Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Autoriser certificat auto-signé pfsense (chromium /linux) (résolu)

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jackos
      last edited by

      Bonjour,

      désolé si ce sujet à peut être sa place dans un forum plus généralisé (réseau ou linux), mais il parle de pfsense.

      Contexte : Pfsense (2.1.4-RELEASE (i386)  a ce jour) en prod depuis sept/2013, niveau autodidacte

      **Besoin / Question :**Comment autoriser le certificat du firewall pfsense comme fiable dans chromium sous linux?

      Schéma :
          [pfsense]–-----(192.168.0.0/24)----------[switch 1]–--------------[switch 2]
      [dns forwarder]                                    serveur proxmox                client linuxA
                                                                    serveur sme8                  ubuntu 12.04

      Recherches : les sites suivant montre comment autoriser un certificat auto-signé sous linux:
      https://code.google.com/p/chromium/wiki/LinuxCertManagement
      http://ydal.de/trusting-self-signed-certificates-with-google-chrome-on-linux/
      https://stuffivelearned.org/doku.php?id=apps:chrome:sscert_import

      Commande utilisé:
      les ping de linuxA sur host pfsense / proxmox / sme8 fonctionne

      • Lister .pki/nssdb sur clientA
      $ certutil -d sql:$HOME/.pki/nssdb -L
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
      • importer les certificats dans .pki/nssdb (répéter pour proxmox sme8 pfsense ainsi qu'avec les ip de chaques machines)
      openssl s_client -connect proxmox:443 -showcerts > proxmox
certutil -d sql:$HOME/.pki/nssdb -A -t CP,,C -n "proxmox" -i proxmox
      • Lister .pki/nssdb sur clientA après importation
      ~$ certutil -d sql:$HOME/.pki/nssdb -L
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
proxmox                                                      CP,,C
pfsense                                                      CP,,C
sme8                                                         CP,,C

      Résultats:
      Seul proxmox m'afiche aucune erreur (cadena vert / entré directe) sous chromium
      pfsense et sme8 m'affiche une "erreur liée à la sécurité" et "votre connexion n'est pas privée"

      Cordialement

      1 Reply Last reply Reply Quote 0
      • J
        jackos
        last edited by

        bon, je sais pas si c'est la meilleurs solution, mais sa fonctionne (que des experts me corrige)
        1/ vérifier  le domain (system - General Setup)
        Hostname : pfsense
        Domain : mydomain

        2/ Créer un certificat interne (system - cert manager - certificate)
        Descriptive name : pfsense.mydomain
        Certificate Type : Server Certificate
        Common Name : pfsense.mydomain

        3/ changer le certificat de webConfigurator (SSL Certificate : pfsense.mydomain)

        4/ importer le nouveau certificat avec certutil et se connecter à https://pfsense.mydomain

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          System > Cert Manager permet de créer une PKI 'interne' : certificat CA, certificats de serveur, certificats de users.
          Il est logique de remplacer le certificat du serveur web du pfSense créé automatiquement par un certificat créé dans cette PKI et d'importer celui-ci dans le PC qui accédera à l'administration.

          NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • J
            jackos
            last edited by

            @jdh:

            NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.

            avec comme client  ubuntu c'est vrai pour firefox. par contre pour chromium (peut être chrome) on doit installer le certificat manuellement cf https://code.google.com/p/chromium/wiki/LinuxCertManagement
            pas testé sous windows

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.