Problema con certificati ACME
-
Ciao a tutti.
Usiamo pfsense da qualche anno su 3 sedi distinte.
L'accesso al web dalle singole sedi è gestito tramite una pagina di login e relativo captive portal.
La pagina è in https e i certificati sono quelli gratuiti di ACME che scadono ogni 3 mesi.
Dal rinnovo di dicembre però, sulle due sedi esterne, non riesco più a far accettare la pagina di login come sicura e i browser me la bloccano. A volte riesco a dirgli di aggiungere un'eccezione e riesco a farla raggiungere ma a volte non c'è verso.
I certificati sono gestiti e rinnovati tutti dalla macchina della sede centrale che è l'unica che esce sul web con l'ip del nostro dominio e quindi viene riconosciuta come attendibile.
Sulle due macchine pfsense delle sedi esterne ho sempre importato manualmente i certificati copiando le due parti che li compongono ed è sempre andato tutto bene.
I certificati vengono correttamente rinnovati dalla macchina centrale e non mi da errori e anche l'importazione sulle due macchine esterne non da errori.
Ma da dicembre gennaio non c'è più stato verso di far aprire la pagina di login di captive portal sulle due sedi esterne, mentre sulla sede centrale tutto va bene.
Ad eccezione dell'errore sui certificati della pagina di login non ci sono problemi e tutto funziona.
Grazie a tutti se qualcuno vorrà aiutarmi. -
@claudio-gallix
forse intendevi certificati letsencrypt comunque,
prova a cancellare e a re-importare i certificati, assicurati della scadenza, che il nome host/dominio dei pfsense remoti siano correttamente inseriti nel certificato, verifica che la data/ora nei pfsense remoti siano giusti -
Si scusate...
Da dove verifico che il nome host/dominio sia inserito correttamente nel certificato?
Le date sono ok. -
Per quanto riguarda cancellare e rimettere i certificati ho provato già 3 o 4 volte.
Tra l'altro mi ero registrato quando lo avevo fatto una volta a novembre in modo da avere un riscontro sui passaggi corretti in caso di necessità e i passaggi sono esattamente quelli.Unica cosa strana accadata a dicembre la macchina centrale era morta e l'avevamo restorata su nuovo hardware da un backup, ci potrebbe essere qualche pezzo che si è perso per strada da verificare?
-
@claudio-gallix
può essere che hai perso per strada qualcosa se il backup non era aggiornato, devi verificare la configurazione di acme sotto Services / Acme / Certificate options: Edit deve esserci anche il nome delle altre macchine -
@kiokoman a occhio c'è tutto...
Mi dice anche quando son stati rinnovati l'ultima volta ecc.
Ma sulle sedi esterne non vanno...mentre sulla sede centrale si.
-
Se volessi rifarli da zero esiste una qualche guida in merito?
-
@claudio-gallix, ma sei sicuro che il problema siano i certificati? Qual'é l'errore esatto che riscontri? Prova a postare uno screenshot
Ciao Fabio -
e niente praticamente dalla rete della sede centrale se aprono un browser web gli apre correttamente la pagina del captive portal, dalle sedi esterne invece puntano correttamente all'indirizzo della pagina del captive portal ma la pagina non viene aperta dai vari browser perchè non è riconosciuta come sicura.
L'unico che ti lascia procedere è edge che dicendogli avanzate- > continua sul sito non sicuro
apre la pagina. -
@claudio-gallix
riesci a fare uno screenshot di cosa ti dice ? i codici di errore e la dicitura esatta sono importanti -
-
@claudio-gallix
forse non hai importato il CAs (Certificate Authority) oltre al certificato? -
@kiokoman non credo, io quando importo il certificato faccio due operazioni.
prima me li scarico dalla sede centrale facendo click sulla chiave e su quella specie di coccarda.
Poi li apro come file di testo e sulle sedi esterne li importo con copia incolla...come nell'immagine sotto.
Ho sempre fatto così e ha sempre funzionato tutto...fino alla scadenza di dicembre che ho rinnovato i primi giorni di gennaio.
-
@kiokoman il CAs l'ho verificato ora è identico su tutte le sedi e valido fino al 2025...
-
@claudio-gallix
sul captive portal sotto https
SSL/TLS Certificate
hai selezionato il certificato giusto? -
@kiokoman yes
