Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ablauf Zertifikat

    Scheduled Pinned Locked Moved Deutsch
    16 Posts 6 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wkn
      last edited by wkn

      Ich habe in der pfSense eine Benachrichtigung bekommen, das das Zertifikat für den webConfigurator default in 28 Tagen (01.09.2022) abläuft.

      e22b6395-017d-4be1-98a5-5ddb0799aa17-grafik.png

      Was ist hier zu tun?

      fireodoF the otherT 2 Replies Last reply Reply Quote 0
      • fireodoF
        fireodo @wkn
        last edited by

        @wkn said in Ablauf Zertifikat:

        Ich habe in der pfSense eine Benachrichtigung bekommen, das das Zertifikat für den webConfigurator default in 28 Tagen (01.09.2022) abläuft.

        Um welche pfsense Version handelt es sich denn?

        Kettop Mi4300YL CPU: i5-4300Y @ 1.60GHz RAM: 8GB Ethernet Ports: 4
        SSD: SanDisk pSSD-S2 16GB (ZFS) WiFi: WLE200NX
        pfsense 2.8.0 CE
        Packages: Apcupsd, Cron, Iftop, Iperf, LCDproc, Nmap, pfBlockerNG, RRD_Summary, Shellcmd, Snort, Speedtest, System_Patches.

        W 1 Reply Last reply Reply Quote 0
        • the otherT
          the other @wkn
          last edited by

          @wkn Moinsen,
          Empfehle ich generell, dass default Zertifikat auszutauschen gegen ein eigenes, neu erstelltes...
          Das solltest du nun eh tun, da ja das default Zertifikat ausläuft.
          Dazu bietet sich der zertifikatemanager an...
          Also,
          System > cert. Manager > dort dann ggf. (falls noch nicht vorhanden) eigene ca aufsetzen und dann das Zertifikat als Server Zertifikat für die pfsense gui (aka webconfigurator) aufsetzen...
          :)

          the other

          pure amateur home user, no business or professional background
          please excuse poor english skills and typpoz :)

          W 1 Reply Last reply Reply Quote 0
          • W
            wkn @fireodo
            last edited by

            @fireodo

            pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

            fireodoF JeGrJ 2 Replies Last reply Reply Quote 0
            • W
              wkn @the other
              last edited by

              @the-other

              Ich habe für OVPN für die pfSense ein Server-Zertifikat, kann ich das da auch verwenden?

              1 Reply Last reply Reply Quote 0
              • fireodoF
                fireodo @wkn
                last edited by

                @wkn said in Ablauf Zertifikat:

                @fireodo

                pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

                Hmm, deswegen hatte ich gefragt ... bei mir (auch CE 2.6.0) : "Gültig bis: Sun, 03 Dec 2023 03:30:00 +0100"
                Merkwürdig ...
                Ich würde halt der Empfehlung von @the-other folgen ...

                Kettop Mi4300YL CPU: i5-4300Y @ 1.60GHz RAM: 8GB Ethernet Ports: 4
                SSD: SanDisk pSSD-S2 16GB (ZFS) WiFi: WLE200NX
                pfsense 2.8.0 CE
                Packages: Apcupsd, Cron, Iftop, Iperf, LCDproc, Nmap, pfBlockerNG, RRD_Summary, Shellcmd, Snort, Speedtest, System_Patches.

                the otherT 1 Reply Last reply Reply Quote 0
                • the otherT
                  the other @fireodo
                  last edited by

                  @fireodo Moinsen,
                  Vielleicht absichtlich, damit eben mit etwas äähh...pädagogischem Druck die Nutzer*In dazu gebracht wird, ein neues eigenes anzulegen und nicht "mach ich bald" also nie...

                  the other

                  pure amateur home user, no business or professional background
                  please excuse poor english skills and typpoz :)

                  W 1 Reply Last reply Reply Quote 2
                  • W
                    wkn @the other
                    last edited by

                    @the-other

                    So, neues Server-Zertifikat erzeugt und getauscht, scheint zu funktionieren.

                    Danke für den Tipp.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @wkn
                      last edited by

                      @wkn said in Ablauf Zertifikat:

                      @fireodo

                      pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

                      Nein, deine Konfig bleibt natürlich die Selbe und die Zertifikate werden auch nicht einfach abgeändert. Das wäre auch fatal, wenn jemand bspw. das Zertifikat bei sich im Browser gepinnt oder importiert hat, wenn da beim Update einfach ein neues erstellt werden würde.

                      Du kannst aber das hier einfach mit klick auf den renew Button (runder Pfeil) erneuern - da spricht nichts gegen.
                      Oder eben eine eigene CA mit längerer Laufzeit aufsetzen und ein Zert mit ebenfalls längerer Zeit erstellen und zuweisen. Geht beides.

