Zertifikate von der pfSense automatisch auf internen Host kopieren
-
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Müssen die Streams überhaupt verschlüsselt sein?
Ja, das gibt Jellyfin so vor.
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Oder müssen sie überhaupt über die pfSense erreichbar sein?
Ja klar, die Jellyfin App auf dem Handy soll ja auch in der freien Wildbahn funktionieren.
Wir kommen jetzt sehr weit von der Frage weg. Nein, es funktioniert so nicht. Ich habe mit den Entwicklern im Chat viel darüber diskutiert. Mit der alten Version hat es mal funktioniert. Jellyfin braucht ein richtiges LE-Zertifikat und da ich mit ACME auf der pfSense ja diese schon habe liegt es einfach nahe dieses beim Renew auf dem Mediaserver zu übertragen.
-
Nachtrag: Bei Nutzung von Jellyfin über den Webbrowser ist das alles kein Problem. Mit dem Jellyfin-PlugIn für Kodi schon
-
@pixel24
Okay, dann wär ich bei @Bob-Dig und frag mich warum es ein Problem sein soll, alles über die pfSense laufen zu lassen.
Hast du ein paar Streams parallel laufen.Für den Fall, dass du direkt auf den Kodi Server zugreifen musst, und da die Zertifikate brauchst, wurden auch schon Vorschläge gegeben.
Die Zertifikate und prviate Keys kann man per SSH von der pfSense kopieren. Du musst sie aber auch am Server importieren können.
Alternativ kannst du eben eine interne CA mit länger gültigen Zertifikaten als LE verwenden. -
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Okay, dann wär ich bei @Bob-Dig und frag mich warum es ein Problem sein soll, alles über die pfSense laufen zu lassen.
Hast du ein paar Streams parallel laufen.Genau, es hängen an mehreren TV's kleine Kodi-Boxen und da wird die pfSense zum Nadelöhr
-
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Für den Fall, dass du direkt auf den Kodi Server zugreifen musst, und da die Zertifikate brauchst, wurden auch schon Vorschläge gegeben.
Die Kodi-Boxen selbst haben gar keine Inhalte. Die liegen alle auf dem Jellyfin-Server
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Die Zertifikate und prviate Keys kann man per SSH von der pfSense kopieren. Du musst sie aber auch am Server importieren können.
Das war die eigentliche Frage. Ob man diese irgendwie automatisieren kann.
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Alternativ kannst du eben eine interne CA mit länger gültigen Zertifikaten als LE verwenden.
Wie bereits geschrieben. Jellyfin-Kodi-PlugIn und self-signed funktioniert nicht.
-
@pixel24
Also pfSense stellt dir nichts dafür bereit. Wie gesagt, du kannst die Zertifikate und Keys per SSH (SCP) woanders hin kopieren, entweder von pfSense aus oder von einer anderen Maschine.
Das Einzeiler-Script dafür musst du allerdings selbst schreiben und einen Cron-Job erstellen.Die Annahme ist aber, dass die Zertifikate auf der pfSense auch von einem HAproxy Frontend verwendet werden. Dann liegen sie in /var/etc/haproxy/<Frontend>/ als .pem File.
Wenn nicht, hast du eher schlechte Karten. Dann werden sie nur in /conf/config.xml codiert gespeichert. Extrahieren und in ein verwendbares Format umwandeln wäre etwas komplizierter.Rein als ACME Client für andere Geräte ist pfSense eben nicht geeignet.
Ein certbot läuft aber vermutlich auch auf Ubuntu ganz gut. -
ok dank. Ich denke ich habe eine Möglichkeit gefunden. Ich teste das.
-
Ich mache lets encrypt direkt auf den Hosts, alles andere ist mir zu kompliziert.
-
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Wenn nicht, hast du eher schlechte Karten. Dann werden sie nur in /conf/config.xml codiert gespeichert. Extrahieren und in ein verwendbares Format umwandeln wäre etwas komplizierter.
Das stimmt so nicht.
Das ACME Plugin stellt in seinen General Settings die Funktionalität problemlos zur Verfügung. Anhaken und dann einfach aus /conf/acme die Zertifikate per SSH auf die Ubuntu Möhre ziehen ist da überhaupt kein Problem, egal ob HAproxy oder nicht. Das kann ACME schon seit langem, es wird nur gern übersehen :)
Die Zertifikate liegen dort alle "flach" im Verzeichnis nebeneinander und haben als Namen den gleichen, den sie in der UI als Name haben. Also bspw. TestCert als Name erzeugt hier
TestCert.all.pemTestCert.caTestCert.crtTestCert.keysowieTestCert.fullchainsind alle vorhanden und können genutzt werden.Cheers
-
@jegr said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
Das stimmt so nicht.
Das ACME Plugin stellt in seinen General Settings die Funktionalität problemlos zur Verfügung. Anhaken und dann einfach aus /conf/acme die Zertifikate per SSH auf die Ubuntu Möhre ziehen ist da überhaupt kein Problem, egal ob HAproxy oder nicht. Das kann ACME schon seit langem, es wird nur gern übersehen :)Okay, kenne ich nicht und kann das nicht bestätigen. Habe das ACME Package noch nie verwendet und bin vom Standardverhalten der pfSense ausgegangen.
-
@jegr Jeb, das hatte ich gefunden und auch so umgesetzt. Funktioniert. die PF kopiert die Zertifikate beim "erneuern" auf den Zielhost und der NGINX benutzt diese einfach. Jetzt läuft das mit parallelen Streams im LAN deutlich besser.
-
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
und bin vom Standardverhalten der pfSense ausgegangen.
Hmmm:
@pixel24 said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
meine pfSense kümmert sich mit acme um die LE-Zertifikate.
-
@pixel24 said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
@viragomann said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
und bin vom Standardverhalten der pfSense ausgegangen.
Hmmm:
@pixel24 said in Zertifikate von der pfSense automatisch auf internen Host kopieren:
meine pfSense kümmert sich mit acme um die LE-Zertifikate.
Bitte nicht Satzteile herauspicken, um die Wahrheit zu verdrehen! Der ganze Satz oben lautet
Habe das ACME Package noch nie verwendet und bin vom Standardverhalten der pfSense ausgegangen.
-
Bitte jetzt nicht anfangen euch gegenseitig hier anzugehen.
a) ist die Intention in Textform immer schwerer zu verstehen wenn man die Person nicht hört oder sieht
b) muss man da jetzt nicht auf einer Aussage herumreiten oder die in Frage stellen. Es kann nicht jeder alles wissen, dazu sind Produkte inzwischen einfach viel zu komplex und dafür gibt es Austauschplattformen wie diese, um vom Wissen Vieler zu profitieren.Ich kannte auch schon spezifische Punkte nicht, bei denen mich @viragomann, @slu oder @NOCling bspw. abgeholt haben. Wenns mit meinem Hinweis nun funktioniert - umso besser :)
Cheers
