Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    WebGUI Zertifikatsfehler

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 3 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      esquire1968
      last edited by

      Hallo zusammen,

      meine pfSense ist wie folgt eingerichtet:

      IP:  10.0.0.1
      Hostname:  PFS
      Domain:  mynet.lan

      Das Zertifikat pfSense WebGUI Cert habe ich auf meinem Windows 7 Notebook installiert.

      Der Zugriff auf https://10.0.0.1 klappt einwandfrei, mit https://PFS.mynet.lan bekomme ich einen Zertifikatsfehler! Wie kann ich das lösen?

      Danke vorab.

      esquire1968

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo!

        Damit der Browser nicht meckert, muss das Zertifikat auf den Hostnamen lauten, also der CN muss PFS.mynet.lan sein.

        Du musst dir also ein neues Zertifikat mit dem Hostnamen als CN erstellen. Dazu ist es aber nötig, erst eine CA einzurichten.
        Das geht alles in System > Cert Manager und ist anhand der Eingabefelder und der angeführten Beispiele leicht zu bewerkstelligen.
        Das Zertifikat muss dann noch in System > Advanced > WebConfigurator > SSL Certificate ausgewählt werden.

        Man kann das Zertifikat auch anderswo erstellen (lassen) und dann in pfSense über den Cert Manager importieren.

        1 Reply Last reply Reply Quote 0
        • E
          esquire1968
          last edited by

          Danke sehr!

          Der Zugriff über https://PFS.mynet.lan klapp dann, jedoch habe ich das Zertifikatsproblem dann mit https://10.0.0.1.

          Beide Zugriffsarten in einem Zertifikat ist aber nicht möglich?!

          LG
          esquire1968

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Beides in einem Zertifikat wäre auch möglich, aber pfSense kann solche Multidomain-Zertifikate nicht erstellen. Weiß nicht, ob es das sonst irgendwo für kein Geld gibt.

            Ich würde mir aber einfach PFS.mynet.lan auch im internen DNS anlegen und ausschließlich diese Adresse verwenden.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Beide Zugriffsarten in einem Zertifikat ist aber nicht möglich?!

              Jein. Wie virago schon gesagt hat, kann man solche Zertifikate erstellen, welche mehrere Domains (oder auch IPs) enthalten. Aber Zertifikate zeigen im Normalfall stets auf eine Domain, nur SEHR selten auf eine IP (wofür hat man dann DNS?).
              Es hängt davon ab was du erreichen willst, wie gesagt normalerweise sind Zertifikate nur auf Namen ausgestellt. Wenn es unbedingt MIT IP sein soll, musst du dir Zertifikate selbst erstellen und in pfSense importieren.

              Wenn dir self-signed eh genügt und du unbedingt auch IPs möchtest, kannst du das wie folgt anstellen (das hier ist jetzt auf der Command Line eines beliebigen Linux/Unix mit OpenSSL zu erledigen, Windows kann ich leider nicht anbieten :) )

              1: Erstelle deine SSL Konfiguration in der Datei "req.conf"

              (Nutze einen Editor deiner Wahl, also bspw.:)
vi req.conf

              Dort kommt folgender Inhalt hinein:

              
[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext
x509_extensions = req_ext

[ dn ]
CN = **pfs.mynet.lan**
O = Company Name
L = City
ST = State
C = DE
0.OU= Organisation Unit

[ req_ext ]
subjectAltName = @alt_names 

[ alt_names ]
DNS.1=**pfs.external.address.de**
IP.1=**10.0.0.1**

              Die fetten Werte sind die, die du im Zertifikat willst, und bei denen KEIN Fehler auftauchen soll. Willst du deine pfSense also vom internen Netz aber auch von außen via DynDNS bspw. aufrufen können, dann trage bei CN den Hauptnamen (intern) ein und bei DNS.1 bspw. den DynDNS Namen ein. Brauchst du noch mehr Namen, dann füge einfach DNS.2, DNS.3 etc. hinzu. Ebenso mit den IPs, auch hier einfach IP.2 oder IP.3 ergänzen.

              Das ganze dann speichernn.

              2: Erzeuge dein SSL Zertifikat aus der Konfiguration

              Anschließend lautet die openssl Command Line für das Erstellen des self-signed certificates wie folgt (mit Dauer 10 Jahren):

              
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout san_cert.key -out san_cert.pem -config req.conf

              Hier einfach erklärt: erstelle ein X509 Zertifikat (und nicht nur einen signing request) mit Dauer 3650 Tagen (~10 Jahre), erstelle dazu einen neuen Key mit RSA und 2048bit Keystärke und schreibe diesen in san_cert.key sowie das Zertifikat in san_cert.pem. Nutze ansonsten die Einstellungen aus der req.conf.

              3: Importiere Zertifikat in pfSense und Browser

              Hast du damit dein Zertifikat erstellt, importierst du den Key und das Zertifikat erst in die pfSense -> wählst es für die WebGUI aus und importierst es dann in deinen Browser. Danach sollte alles grün sein, egal ob IP oder DNS.

              Auf einer Seite wie bspw. => https://www.sslshopper.com/certificate-decoder.html  kannst du anschließend auch dein Zertifikat nach dem Erstellen mal testen, ob alle Werte auch sauber enthalten sind.

              Grüße
              -jens

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • E
                esquire1968
                last edited by

                Danke sehr!

                Ich werde das mal ausprobieren und melde mich.

                LG
                esquire1968

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.