Problema con certificato locale

senseiluke

Ciao,
Seguendo questo tutorial:

https://www.ceos3c.com/pfsense/pfsense-generate-ssl-certificate-https-pfsense/

disponibile anche il video:
https://www.youtube.com/watch?v=6XMZ0gUZeTc

Ho creato i certificati. Ho importato il root in firefox come indicato.
Collegandosi alla vecchia maniera con l'IP (io mi collego dalla WAN di pfsense) adesso la pagina sembra protetta: il lucchetto è chiuso e se ci clicco sopra vedo la scritta in verde "connessione sicura" (connessione verificata ma non riconosciuta da Mozilla), ma il colore del lucchetto è grigio e non verdo come mostrato nel video. Che significa.
Problema però ancora più importante riesco ad accedere solo con l'IP se inserisco il l'FQDN
mi da errore:
"non riusciamo a trovare questo sito.
Non è possibile contattare il server www.senseluke.localdomain."
eppure ricordo di averlo aggiunto per prima durante le impostazione per la creazione del certificato. Per fortuna avevo aggiunto anche gli IP come suggerito nel tutorial.
Quale può essere il problema?
Grazie

fabio.vigano

@senseiluke mi sa che stai facendo un po' di confusione

1. per raggiungere il tuo pfsense con un nome a dominio o fqdn (www.senseluke.localdomain) devi avere un dns nella rete che risolva il nome e lo trasformi in IP
2. di norma il certificato viene emesso su un certo FQDN che viene riportato nel campo CN del certificato
3. quando accedi al firewall con il suo FQDN ed hai un certificato installato, viene fatta una verifica se il nome inserito nel browser corrisponde al CN del certificato installato sul firewall, se coincidono la comunicazione è sicura e non hai nessun messaggio di sicurezza
4. il colore del lucchetto dipende anche dal tipo di certificato, se te lo sei generato da solo non è molto attendibile quindi la comunicazione avviene in modo sicuro (lucchetto chiuso) ma in quanto ad autorevolezza fa un po'acqua, è come se ti stampassi una carta d'identità da solo, magari il nome è giusto ma me lo dici tu che non sei ne ufficiale anagrafe ne notaio.

Spero di aver reso l'idea e fatto chiarezza.

Ciao fabio

senseiluke

@fabio-vigano said in Problema con certificato locale:

@senseiluke mi sa che stai facendo un po' di confusione

1. per raggiungere il tuo pfsense con un nome a dominio o fqdn (www.senseluke.localdomain) devi avere un dns nella rete che risolva il nome e lo trasformi in IP
2. di norma il certificato viene emesso su un certo FQDN che viene riportato nel campo CN del certificato
3. quando accedi al firewall con il suo FQDN ed hai un certificato installato, viene fatta una verifica se il nome inserito nel browser corrisponde al CN del certificato installato sul firewall, se coincidono la comunicazione è sicura e non hai nessun messaggio di sicurezza
4. il colore del lucchetto dipende anche dal tipo di certificato, se te lo sei generato da solo non è molto attendibile quindi la comunicazione avviene in modo sicuro (lucchetto chiuso) ma in quanto ad autorevolezza fa un po'acqua, è come se ti stampassi una carta d'identità da solo, magari il nome è giusto ma me lo dici tu che non sei ne ufficiale anagrafe ne notaio.

Spero di aver reso l'idea e fatto chiarezza.

Ciao fabio

1. beh il dns del mikrotik dovrebbe andare bene. Deve aggiungere quindi un record "static" nel server DNS. Appena possibile provo
   2 e 3) è possibile verificare questo campo CN se è stato introdotto correttamente nel certificato?
2. capito :-)

Grazie

senseiluke

This post is deleted!