Lokales Sicheres SSL Zertifikat für Gast Netzwerk Proxy

[Nico2505]

Hallo Zusammen,

Ich habe mir den Web-Proxy in der OPNsense konfiguriert und die dazugehörige NAT Regel angelegt! HTTP Datenverkehr kann ich jetzt filtern und es funktioniert soweit perfekt! Dann habe ich das ganze nochmal für HTTPS eingerichtet was dann auch gut funktioniert hat! Es kam zwar die Warnung das dass Zertifikat nicht gültig sei, weshalb ich es darauf hin zu den Vertrauenswürdigen Zertifikaten hinzugefügt habe. Jetzt funktioniert alles ohne Probleme und Warnungen!

Dann wollte ich den Proxy noch für mein Gast Netzwerk einrichten, wobei ich auf ein Problem gestoßen bin! HTTP funktioniert gut aber HTTPS ist problematisch. 1. Ich kann meinen Gästen ja schlecht sagen, "Ignorier die Warnung das es nicht sicher sei einfach!" oder "Um das Netzwerk ordnungsgemäß nutzen zu können füge das Zertifikat bitte zu deinen Vertrauenswürdigen Zertifikaten hinzu!".

Deshalb meine Frage, hat jemand damit Erfahrung und kann mir Helfen?
Für weitere Infos einfach nachfragen. ;)

Schonmal Danke für die Antworten! :)
Grüße Nico2505!

[Monviech (Cedrik)]

So funktioniert das technisch halt.

https://it-forensik.fiw.hs-wismar.de/index.php/SSL_Inspection

Das ist wie eine Man-In-The-Middle-Attacke.

[vpx]

Das MITM gilt laut Dokumentation ja nur wenn "Enable Transparent HTTP proxy" aktiviert ist. Ist das der Fall?

Ansonsten kommt der Fehler wohl weil das Zertifikat selbstsigniert ist von der OPNsense und die CA im Client nicht vorhanden ist.

[Nico2505]

Ja, der Transparente HTTP Proxy ist aktiviert! Und der Fehler kommt auch wegen dem Selbst signiertem Zertifikat. Ich bräuchte quasi ein sicheres  SSL Zertifikat nur für diesen lokalen Zweck. Dabei benötige ich Hilfe, da ich nicht weis wie ich das erstelle und einrichte!

[Monviech (Cedrik)]

Die meisten Gerät haben einen Zertifikatsspeicher. In diesem Speicher sind oftmals Vertrauenswürdige Stammzertifikate hinterlegt. Jeder Hersteller kann aber selbst entscheiden welche er dort reinlegt. Meistens sind es große öffentliche Zertifikatsanbieter (wie z.B. Digicert etc...) die auf den meisten Geräten hinterlegt sind.

Eine Software muss aber nicht grundsätzlich den eingebauten Zertifikatsspeicher vom Betriebssystem verwenden. Sie können auch eigene haben.

Wenn du willst das viele Geräte deinem Proxy vertrauen, musst du ein Zertifikat von einem großen weitverbreiteten Anbieter kaufen.

[Nico2505]

Gibt es auch die Möglichkeit eines von z. B. Let's Encrypt oder anderen kostenlosen Anbietetern zu verwenden und wenn ja wie?

[vpx23]

Das hatten schon mehrere Leute versucht:

https://github.com/opnsense/core/issues/1697
https://forum.opnsense.org/index.php?topic=7350.0

Aber es scheitert wohl daran, dass du nur CA-Zertifikate angeben kannst und keine gewöhnlichen Server-Zertifikate. Und CA-Zertifikate erstellt z.B. Let's Encrypt nur für sich selbst.

Soweit ich verstanden habe, erstellt der Webproxy (Squid) durch die CA dynamisch Zertifikate um die Domain von der tatsächlich angefragten Webseite zu imitieren.

https://wiki.squid-cache.org/Features/BumpSslServerFirst

[Nico2505]

Okay, Schade! Trotzdem Danke für eure Hilfe! :)