hinter einer Warnmeldung. Wenn man die Kiste dann nicht unmittelbar sieht, könnte man meinen, dass da was defekt sei. Weiß man, dass die Kiste trotzdem läuft und erinnert sich an die Warnhinweise vorher, dann kann man auf den Gedanken kommen, mal das “s” aus https im bookmark wegzueditieren und es dann nochmal zu versuchen.
Das Einbinden des python scripts von Dan ist für Gelegenheits-Admins oder auch Leute mit hinreichender Paranoia jetzt nicht das Gelbe vom Ei, wenn man eigentlich nur lokal bleiben will.
Cloudflare accounts und DNS weiterleitungen sind auch nicht jedermanns Sache.
Ich komme normla über ein Wireguard-Tunnel in mein LAN und mir reicht ein rein lokaler Zugriff. Den hätte ich als Stand der Technik gerne per default über https. Das geht mit Boardmitteln jetzt nicht mehr. Schade.
Ist genau das vorgehen (für eine unbekannte CA) bei Firefox für abgelaufene zertifikate nicht möglich? Ich nutze Firefox nur sporadisch aber in Chrome bin ich mir recht sicher, dass man das ebenso ignorieren kann oder hattest du hsts aktiviert?
Ich hab in meinem fall eh nur HTTPS aktiv, ich könnte also selbst wenn ich wollte nicht unverschlüsselt zugreifen.
Edit: bin gerade am Handy konnte also nur die Firefox Android Version testen aber für https://expired-rsa-dv.ssl.com/ (von https://www.ssl.com/sample-valid-revoked-and-expired-ssl-tls-certificates/) konnte ich normal das Risiko akzeptieren.
MacOS tut sich schwer, unter iOS ist es glaube ich nicht möglich.
Die smallstep lokale CA ist ziemlich Bombensicher. Das verteilen von Zertifikaten per Skript auch nicht das Ende der Welt, aber eben nicht so „set and forget“ wie das alles per GUI in 25.10 mit Cloudflare möglich ist.
Dazu kommt, das Apps wie UniFi leichter mit einem CA per SCALE GUI / Cloudflare zu sichern sind als die UBNT cloudkey hardware selbst. Im GUI / App geht das ruckzuck, per Cloudkey müssen die Zertificate mittels SSH überspielt werden, angenommen werden, usw.
Benutze Dans Skripts auch meine Mikrotiks zu sichern, geht super.