OPNsense Forum
International Forums => German - Deutsch => Topic started by: AndyCGN on November 29, 2016, 09:56:20 am
-
Hallo Allerseits,
ich habe OpenSense ohne Internetverbindung aufgesetzt. Dadurch war die Uhrzeit nicht richtig und das Web GUI Zertifikat bereits abgelaufen. Wie kann ich das Zertifikat erneuern ohne extra eine CA aufzusetzen? Irgendwie finde ich keine Funktion für self-signed Zertifikate.
Gruß
Andreas
-
Hallo Andy,
Das habe ich mich auch schon immer gefragt. Kein Scherz. ;)
Ich werde mal sehen, ob wir ein Self-Signed Cert ohne CA auch in der GUI haben können:
https://github.com/opnsense/core/issues/805
Zeit-Horizont habe ich allerdings keinen (Weihnachten?!), zu viel zu tun im Moment.
Grüße
Franco
-
Hey hey,
das webconfigurator self signed Zertifikat is ja wie der Name schon sagt von selbst unterschrieben.
Was du machen kannst ist dir eine interne CA für OPNsense zu erstellen und über diese dann ein neues Zertifikat zu erzeugen für die Weboberfläche. Diese ist dann natürlich nicht vertrauenswürdig, weil deine CA nicht vertrauenswürdig ist. Die Verschlüsselung ist jedoch trotzdem gegeben. :)
Wie geht das?
System > Trust > Authorities > Add or import CA > Bei "method" gibst du "Create an internal CA" ein
Den Rest füllst du deinen Wünschen nach aus.
Wie stell ich das Zertifikat aus?
System > Trust > Certificates > Add or import Certificate > "Method" sollte "Create an internal Certificate" sein
Bei Certificate authority gibst du nun deine gerade erstellte CA ein.
Bei "Type" gibst du "Certificate Authority" ein und füllst den Rest wieder aus.
Am Ende änderst du noch unter System > Settings > Administration das SSL Certificate auf das neue Zertifikat und voilà: 20 Sekunden warten und alles sollte wieder funktionieren. :)
EDIT: Mein Vorschlag is nurn Workaround MIT Certificate Authority :-/
-
Hallo,
bin neu hierund grab gleich mal was altes aus, weil ich das selbe problem habe.
Ich habe,wie oben beschrieben, ein selbst signiertes ertifikat erstellt und in opnsense aktiviert.
opensense ist in der virtuellen box, win7.
Das zertifikat habe ich auf In win 10 aud firefox installiert, auf win 7 in IE .
Ich bekomme überall einen Zertifkat fehler angezeigt.
Auf win 10 kann ich eine ausnahme hinzufügen, in win 7 nicht, da funktioniert dan opnsense mit diesen zertifikat gar nicht.
Was kann man da machen?
thx schon mal
-
Über der acme-client plugin kann man sich Let's Encrypt Zertifikate erstellen, die "grün" sind. Allerdings geht es auch immer mit Ausnahme im Chrome oder Firefox. Gerade im Intranet klappt es eher selten mit Zertifikaten für externe Domains.
Grüsse
Franco
-
Danke für die schnelle antwort.
Ich hab das versucht bin abergescheitert. validation failed
This will ONLY work if the official IP addresses are LOCALLY configured on your OPNsense firewall.
10.20.20.1 die IP von der firewall ist vermutlich falsch, was für eine IP brauche ich.
muss ich den benutzer irgendwo registrieren?
Gibt es eine gute anleitung?
Grundsätzlich würde mir die ausname regelung reichen, aber für Transparent SSL würde ich es brachen.
dazu gleich meine nächste frage , braucht es SSL inspection?
thx
-
könnte man da nicht lets encript einbauen?
-
Das Thema ist alt. aber ich merke gerade, das es noch aktuell ist :D
Gibts eine Onboardlösung?
-
ich mache es ganz einfach mit le für das webui.
läuft seit monaten gut bei mir
-
ich mache es ganz einfach mit le für das webui.
läuft seit monaten gut bei mir
Hallo micneu,
darf ich fragen, wie Du es realisiert hast?
- acme-client installiert
- dyndns (bspw. über no-ip) namen vergeben
- acme-client konfiguriert
- Hier vor allem DNS-01 challenge konfiguriert, oder?
Kommt das hin?
Danke und Gruß
RiC
-
Kein klassischer DynDNS Service soweit ich weiß, weil Mic wie ich eine Subdomain seiner eigenen Domain dafür nutzt. Diese dann bspw. bei Cloudflare registriert (für DNS Verwaltung) und dann mit ACME Client schlicht DNS01 Variante statt irgendwelcher Web-Überprüfung nutzen. Geht schneller und wesentlich problemloser als das WEB01 Geraffel bei dem eine URL erzeugt und geprüft wird. Die Prüfung via DNS mit TXT Record klappt dann auch ohne dass die Domain aktiv via A Record erreichbar sein muss, was der große Vorteil für eine intern genutzte Domain ist, die eben nicht nach außen leaken soll.
Aber ansonsten, ja richtig :)
-
Hi JeGr,
danke Dir für die Rückmeldung!
Dann schau ich mal, wie ich das hinbekomme.
Von ner eigenen CA auf der OPNSense mit selbstausgestellten Zertifikaten würdest Du auch absehen, oder?
Ich hätte auch noch andere Webinterfaces, die ich natürlich gerne mit nem Zertifikat versehen würde. Am einfachsten wäre dann ein Wildcard / SAN. Gibt's das auch bei LE?
Gruß Ric
-
Hi RicAtiC,
ja, ein Wildcard Zertifikat kannst du bei LE ausstellen lassen, aber nur mit dem DNS-01 Challenge, wie von JeGr vorgeschlagen.
Und vielen Dank an JeGr für den Hinweis.
Gruß KH
-
> Von ner eigenen CA auf der OPNSense mit selbstausgestellten Zertifikaten würdest Du auch absehen, oder?
Kann man durchaus machen, wenn man das möchte, dann muss man aber eben händisch intern die eigene CA ausrollen, damit die Zerts sauber abgenickt werden können. Je nach Art/Anzahl etc. kann das sinnvoll sein oder eben nicht :)
LE macht das aber mit eigener Domain bzw. DNS01 so einfach, dass ich mir den Streß mit eigener CA und überall einspielen nicht mehr machen muss :)
Wildcards und SANs gehen aber auch bei LE, ja. Dann aber wie gesagt nur via DNS-01 Challenge. Für Proxies bspw. nutze ich gern auch ein SAN Zertifikat und packe da alle Namen rein, die der Proxy ausliefert. Müsste man zwar nicht, aber das macht die Fehlersuche IMHO einfacher :)
Cheers und Dank für die Danksagungen :)