WebGUI Zertifikatsfehler



  • Hallo zusammen,

    meine pfSense ist wie folgt eingerichtet:

    IP:  10.0.0.1
    Hostname:  PFS
    Domain:  mynet.lan

    Das Zertifikat pfSense WebGUI Cert habe ich auf meinem Windows 7 Notebook installiert.

    Der Zugriff auf https://10.0.0.1 klappt einwandfrei, mit https://PFS.mynet.lan bekomme ich einen Zertifikatsfehler! Wie kann ich das lösen?

    Danke vorab.

    esquire1968



  • Hallo!

    Damit der Browser nicht meckert, muss das Zertifikat auf den Hostnamen lauten, also der CN muss PFS.mynet.lan sein.

    Du musst dir also ein neues Zertifikat mit dem Hostnamen als CN erstellen. Dazu ist es aber nötig, erst eine CA einzurichten.
    Das geht alles in System > Cert Manager und ist anhand der Eingabefelder und der angeführten Beispiele leicht zu bewerkstelligen.
    Das Zertifikat muss dann noch in System > Advanced > WebConfigurator > SSL Certificate ausgewählt werden.

    Man kann das Zertifikat auch anderswo erstellen (lassen) und dann in pfSense über den Cert Manager importieren.



  • Danke sehr!

    Der Zugriff über https://PFS.mynet.lan klapp dann, jedoch habe ich das Zertifikatsproblem dann mit https://10.0.0.1.

    Beide Zugriffsarten in einem Zertifikat ist aber nicht möglich?!

    LG
    esquire1968



  • Beides in einem Zertifikat wäre auch möglich, aber pfSense kann solche Multidomain-Zertifikate nicht erstellen. Weiß nicht, ob es das sonst irgendwo für kein Geld gibt.

    Ich würde mir aber einfach PFS.mynet.lan auch im internen DNS anlegen und ausschließlich diese Adresse verwenden.


  • Rebel Alliance Moderator

    Beide Zugriffsarten in einem Zertifikat ist aber nicht möglich?!

    Jein. Wie virago schon gesagt hat, kann man solche Zertifikate erstellen, welche mehrere Domains (oder auch IPs) enthalten. Aber Zertifikate zeigen im Normalfall stets auf eine Domain, nur SEHR selten auf eine IP (wofür hat man dann DNS?).
    Es hängt davon ab was du erreichen willst, wie gesagt normalerweise sind Zertifikate nur auf Namen ausgestellt. Wenn es unbedingt MIT IP sein soll, musst du dir Zertifikate selbst erstellen und in pfSense importieren.

    Wenn dir self-signed eh genügt und du unbedingt auch IPs möchtest, kannst du das wie folgt anstellen (das hier ist jetzt auf der Command Line eines beliebigen Linux/Unix mit OpenSSL zu erledigen, Windows kann ich leider nicht anbieten :) )

    1: Erstelle deine SSL Konfiguration in der Datei "req.conf"

    (Nutze einen Editor deiner Wahl, also bspw.:)
    vi req.conf
    
    

    Dort kommt folgender Inhalt hinein:

    
    [ req ]
    default_bits = 2048
    prompt = no
    encrypt_key = no
    default_md = sha256
    distinguished_name = dn
    req_extensions = req_ext
    x509_extensions = req_ext
    
    [ dn ]
    CN = **pfs.mynet.lan**
    O = Company Name
    L = City
    ST = State
    C = DE
    0.OU= Organisation Unit
    
    [ req_ext ]
    subjectAltName = @alt_names 
    
    [ alt_names ]
    DNS.1=**pfs.external.address.de**
    IP.1=**10.0.0.1**
    
    

    Die fetten Werte sind die, die du im Zertifikat willst, und bei denen KEIN Fehler auftauchen soll. Willst du deine pfSense also vom internen Netz aber auch von außen via DynDNS bspw. aufrufen können, dann trage bei CN den Hauptnamen (intern) ein und bei DNS.1 bspw. den DynDNS Namen ein. Brauchst du noch mehr Namen, dann füge einfach DNS.2, DNS.3 etc. hinzu. Ebenso mit den IPs, auch hier einfach IP.2 oder IP.3 ergänzen.

    Das ganze dann speichernn.

    2: Erzeuge dein SSL Zertifikat aus der Konfiguration

    Anschließend lautet die openssl Command Line für das Erstellen des self-signed certificates wie folgt (mit Dauer 10 Jahren):

    
    openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout san_cert.key -out san_cert.pem -config req.conf
    
    

    Hier einfach erklärt: erstelle ein X509 Zertifikat (und nicht nur einen signing request) mit Dauer 3650 Tagen (~10 Jahre), erstelle dazu einen neuen Key mit RSA und 2048bit Keystärke und schreibe diesen in san_cert.key sowie das Zertifikat in san_cert.pem. Nutze ansonsten die Einstellungen aus der req.conf.

    3: Importiere Zertifikat in pfSense und Browser

    Hast du damit dein Zertifikat erstellt, importierst du den Key und das Zertifikat erst in die pfSense -> wählst es für die WebGUI aus und importierst es dann in deinen Browser. Danach sollte alles grün sein, egal ob IP oder DNS.

    Auf einer Seite wie bspw. => https://www.sslshopper.com/certificate-decoder.html  kannst du anschließend auch dein Zertifikat nach dem Erstellen mal testen, ob alle Werte auch sauber enthalten sind.

    Grüße
    -jens



  • Danke sehr!

    Ich werde das mal ausprobieren und melde mich.

    LG
    esquire1968


Log in to reply