Autoriser certificat auto-signé pfsense (chromium /linux) (résolu)

jackos

Bonjour,

désolé si ce sujet à peut être sa place dans un forum plus généralisé (réseau ou linux), mais il parle de pfsense.

Contexte : Pfsense (2.1.4-RELEASE (i386)  a ce jour) en prod depuis sept/2013, niveau autodidacte

**Besoin / Question :**Comment autoriser le certificat du firewall pfsense comme fiable dans chromium sous linux?

Schéma :
    [pfsense]–-----(192.168.0.0/24)----------[switch 1]–--------------[switch 2]
[dns forwarder]                                    serveur proxmox                client linuxA
                                                              serveur sme8                  ubuntu 12.04

Recherches : les sites suivant montre comment autoriser un certificat auto-signé sous linux:
https://code.google.com/p/chromium/wiki/LinuxCertManagement
http://ydal.de/trusting-self-signed-certificates-with-google-chrome-on-linux/
https://stuffivelearned.org/doku.php?id=apps:chrome:sscert_import

Commande utilisé:
les ping de linuxA sur host pfsense / proxmox / sme8 fonctionne

• Lister .pki/nssdb sur clientA

$ certutil -d sql:$HOME/.pki/nssdb -L
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

• importer les certificats dans .pki/nssdb (répéter pour proxmox sme8 pfsense ainsi qu'avec les ip de chaques machines)

openssl s_client -connect proxmox:443 -showcerts > proxmox
certutil -d sql:$HOME/.pki/nssdb -A -t CP,,C -n "proxmox" -i proxmox

• Lister .pki/nssdb sur clientA après importation

~$ certutil -d sql:$HOME/.pki/nssdb -L
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
proxmox                                                      CP,,C
pfsense                                                      CP,,C
sme8                                                         CP,,C

Résultats:
Seul proxmox m'afiche aucune erreur (cadena vert / entré directe) sous chromium
pfsense et sme8 m'affiche une "erreur liée à la sécurité" et "votre connexion n'est pas privée"

Cordialement

jackos

bon, je sais pas si c'est la meilleurs solution, mais sa fonctionne (que des experts me corrige)
1/ vérifier  le domain (system - General Setup)
Hostname : pfsense
Domain : mydomain

2/ Créer un certificat interne (system - cert manager - certificate)
Descriptive name : pfsense.mydomain
Certificate Type : Server Certificate
Common Name : pfsense.mydomain

3/ changer le certificat de webConfigurator (SSL Certificate : pfsense.mydomain)

4/ importer le nouveau certificat avec certutil et se connecter à https://pfsense.mydomain

jdh

System > Cert Manager permet de créer une PKI 'interne' : certificat CA, certificats de serveur, certificats de users.
Il est logique de remplacer le certificat du serveur web du pfSense créé automatiquement par un certificat créé dans cette PKI et d'importer celui-ci dans le PC qui accédera à l'administration.

NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.

jackos

@jdh:

NB : au premier accès à l'interface de pfSense en mode https, le navigateur propose d'enregistrer le certificat initial : en l'enregistrement immédiatement, le navigateur ne proposera plus d'alerte non plus.

avec comme client  ubuntu c'est vrai pour firefox. par contre pour chromium (peut être chrome) on doit installer le certificat manuellement cf https://code.google.com/p/chromium/wiki/LinuxCertManagement
pas testé sous windows