Welche SSL Zertifikate nehmen, um den internen Teil der Verbindungen abzusichern?

Guten Abend

Bei den SSL Zertifikaten habe ich ein Verständnisproblem.
Also, für einige Dienste verwende ich Tunnels (unter zero trust) und für weitere Dienste verwende ich CNAME oder A Einträge.

Unter SSL/TLS habe ich den Modus auf Full (strict) eingestellt.
Dadurch sehe ich dieses Zertifikat, wenn ich meine Webseite aufrufe:
“Allgemeiner Name (CN) GTS CA 1P5”.

Bevor ich bei Cloudflare war, hatte ich Let’s Encrypt Zertifikate für meine Websites und Dienste verwendet. Diese laufen momentan auch noch intern über das Let’s Encrypt Zertifikat. Daher ist auch dieser Teil der Verbindung abgesichert.

Nun in ca. einem Monat laufen meine Let’s Encrypt Zertifikate ab. Da kommt der Punkt, an welchem ich mir unsicher bin. Damit ich diesen Teil der Verbindung dann auch wieder abgesichert habe. Was soll ich da genau tun? Soll ich da einfach ein selbst signiertes Zertifikat verwenden, da die Fehlermeldung “Diese Webseite ist unsicher” sowieso nicht auftritt, weil der Rest ja über Cloudflare läuft. Oder muss ich dann jedes mal wenn ich die Zertifikate erneueren will, unter Cloudflare → DNS und dort für temporär “Proxy” ausschalten, damit Let’s Encrypt die “echte Webseite sieht” und nicht das, was über den Cloudflare Proxy läuft? Wär irgendwie ja alles manuell und umständlich.

Vielleicht kann mir hier jemand auf die Sprünge helfen.

Vielen Dank.

Cloudflare bietet selbst ausgestellte Zertifikate an, die die Verbindung zwischen Cloudflare und dem Origin Server absichern können:

Diese funktionieren allerdings nur für Websites. Falls du Zertifikate für andere Anwendungen, z.B. einen Mail Server, benötigst, funktionieren diese nicht.

Du kannst auch weiterhin LetsEncrypt Zertifikate benutzen, wenn du anstelle der HTTP Verifizierung auf eine DNS Verifizierung wechselst:

Certbot mit dem certbot-dns-cloudflare plugin macht das z.B. automatisch.

Hallo @Laudian

Vielen Dank für die Antwort. Ahja stimmt. Die Origin CA certificates hatte ich völlig vergessen.
Da habe ich jetzt nicht daran gedacht, dass die Let’s Encrypt Zertifizierung via DNS Verifizierung funktioniert. Hätte ich aber auch drauf kommen sollen. Ich habe einen Proxmox Server, bei welchem ich genau das certbot-dns-cloudflare plugin bereits verwendet habe. Das habe ich mal mit Hilfe eines Tutorials gemacht. Aber ging wieder in Vergessenheit.

Irgendwie tue ich mich mit der ganzen Zertifizierungsgeschichte ziemlich schwer. Alleine der certbot mit allen verschiedenen Möglichkeiten und Plugins etc. Und jetzt kommt da noch die Proxmox Geschichte und Cloudflare dazu. Nun ist alles etwas komplexer geworden.

Zuvor hatte ich nur einen Raspberry, auf welchem der Certbot lief und alles gehandhabt hatte. So habe ich nun durch die Umstellung eine neue Herausforderung.

Also, vielen Dank nochmals für die Wegweisung. Somit habe ich nun 2 gute Möglichkeiten