Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Let's encrypt und Ports

    Deutsch
    2
    3
    712
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      s25a
      last edited by

      Hallo Zusammen,

      ich ahbe entdeckt dass man über ACME relativ einfach ein gültiges Zertifikat von Let's encrypt auf der Firewall erstellen kann und dieses sogar per einfachem Click als Cron zur Erneuerung anlegen kann. Hat auch alles wunderbar geklappt. Nach Änderung des Hostnamens und Zuweisung des Cerifikates über "Admin Access" komme ich nun ohne Fehler auf das System.

      Nun habe ich nur eine Sache die mich ziemlich stört. Damit Let's encrypt erneuern kann muss der Port 80 offen sein (um dann intern auf einen Port umgeleitet werden der entsprechend in den Zertifikatseinstellungen definiert wurde).

      Meine Frage wäre nun ob es eine Möglichkeit gibt den Renew des Zertifikates mit dem Öffnen der Firewall Regel zu verbinden.

      Also z.B. Aktiviere Firewall Regel / Renew / Deaktiviere Firewall Regel.

      Hat jemand sowas schon mal gemacht und hier ein paar Tipps?

      Die Anleitung habe ich hier gefunden: Der Autor verwendet hier 80 --> 8082
      https://blog.artooro.com/2017/02/16/quick-easy-lets-encrypt-setup-on-pfsense-using-acme/

      VG S

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        @s25a said in Let's encrypt und Ports:

        Also z.B. Aktiviere Firewall Regel / Renew / Deaktiviere Firewall Regel.

        Hi,

        nein das gibt es momentan nicht. Wenn man die Umleitung der pfSense von 80 -> 443 (oder dem konfigurierten UI Port) aber abschaltet und die UI generell auf einen anderen Port verfrachtet, ist es relativ entspannt den Port eingehend aufzulassen, da kein Dienst darauf hört (auch nicht der Nginx der WebUI mit obigen Einstellungen).

        Wenn man zudem den Zugriff via NAT/RDR Regel von ankommend 80 auf einen anderen Port auf localhost weiterleitet, ist das Risiko noch entspannter, da der dann gewählte Port dann sicher nicht belegt ist außer zu den Zeiten, in denen der ACME Service das Zertifikat erneuert. Somit bekommt jeder Request gegen den Port einen Error zurück, weil darauf nichts lauscht. Somit ist das recht simpel und einfach abzusichern.

        Wer ganz auf Nummer sicher gehen möchte, kann auch - wenn möglich - seine Domain oder den Hostnamen via DNS01 autorisieren, benötigt dann aber einen unterstützen DNS Provider oder Host um das zu lösen.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Zusatz: Ich war mal so frei und habe eine grobe Idee formuliert, ob das Acme Package nicht ggf. über scheduled rules solch einen Mechanismus triggern könnte (eine Regel enabled/disablen basierend auf Uhrzeit via Cron ist ja bereits möglich). Eine fest angelegte Regel mit spezifischer ID/Description o.ä. könnte hier dann durchaus auf dem WAN on/off triggerbar sein so dass der Update Prozess vor seinem Start die Regel an- und nach Ausstellung des Zertifikats abschalten könnte. Soweit die Idee, aber klügere Köpfe können da sicher eine bessere Antwort geben :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.