Hi,
ich hab zwei interne CAs (Vault). Die per ACME certifikate ausstellen können. Beide haben custom Zertifikate, die von der OpnSense ausgestellt wurden. D.h. die komplette chain ist in OpnSense verfügbar. Wenn ich nun über den ACME-Client ein Zertifikat von einem der Vault holen will, dann fällt das auf die Nase. Ich erhalte den Errorcode 60, der besagt, dass das Zertifikat nicht gültig ist. (CURLE_PEER_FAILED_VERIFICATION (60)).
Kann es sein, dass ich die Ca-Chain noch anders in OpnSense importieren muss? Das es über das Web-Frontend nicht reicht und curl damit die chain damit nicht nutzen kann?
Muss ich die Ca-chain noch irgendwo importieren? Also wie bei ubuntu über den update-ca-certificates prozess?
Danke für Tipps
m.
Ich habe folgendes verstanden:
1. Du hast zwei interne CAs in OpnSense. Haken dran.
2. Diese können per ACME Zertifikate ausstellen. Wie das?
Bei 2 verlierst Du mich. ACME ist ein Protokoll/Verfahren, mit Hilfe dessen man Zertifikate ausstellen kann. OpnSense kann zwar Zertifikate ausstellen, unterstützt m.W. dazu aber nicht das ACME-Verfahren als ACME-Server. ACME wird nur per Plugin in der Rolle als ACME-Client, d.h. als Anforderer, nicht als Aussteller von Zertifikaten in OpnSense unterstützt.
Unabhängig davon werden in jedem Client natürlich nur die in der CA-Chain eingetragenen Root-CAs unterstützt. Wenn Du also auf einem Client per Curl irgend etwas abrufst, was von einer Deiner CAs ausgestellt wurde, musst Du auf dem entsprechenden Client auch die ausstellende CA eingetragen haben oder per Curl-Switch die Verifikation abschalten. Bei OpnSense selbst geht das elegant über "System: Trust: Authorities".