Ablauf Zertifikat

wkn

Ich habe in der pfSense eine Benachrichtigung bekommen, das das Zertifikat für den webConfigurator default in 28 Tagen (01.09.2022) abläuft.

Was ist hier zu tun?

fireodo

@wkn said in Ablauf Zertifikat:

Ich habe in der pfSense eine Benachrichtigung bekommen, das das Zertifikat für den webConfigurator default in 28 Tagen (01.09.2022) abläuft.

Um welche pfsense Version handelt es sich denn?

the other

@wkn Moinsen,
Empfehle ich generell, dass default Zertifikat auszutauschen gegen ein eigenes, neu erstelltes...
Das solltest du nun eh tun, da ja das default Zertifikat ausläuft.
Dazu bietet sich der zertifikatemanager an...
Also,
System > cert. Manager > dort dann ggf. (falls noch nicht vorhanden) eigene ca aufsetzen und dann das Zertifikat als Server Zertifikat für die pfsense gui (aka webconfigurator) aufsetzen...
:)

wkn

@fireodo

pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

wkn

@the-other

Ich habe für OVPN für die pfSense ein Server-Zertifikat, kann ich das da auch verwenden?

fireodo

@wkn said in Ablauf Zertifikat:

@fireodo

pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

Hmm, deswegen hatte ich gefragt ... bei mir (auch CE 2.6.0) : "Gültig bis: Sun, 03 Dec 2023 03:30:00 +0100"
Merkwürdig ...
Ich würde halt der Empfehlung von @the-other folgen ...

the other

@fireodo Moinsen,
Vielleicht absichtlich, damit eben mit etwas äähh...pädagogischem Druck die Nutzer*In dazu gebracht wird, ein neues eigenes anzulegen und nicht "mach ich bald" also nie...

wkn

@the-other

So, neues Server-Zertifikat erzeugt und getauscht, scheint zu funktionieren.

Danke für den Tipp.

JeGr

@wkn said in Ablauf Zertifikat:

@fireodo

pfSense CE 2.6.0. Hätte gedacht, das Zertifikate mit neueren Versionen so angepasst werden, das sie lange genug gültig bleiben.

Nein, deine Konfig bleibt natürlich die Selbe und die Zertifikate werden auch nicht einfach abgeändert. Das wäre auch fatal, wenn jemand bspw. das Zertifikat bei sich im Browser gepinnt oder importiert hat, wenn da beim Update einfach ein neues erstellt werden würde.

Du kannst aber das hier einfach mit klick auf den renew Button (runder Pfeil) erneuern - da spricht nichts gegen.
Oder eben eine eigene CA mit längerer Laufzeit aufsetzen und ein Zert mit ebenfalls längerer Zeit erstellen und zuweisen. Geht beides.

@wkn said in Ablauf Zertifikat:

Ich habe für OVPN für die pfSense ein Server-Zertifikat, kann ich das da auch verwenden?

Nein das solltest du nicht tun!

wkn

@jegr

Habe ja nun auch ein extra Server-Zertifikat quasi für die pfSense selbst angelegt, alles gut.

pixel24

Hallo zusammen,

ich hatte auf einer pfSense 2.6.0 das gleiche Problem. Lediglich mit dem Unterschied dass das Zertifikat bzw. die CA bereits abgelaufen war. Ich habe dann zuerst bei der CA und anschließend bei dem Zertifikat für die Webconfig auf Renew geklickt. Anschließend habe ich die pfSense neu gestartet. Nun komme ich nicht mehr auf das Webinterface:

lässt sich das irgendwie beheben?

Beste Grüße

viragomann

@pixel24
Hallo,

hast du den Zugriff auch mit einem anderen Browser versucht?

Eventuell ist der Zertifikatsspeicher im Browser beschädigt, oder er stellt sich quer, weil er eine Ausnahme für die Adresse hat und die CA für die Ausnahme sich nun geändert hat.
In letzterem Fall könntest es helfen, einfach in den Browser-Einstellungen die Ausnahme zu löschen und eine neue zu setzen.

Falls nichts hilft, gehe in die Console, IP-Konfiguration und deaktiviere vorübergehend HTTPS.

pixel24

@viragomann Prima, Danke! Hat funktioniert.

viragomann

@pixel24 said in Ablauf Zertifikat:

Prima, Danke! Hat funktioniert.

Schön. Für die Nachwelt wäre es noch hilfreich, wenn du auch verraten würdest, was genau den Erfolg gebracht hat.

pixel24

@viragomann said in Ablauf Zertifikat:

Schön. Für die Nachwelt wäre es noch hilfreich, wenn du auch verraten würdest, was genau den Erfolg gebracht hat.

Klar, hast Recht. Da das manuelle entfernen der Ausnahmen in den Firefox-Einstellungen nicht funktioniert hat habe ich Firefox mit gehaltener [Shift]-Taste gestartet und "Firefox bereinigen" gewählt. Danach hat es funktioniert.

JeGr

Sollte ansonsten mal bei Zertifikaten - gerade bei aktivem HSTS - ein Zertifikat ablaufen und der Browser möchte dann die WebUI nicht mehr anzeigen (weil HSTS und abgelaufenes Zert in Chrome based Browsern bspw. nicht "weiter" geht), kann man das in Chrome(ium) Browsers "überbrücken":

Zu testen: https://badssl.com/

bspw. revoked auswählen. Firefox kann man hier noch zum "weiter" überreden, Chrome/-iums nicht.

(weitermachen fehlt hier!)

Die kann man dafür aber "übersteuern" indem man auf solchen Seiten einfach ohne irgendeinen Fokus zu haben (also nicht URL Zeile o.ä. markieren) einfach tippt:

thisisunsafe

und zack wird die Seite doch geladen:

Hier im Beispiel mit "Chromium Edge" getestet, geht aber auch mit Brave, Chrome, etc. Das Keyword thisisunsafe ist als override für SSL fix im Browser verankert. Muss einfach in einem Wort ohne große Pause o.ä. am Stück (nur Kleinbuchstaben) im entsprechenden Tab einfach getippt werden. Einfach ausprobieren und für den Notfall im Hinterkopf haben

Cheers