question sur certificat dans PfSense
-
@jdh
je ne suis pas angoissé, mais, meme si je m'investi ennormement sur d'autres forum (4x4) pour aider, j'ai toujours l'impression de déranger et de faire perdre du temps.
de plus, je souhaite vraiment comprendre le principe, donc, je vous remercie du temps que vous m'accordé (je trouve que l'on progresse plus en cherchant qu'en trouvant une solution toute faite), mais je ne voudrais pas passer pour un boulet.je vais aller lire ces docs
j'ai chercher pas mal de tuto sur le net également.Je pense avoir (a peu pret) compris le principe du certificat et des validation par les autorités, mais je coince un peu avec le step by step de PfSense
-
@chris4916 said in question sur certificat dans PfSense:
donc tu peux commencer à signer des CSR pur tes différents serveurs directement avec le root CA.
Un CSR, c'est quoi ? c'est une clé privée + une clé publique. Cette paire de clé est normalement générée sur le serveur qui va utiliser (présenter) ce certificat.
lorsque tu fais signer ton CSR, c'est la clé publique (uniquement) que tu envoies à la PKI pour signature. La clé privée, dans le meilleur des cas, ne quitte pas le serveur.le certificat non signé doit etre generé par le serveur Web? Pas par PfSense?
Et PfSense doit le signer c'est ça?
si dc'est bien ça, je n'avais pas compris comme ça et je pensais avoir compris que PfSens generait les certificat, les signait et ensuite on les exportait sur le serveur web
un peu perdu sur le coup
-
@zeverybest
J'ai joué avec le GUI de pfSense et je comprends maintenant ton problème, du moins je le crois.
Je suppose que tu t'attends, lorsque ta CSR est signée, que cette CSR se transforme en certificat.
Il n'est est rien.
La demande de signature reste une demande. Si tu ne la supprimes pas, une fois la demande signée, tu vas avoir d'un coté la demande, qui reste en état et de l'autre un certificat.
ce n'est pas un problème -
@zeverybest said in question sur certificat dans PfSense:
le certificat non signé doit etre generé par le serveur Web? Pas par PfSense?
Et PfSense doit le signer c'est ça?
si dc'est bien ça, je n'avais pas compris comme ça et je pensais avoir compris que PfSens generait les certificat, les signait et ensuite on les exportait sur le serveur web
un peu perdu sur le couptout ça fonctionne. Soit tu fais ta CSR sur le serveur et tu l'importe dans pfSense, soit tu la fais sur pfsense et tu exportes le certificat signé en t'assurant qu'il contient bien la clé privée, vers ton serveur
-
Ce fil est bien long : franchement BEAUCOUP a été écrit, tant sur les outils que sur les concepts. Il reste la lecture de bons liens : les tutos ne sont utiles que si on connait les principes, et un tuto 'ça s'adapte'. Il reste à 'maturer' : moi, je lis plusieurs fois, puis série de chapitre après série, ... Il reste à se lancer.
Je préconise la gestion intégrée : c'est (très) simple (pas de CSR, .....).
Quand vous serez en responsabilité, ...
-
@jdh
oui bien sûr on peut directement générer un certificat "interne" qu'on exporte ensuite mais ça perd de son intérêt didacticiel qui me semblait être l'objectif initial.
Au passage d'ailleurs, le bon outil pour apprendre, c'est openSSL -
desolé de prendre encore de votre temps
je progresse (petit a petit )j'ai créée une CA root
j'ai créée une CA intermediaire (je sais que ce n'est pas necessaire, mais l'ideale etant de comprendre l'integralité de la cahine)
j'ai créée un certificat validé par la CA intermédiaire (certificat pour la connexion en https a PfSense)je suis allé sur mon controleur de domaine pour ajouter mon certificat de CA root dans le gestionnaire de strategie de groupe (dans la strategie de mon domaine)
lorsque je browse l'adresse de mon PfSense, il m'indique toujours que ce n'est pas un site de confiance, alors que si je click sur les infos du certificat dans la barre d'URL, il n'y a plus aucune marques rouge sur le certificat du CA root (depuis mon contrôleur de domaine
mais cette marque rouge sur le CA root est encore presente depuis les autres machines du reseau)
j'ai raté un truc? -
@zeverybest
Il faut que TOUS les clients de ton serveur aient un trust de la CA. -
@chris4916
alors il y a un truc que je n'ai pas compris.
d'apres ce que j'avais copris, le CA root ayant ete validé de "confiance" pourle domaine, la certificat du serveur web ayant ete generé par le CA intermediaire, lui meme validé par le CA root, ça devrait passer.De plus, si j'utilise le navigateur de mon controleur de domaine (sur lequel j'ai trusté le CA root) il n'y a plus aucun drapeau sur le certificat, mais la page web me previent quand meme que ce n'est pas un site de confiance
j'ai testé la meme chose pour ajouter le certificat a un serveur web microsoft (IIS) mais il me demande un fichier .pfx.
du coup, il ne me montre pas l'arborecense CA root / CA intermediaire / certificat
je le trouve ou ce .pfx ? -
Bon, j'ai plutot bien avancé sur le sujet et je voudrais tous vous remercier du temps que vous m'avez accordé.
tout fonctionne très bien.
pour les machines dans le domaine, c'est nickel.
seul interrogation, malgré un certificat valide, l'ouverture de la page web depuis le contrôleur de domaine continuait a m'afficher le message (site pas de confiance), mais des le lendemain et sans action de ma part, ça a disparu (le cache du navigateur ??)pour une machine hors domaine, j'ai ajouter le CA Root dans les stratégies local et ça fonctionne
j'ai meme réussi (en convertissant les fichier auto signé PFX d'un serveur IIS a les signer et les re importer
un grand pas en avant
Encore merci a tous