Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    interne CA - Dies ist keine sichere Verbindung

    Deutsch
    4
    6
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      HilFi2001
      last edited by HilFi2001

      Hallo,

      ich habe auf der PFSense eine CA sowie ein Zertifikat angelegt.
      Das Zertifikat wurde auf firewall.localdomain (Alternative Names local LAN IP, + IP 127.0.0.1) unter Anwendung aktueller Algorithmen sowie Schlüssellängen ausgestellt.
      Das Zertifikat der Root-CA habe ich auf meinem MacBook im Key-Store eingefügt und als vertrauenswürdig eingestuft.
      In der pfsense habe ich unter "System->Advanced" das neue Zertifikat ausgewählt.

      Wenn ich die Seite der Firewall nun im Browser (Google Chrome) aufrufe, bekomme ich trotzdem die Meldung, die Seite sei nicht sicher. Lasse ich mir im chrome das Zertifikat anzeigen (er zeigt wirklich das neue an), wird es als "Dieses Zertifikat ist Sicher" angezeigt. Firefox meldet auch, dass es nicht sicher ist. In beiden Browsern habe ich den Cache komplett gelöscht, alles neugestartet.

      Was mache ich falsch? Ich würde eigentlich erwarten, dass das neue Zertifikat nicht mehr als unsicher bewertet wird.

      Edit: Chrome meldet .NET::ERR_CERT_REVOKED

      Vielen Dank.

      VG
      Hilfi

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        vom Mac habe ich zwar keine Ahnung, doch habe ich mit neueren Browsern die Erfahrung gemacht, dass sie keine Zertifikate mögen, die viele Jahre lang gültig sind und da solche irreführende Fehler ausgeben. Eine Recherche nach dem Problem brachte zu Tage, dass eine maximale Gültigkeitsdauer 825 Tagen akzeptiert wird.
        Dass passt damit zusammen, dass offizielle Zertifikate heute auch nur noch auf max. 2 Jahre ausgestellt werden.

        Könnte aber auch sein, dass die Browser die CRL vermissen. Dann hättest du ein größeres Problem.

        Grüße

        1 Reply Last reply Reply Quote 0
        • H
          HilFi2001
          last edited by

          Hi,

          danke, genau das war es.
          Ich habe gestern 4 Stunden meiner Zeit verballert und bin auf diese einfach Idee nicht gekommen.

          aber stimmt, ich musste selber einige Zertifikate wechseln ;)
          Danke

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Und lustiger wird es bei IOS Geräten, die bei selbst ausgestellten CAs/Zertifikaten (bspw. bei einem eigenen internen Mailserver) wohl inzwischen auch gern mal die Verbindung verweigern. Aber hey, die Admins die das aufgebaut haben und jahrelang betreut haben (und es toll läuft) haben sicher nichts dagegen, wegen einem Apple Update einfach mal ihre ganze CA Infrastruktur umzubauen 🙄

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • R
              raaalf
              last edited by raaalf

              Hallo zusammen,

              das Zertifikat für das Web-GUI meines NAS (NAS4Free) ist abgelaufen. Ich habe mich einige Zeit erfolglos mit OpenSSL beschäftigt um ein neues Zertifikat zu erstellen. Bin aber immer daran gescheitert, dass ich mich mit dem selbst erstellten Zertifika vom Zugriff auf das Web-GUI ausgeperrt habe. Ich habe wohl einen Fehler gemacht...

              Ich würde nun gerne den pfSense Certificate Manager für die Erstellung eines Zertifikats für das NAS verwenden. Um zu vermeiden dass ich einen Fehler mache (bin hier kein Experte) möchte ich fragen, ob ich gefahrlos eine Certificate Authority (CA) erstellen kann. Gefahrlos in dem Sinne, dass das in pfSense existierende Zertifikat nicht ungültig wird.

              Worauf ist beim Erstellen einer CA zu achten? Gibt es Fallstricke? Ich verwende aktuell die pfSense-Version 2.4.4.

              Grüsse

              Ralf

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Hallo,

                ich empfehle, dass du dich erst ein wenig mit dem Thema SSL-Zertifikate auseinandersetzt. Ist, glaube ich, auf Wikipedia ausreichend erklärt.

                Was erwartest du dir nun vom Zertifikatsmanager der pfSense? Mit einer selbst erzeugten CA produziert der letztlich auch nur selbst-signierte Zertifikate. Und selbst wenn es ein öffentliches Zertifikat wäre, wenn es nicht richtig installiert ist, funktioniert es nicht.
                Eine CA bietet nur den Vorteil, dass man deren Stammzertifikat auf einem Rechner als vertrauenswürdiges installieren kann und dieser damit jedem der von dieser CA ausgestellten Zertifikate vertraut. Aber wie oben zu lesen ist, sind diese schönen Zeiten auch bald Geschichte.

                Beim Erzeugen einer neuen CA kann nichts kaputt gehen. Du solltest nur darauf achten, dass das Stammzertifikat ausreichend lange gültig ist. Bislang lässt sich des Stammzertifikat nicht erneuern, sollte aber in der 2.5er Version dann möglich sein.

                Das Zertifikat für die pfSense WebGUI lässt sich in System > Advanced > Admin Access > SSL Certificate festlegen. Das ändert sich nicht, wenn du eine CA oder Zertifikate hinzufügst.

                Grüße

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.