Let's encrypt und Ports



  • Hallo Zusammen,

    ich ahbe entdeckt dass man über ACME relativ einfach ein gültiges Zertifikat von Let's encrypt auf der Firewall erstellen kann und dieses sogar per einfachem Click als Cron zur Erneuerung anlegen kann. Hat auch alles wunderbar geklappt. Nach Änderung des Hostnamens und Zuweisung des Cerifikates über "Admin Access" komme ich nun ohne Fehler auf das System.

    Nun habe ich nur eine Sache die mich ziemlich stört. Damit Let's encrypt erneuern kann muss der Port 80 offen sein (um dann intern auf einen Port umgeleitet werden der entsprechend in den Zertifikatseinstellungen definiert wurde).

    Meine Frage wäre nun ob es eine Möglichkeit gibt den Renew des Zertifikates mit dem Öffnen der Firewall Regel zu verbinden.

    Also z.B. Aktiviere Firewall Regel / Renew / Deaktiviere Firewall Regel.

    Hat jemand sowas schon mal gemacht und hier ein paar Tipps?

    Die Anleitung habe ich hier gefunden: Der Autor verwendet hier 80 --> 8082
    https://blog.artooro.com/2017/02/16/quick-easy-lets-encrypt-setup-on-pfsense-using-acme/

    VG S


  • Moderator

    @s25a said in Let's encrypt und Ports:

    Also z.B. Aktiviere Firewall Regel / Renew / Deaktiviere Firewall Regel.

    Hi,

    nein das gibt es momentan nicht. Wenn man die Umleitung der pfSense von 80 -> 443 (oder dem konfigurierten UI Port) aber abschaltet und die UI generell auf einen anderen Port verfrachtet, ist es relativ entspannt den Port eingehend aufzulassen, da kein Dienst darauf hört (auch nicht der Nginx der WebUI mit obigen Einstellungen).

    Wenn man zudem den Zugriff via NAT/RDR Regel von ankommend 80 auf einen anderen Port auf localhost weiterleitet, ist das Risiko noch entspannter, da der dann gewählte Port dann sicher nicht belegt ist außer zu den Zeiten, in denen der ACME Service das Zertifikat erneuert. Somit bekommt jeder Request gegen den Port einen Error zurück, weil darauf nichts lauscht. Somit ist das recht simpel und einfach abzusichern.

    Wer ganz auf Nummer sicher gehen möchte, kann auch - wenn möglich - seine Domain oder den Hostnamen via DNS01 autorisieren, benötigt dann aber einen unterstützen DNS Provider oder Host um das zu lösen.

    Grüße


  • Moderator

    Zusatz: Ich war mal so frei und habe eine grobe Idee formuliert, ob das Acme Package nicht ggf. über scheduled rules solch einen Mechanismus triggern könnte (eine Regel enabled/disablen basierend auf Uhrzeit via Cron ist ja bereits möglich). Eine fest angelegte Regel mit spezifischer ID/Description o.ä. könnte hier dann durchaus auf dem WAN on/off triggerbar sein so dass der Update Prozess vor seinem Start die Regel an- und nach Ausstellung des Zertifikats abschalten könnte. Soweit die Idee, aber klügere Köpfe können da sicher eine bessere Antwort geben :)


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy