Autoriser certificat auto-signé pfsense (chromium /linux) (résolu)



  • Bonjour,

    désolé si ce sujet à peut être sa place dans un forum plus généralisé (réseau ou linux), mais il parle de pfsense.

    Contexte : Pfsense (2.1.4-RELEASE (i386)  a ce jour) en prod depuis sept/2013, niveau autodidacte

    **Besoin / Question :**Comment autoriser le certificat du firewall pfsense comme fiable dans chromium sous linux?

    Schéma :
        [pfsense]–-----(192.168.0.0/24)----------[switch 1]–--------------[switch 2]
    [dns forwarder]                                    serveur proxmox                client linuxA
                                                                  serveur sme8                  ubuntu 12.04

    Recherches : les sites suivant montre comment autoriser un certificat auto-signé sous linux:
    https://code.google.com/p/chromium/wiki/LinuxCertManagement
    http://ydal.de/trusting-self-signed-certificates-with-google-chrome-on-linux/
    https://stuffivelearned.org/doku.php?id=apps:chrome:sscert_import

    Commande utilisé:
    les ping de linuxA sur host pfsense / proxmox / sme8 fonctionne

    • Lister .pki/nssdb sur clientA
    $ certutil -d sql:$HOME/.pki/nssdb -L
    Certificate Nickname                                         Trust Attributes
                                                                 SSL,S/MIME,JAR/XPI
    
    • importer les certificats dans .pki/nssdb (répéter pour proxmox sme8 pfsense ainsi qu'avec les ip de chaques machines)
    openssl s_client -connect proxmox:443 -showcerts > proxmox
    certutil -d sql:$HOME/.pki/nssdb -A -t CP,,C -n "proxmox" -i proxmox
    
    • Lister .pki/nssdb sur clientA après importation
    ~$ certutil -d sql:$HOME/.pki/nssdb -L
    Certificate Nickname                                         Trust Attributes
                                                                 SSL,S/MIME,JAR/XPI
    proxmox                                                      CP,,C
    pfsense                                                      CP,,C
    sme8                                                         CP,,C
    
    

    Résultats:
    Seul proxmox m'afiche aucune erreur (cadena vert / entré directe) sous chromium
    pfsense et sme8 m'affiche une "erreur liée à la sécurité" et "votre connexion n'est pas privée"

    Cordialement



  • bon, je sais pas si c'est la meilleurs solution, mais sa fonctionne (que des experts me corrige)
    1/ vérifier  le domain (system - General Setup)
    Hostname : pfsense
    Domain : mydomain

    2/ Créer un certificat interne (system - cert manager - certificate)
    Descriptive name : pfsense.mydomain
    Certificate Type : Server Certificate
    Common Name : pfsense.mydomain

    3/ changer le certificat de webConfigurator (SSL Certificate : pfsense.mydomain)

    4/ importer le nouveau certificat avec certutil et se connecter à https://pfsense.mydomain



  • System > Cert Manager permet de créer une PKI 'interne' : certificat CA, certificats de serveur, certificats de users.
    Il est logique de remplacer le certificat du serveur web du pfSense créé automatiquement par un certificat créé dans cette PKI et d'importer celui-ci dans le PC qui accédera à l'administration.

    NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.



  • @jdh:

    NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.

    avec comme client  ubuntu c'est vrai pour firefox. par contre pour chromium (peut être chrome) on doit installer le certificat manuellement cf https://code.google.com/p/chromium/wiki/LinuxCertManagement
    pas testé sous windows


Log in to reply