                      @wkn said in Ablauf Zertifikat:

                      Ich habe für OVPN für die pfSense ein Server-Zertifikat, kann ich das da auch verwenden?

                      Nein das solltest du nicht tun!

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      W 1 Reply Last reply Reply Quote 0
                      • W
                        wkn @JeGr
                        last edited by

                        @jegr

                        Habe ja nun auch ein extra Server-Zertifikat quasi für die pfSense selbst angelegt, alles gut.

                        1 Reply Last reply Reply Quote 0
                        • P
                          pixel24
                          last edited by

                          Hallo zusammen,

                          ich hatte auf einer pfSense 2.6.0 das gleiche Problem. Lediglich mit dem Unterschied dass das Zertifikat bzw. die CA bereits abgelaufen war. Ich habe dann zuerst bei der CA und anschließend bei dem Zertifikat für die Webconfig auf Renew geklickt. Anschließend habe ich die pfSense neu gestartet. Nun komme ich nicht mehr auf das Webinterface:

                          5ee7b552-6b64-4851-b93b-88c622073525-grafik.png

                          lässt sich das irgendwie beheben?

                          Beste Grüße

                          V 1 Reply Last reply Reply Quote 0
                          • V
                            viragomann @pixel24
                            last edited by

                            @pixel24
                            Hallo,

                            hast du den Zugriff auch mit einem anderen Browser versucht?

                            Eventuell ist der Zertifikatsspeicher im Browser beschädigt, oder er stellt sich quer, weil er eine Ausnahme für die Adresse hat und die CA für die Ausnahme sich nun geändert hat.
                            In letzterem Fall könntest es helfen, einfach in den Browser-Einstellungen die Ausnahme zu löschen und eine neue zu setzen.

                            Falls nichts hilft, gehe in die Console, IP-Konfiguration und deaktiviere vorübergehend HTTPS.

                            P 1 Reply Last reply Reply Quote 0
                            • P
                              pixel24 @viragomann
                              last edited by

                              @viragomann Prima, Danke! Hat funktioniert.

                              V 1 Reply Last reply Reply Quote 0
                              • V
                                viragomann @pixel24
                                last edited by

                                @pixel24 said in Ablauf Zertifikat:

                                Prima, Danke! Hat funktioniert.

                                Schön. Für die Nachwelt wäre es noch hilfreich, wenn du auch verraten würdest, was genau den Erfolg gebracht hat.

                                P 1 Reply Last reply Reply Quote 0
                                • P
                                  pixel24 @viragomann
                                  last edited by

                                  @viragomann said in Ablauf Zertifikat:

                                  Schön. Für die Nachwelt wäre es noch hilfreich, wenn du auch verraten würdest, was genau den Erfolg gebracht hat.

                                  Klar, hast Recht. Da das manuelle entfernen der Ausnahmen in den Firefox-Einstellungen nicht funktioniert hat habe ich Firefox mit gehaltener [Shift]-Taste gestartet und "Firefox bereinigen" gewählt. Danach hat es funktioniert.

                                  JeGrJ 1 Reply Last reply Reply Quote 1
                                  • JeGrJ
                                    JeGr LAYER 8 Moderator @pixel24
                                    last edited by

                                    Sollte ansonsten mal bei Zertifikaten - gerade bei aktivem HSTS - ein Zertifikat ablaufen und der Browser möchte dann die WebUI nicht mehr anzeigen (weil HSTS und abgelaufenes Zert in Chrome based Browsern bspw. nicht "weiter" geht), kann man das in Chrome(ium) Browsers "überbrücken":

                                    Zu testen: https://badssl.com/

                                    bspw. revoked auswählen. Firefox kann man hier noch zum "weiter" überreden, Chrome/-iums nicht.

                                    b2b505b5-0c74-4a2d-9b71-220090a7195d-image.png
                                    (weitermachen fehlt hier!)

                                    Die kann man dafür aber "übersteuern" indem man auf solchen Seiten einfach ohne irgendeinen Fokus zu haben (also nicht URL Zeile o.ä. markieren) einfach tippt:

                                    thisisunsafe

                                    und zack wird die Seite doch geladen:

                                    fc344c96-071d-4de3-9a76-1dc713e0f4d6-image.png

                                    Hier im Beispiel mit "Chromium Edge" getestet, geht aber auch mit Brave, Chrome, etc. Das Keyword thisisunsafe ist als override für SSL fix im Browser verankert. Muss einfach in einem Wort ohne große Pause o.ä. am Stück (nur Kleinbuchstaben) im entsprechenden Tab einfach getippt werden. Einfach ausprobieren und für den Notfall im Hinterkopf haben 😄

                                    Cheers

                                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                    1 Reply Last reply Reply Quote 3
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.