Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Acme Package / Letsencrypt Verständnisproblem

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EmL
      last edited by

      Hallo,

      bin von meiner ALIX auf eine "alte" APU umgestiegen und hab das Ding von Grund auf neu eingerichtet, läuft auch soweit. In dem Zuge hab ich mir auch mal den aktuellen Stand mit dieser Letsencrypt Geschichte mal angesehen … da gibt es jetzt wohl das acme Package, mit dem das wahrscheinlich recht einfach gehen soll (wenn man es blickt).

      Aber genau da stecke ich nun fest. Ich habe bisher noch nie mit dem Letsencrypt was gemacht, wohl zwar vor Monaten schon stundenlang nachgelesen, aber irgendwie war es mir dann damals noch zu kompliziert und zu aufwändig, das ohne Not machen zu wollen. Jetzt ist da aber nun mal dieses Package und ich hoff mal, dass es aber ein paar Leute wohl schon gemacht haben und mir auf die Sprünge helfen können. Es geht erst mal nur darum, eine einzige Domain, die unter welcher die pfSense von außen erreichbar sein soll, abzusichern:

      Ich habe mich an die Doku https://doc.pfsense.org/index.php/ACME_package gehalten. Das mit dem Account Key war wirklich noch einfach. Aber bereits beim nächsten Schritt (Create Certificate) steck ich fest. Das mit den SAN Einträgen würde ich einfach ignorieren wollen, ich will ja kein SAN Zertifikat erstellen. Mir würde eines mit der einen Domain reichen. Genau bei "Actions List" weiss ich nicht mehr weiter. Was will ich da für eine Action eintragen wollen, mit welchen Parametern? Oder soll ich die beiden in der WebGUI vom ACME Paket vorgeschlagenen Zeilen eintragen:

      /etc/rc.restart_webgui
      /usr/local/etc/rc.d/haproxy.sh restart

      Mag sich ja toll anhören. Startet vielleicht den Webserver neu?! Ist es das? Muss das genau so ... oder muss da was anderes ... was/wie? Ich würde an dem Punkt auch nichts per reverse engineering ausprobieren wollen, sondern einfach eine Aussage von jemanden haben, der an dem Punkt einen Plan hat. Ich hab auch im Forum nach acme gesucht, hab aber nichts wirklich für mich erhellendes gefunden.

      Am Anfang will ich erst mal nichts mit vielleicht möglichen und zusätzlichen Absicherungen über DNS, pinning etc. und was weiss ich noch was es geben würde, machen wollen. Bringt eh nichts, wenn ich nicht mal mir so ein Zertifikat generieren und installieren kann.

      Vielleicht weiss ja einer wo mein Verständnisproblem ist und kann mich wieder auf die Spur bringen ...

      Gruß

      1 Reply Last reply Reply Quote 0
      • H
        hornetx11
        last edited by

        Moin,

        der ACME Dienst wird benötigt um ein Zertifikat für die pf oder einem weiterem Dienst z.B. HAProxy zu erzeugen.

        Dafür gehrt man nach meiner Meinung am einfachsten wie folgt vor:

        NATe den Port 80 vom WAN auf den localhost Port 8082 (oder anderen freien Port).
        Lasse die passende WAN Regel automatisch erzeugen.
        Trage im öffentlichen DNS bei deinem Provider die (Sub)Domain auf die IP der WAN Schnittstelle der pf ein (A oder AAAA Eintrag).

        Lege im ACME erst einen neuen Schlüssel für dich an (direkt im endgültigen Production Modus)
        Registriere diesen Schlüssel und SPEICHER diese Einstellungen.

        Lege nun über den Certificates Punkt einen neuen Request an.

        Key Sise 2048
        Domain SAN:
        Lege hier die Zertifikats Domain fest und wähle standalone HTTP Server auf Port 8082

        In der Actions List definiere den Neustart des Dienstes welcher das Zertifikat nutzt.
        Trage ein nach wievielten Tage das Zertifikat erneuert werden soll.

        Speichern

        Nun beherzt auf den Issue/Renew Buton klicken.
        Nach einiger Zeit sollte eine grüne Seite mit einem Success am Ende erscheinen.

        Der ACME hat nun eine neue CA importiert und dein Zertifikat im internen Speicher der pf abgelegt (System Cert.Manager Certificates) welches Du nun in den internen Diensten nutzen kannst.

        Als letztes mach noch einen Haken bei Service ACME Settings damit das nun alles automatisch passiert.

        Natürlich kann man den ACME Port 80 auch durch den HAProxy laufen lassen. Hier einfach den Path beginnend auf /.well-known/acme-challenge/ abfragen.

        HornetX11 mobil

        // Nur die paranoiden überleben
        (Andrew Grove (1936 - 2016), Intel)//

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.