Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    einfach neuen SSH Key und self signed Webserver Cert erstellen möglich?

    Deutsch
    renew ssh keygen webserver self-signed
    4
    6
    803
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bon-go
      last edited by bon-go

      Hallo Forum,

      zwei Fragen:

      1. Wie erzeuge ich neue SSH Keys in einer pfSense, wenn SSH einmal aktiv war?

      2. Wie erzeuge ich mit Bordmitteln (ohne Erstellen einer CA) ein neues self-signed Zertifikat für den Webserver?

      Hintergrund ist folgender: ich habe mir von einer pfSense (2.6 bzw. nun 2.7) nach einer Grundeinrichtung eine Sicherung gezogen. Wenn ich diese Sicherung auf einer anderen pfSense einspiele, bleiben viele der gewünschten Daten erhalten und ich spare mir Arbeit beim Einstellen. Es verbleiben aber eben auch die SSH Keys und das Webserver Cert der Sicherung in der neuen Installation. Beides würde ich gern, möglichst einfach, ersetzen wollen.

      Danke im Voraus

      the otherT V 2 Replies Last reply Reply Quote 0
      • the otherT
        the other @bon-go
        last edited by the other

        @bon-go Moinsen,
        AFAIK...
        ...kannst du mit der pfsense keine ssh-keys erzeugen. Nutz dafür ein anderes Programm (putty keygen oder openssh auf der Konsole oder...). Den Schlüssel dann für denjenigen User, dem du ssh per pubkey erlauben willst im User Management hinterlegen.

        ...ohne CA kein eigenes self-signed Zertifikat, denke ich. Also einfach mit dem coolen Certificate Manager eine CA erstellen und dann das Server Zertifikat. Geht doch ganz schnell und ist IMHO immer besser als das default vorhandene.
        :)

        the other

        pure amateur home user, no business or professional background
        please excuse poor english skills and typpoz :)

        1 Reply Last reply Reply Quote 0
        • V
          viragomann @bon-go
          last edited by

          @bon-go said in einfach neuen SSH Key und self signed Webserver Cert erstellen möglich?:

          Wie erzeuge ich neue SSH Keys in einer pfSense, wenn SSH einmal aktiv war?

          ssh-keygen wäre das Werkzeug der Wahl.
          Wie es zu benutzen ist, findet sich im Internet.

          Der Schlüssel für admin / root wird in /root/.ssh/authorized_keys gespeichert. Andere User haben bei mir keinen SSH-Zugang, werden aber vermutlich ebenso in den User-homes (~/.ssh/authorized_keys) gespeichert.

          Wie erzeuge ich mit Bordmitteln (ohne Erstellen einer CA) ein neues self-signed Zertifikat für den Webserver?

          Gibt es dafür nicht in System > Certificate Manager > Certificates nicht schon einen Renew-Button?
          Wenn nicht, erzeuge eben eine CA, ist ja keine Hexerei. Auf meinen Installationen sind alle privaten Webconfigurator Zertifikate von CAs signiert.

          1 Reply Last reply Reply Quote 0
          • B
            bon-go
            last edited by

            Alles klar, danke euch.

            Ja, ich weiss wie das geht. Es hätte ja sein können, es gibt für 1. eine schnellere und einfachere Möglichkeit als ein ssh-keygen auf der Shell für den ssh Server der pfSense. Die pfSense macht das ja auch wenn der SSH Server erstmalig aktiviert wird.

            Eine eigene CA ist für 2. auch kein Problem - aber auch hier hätte es ja sein können es geht schneller ohne CA so mal nebenbei und eben self-signed.

            Ein cert renew geht schneller. Es wird nach Reuse Key gefragt und da kann ich einen neuen generieren lassen, habe ich eben noch einmal woanders probiert. Bei einem der letzten Versuche kam dieser jetzt auftauchende Dialog so nicht. Liegt vielleicht auch daran, dass ich das gerade an einem alten self-signed cert probiere (schon nicht mehr in Nutzung), bei dem nun noch andere Parameter anders gesetzt werden (lifetime und digest). Das verfolge ich mal weiter.

            V JeGrJ 2 Replies Last reply Reply Quote 0
            • V
              viragomann @bon-go
              last edited by

              @bon-go
              Ich habe eben ein WebConfigurator Zertifikat ohne CA erneuert. Den Renew-Button gibt es auch in diesem Fall.
              Ging problemlos, ich habe allerdings den existierenden Private Key weiter verwendet.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @bon-go
                last edited by JeGr

                @bon-go said in einfach neuen SSH Key und self signed Webserver Cert erstellen möglich?:

                Ja, ich weiss wie das geht. Es hätte ja sein können, es gibt für 1. eine schnellere und einfachere Möglichkeit als ein ssh-keygen auf der Shell für den ssh Server der pfSense. Die pfSense macht das ja auch wenn der SSH Server erstmalig aktiviert wird.

                ja die SSH HOST Keys - die du wahrscheinlich meinst - sind erst seit kurzem Bestandteil des Backups. Du kannst es einfach AUSschalten, dass diese mit exportiert werden, dann hast du den pre-2.5?2.6? Zustand wieder in welchem die Host Keys beim First Boot einfach erzeugt werden.

                Das Self-Signed Cert kann auf der Konsole wieder neu erstellt werden:

                • CLI
                • Menü Option 12 (PHP Shell / Tools)
                • playback generateguicert
                • exit

                Und dann hast du ein neues Cert, wobei das bei self-signed relativ gleichgültig ist ob das die gleichen sind oder nicht, da sie eh keine Aussagekraft haben. Bei SSH Host Keys bin ich aber bei dir, das möchte man über Restore Deployment sicher nicht mit ausrollen.

                Ansonsten genügt auch ein rm /etc/ssh/*key* um alle SSH Host Keys zu löschen, diese werden dann nach einem Reboot automatisch wieder erzeugt. Alles weitere zum Verständnis kann man der /etc/sshd Konfiguration entnehmen, dort werden die Keys erzeugt wenn nicht vorhanden und entsprechende Extras und Ciphers gesetzt. Herumpfuschen sollte man da allerdings nicht, höchstens sich anschauen, wie man sie bei Bedarf selbst neu erzeugt ohne löschen und reboot.

                Cheers

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.