SSL-Zertifikat-Austauch für Web GUI automatisieren

[guest25630]

Hallo zusammen,

vor gut 1/2 Jahr bin ich von der Sophos UTM auf OPNsense umgestiegen. Funktioniert soweit alles prima, aktuell läuft bei mir OPNsense 21.1.3_3-amd64.

Früher hatte ich für meine Domains i.d.R Wildcard-Zertifikate, die ich alle paar Jahr ausgetauscht habe. Eines davon habe ich aktuell auch noch manuell auf der OPNsense für die Web GUI installiert. Dabei bin ich wie hier https://forum.opnsense.org/index.php?topic=5223.0 beschrieben vorgegangen.

Inzwischen habe ich aber meine ganzen Server-Zoo auf Let's Encrypt-Zeritifikate umgestellt und alles automatisiert, sodass ich mich um die Zertifikatserneuerung i.d.R. nicht mehr kümmern muss - certbot und ansible sei Dank.

Nun habe ich gelesen, dass es für die OPNsens ein Plugin mit dem Namen os-acme-client gibt, das ähnliches wie certbot unter Linux auf der OPNsense leistet. Allerdings ist in fast allen Manuals dazu fast immer ein Zusammenwirken mit dem ha_proxy beschrieben, den ich aber weder laufen habe noch benötige.

Ich möchte im Prinzip nur automatisch vor Ende der Ablaufzeit ein neues Zertifikat für die OPNsens Web GUI generieren, es am richtigen Ort auf der OPNsense hinterlegen und den Webserver einmal neuen starten. Aber das natürlich alles automatisiert und nicht wie weiter oben beschrieben manuell über die Web GUI.

Habt ihr eine Idee, wie ich das am besten / einfachsten angehen und lösen kann?

Vielen Dank schon mal im Voraus!

Grüße

moose

[superwinni2]

Über die Automatisation von Let's Encrypt?


- Erstmalig das Zertifikat ausstellen
- Zertifikat als Web GUI Zertifikat übernhemen
- Automatisierung in Let's Encrypt erstellen jene nach dem ausstellen automatisch dei WebGUI neustartet
- Automatisierungsjob dem Entsprechenden Eintrag in "Certificates" zuordnen.

[guest25630]

@superwinni2 Danke dir, hat geklappt - hätte nicht gedacht, dass es soooo einfach ist!

[guest25630]

Da das so easy war, überlege ich gerade, ob ich das Plugin os-acme-client nicht auch zur Generierung meiner Let's Encrypt Wildcard Certs einsezte. Die dns-01 Challenge basierte Verifizierung funktioniert ja bereits.

In der Web UI unter /System/Trust/Certificates habe ich gesehen, dass es bei jedem Zertifikat 3 Buttons für das manuelle Herunterladen gibt (user key, user cert sowie beides + ca user im .p12-Format).

Daher meine zweite Frage: komme ich da auch per API o.ä. ran? Denn dann könnte ich die Wildcard-Certs automatisiert runterladen und weiterverteilen.

Danke schon mal im Voraus!

Viele Grüße

[superwinni2]

Mit API habe ich jetzt weniger Erfahrung...
Aber es gibt auch eine Automatisation das Zertifikat und den Key nach erfolgreicher Ausstellung via SFTP hochladen zu lassen.


Ich für mich habe ebenfalls das Plugin zur Wildcard Generierung im Einsatz. Danach wird dieses jedoch nur im HAProxy direkt auf der OPNsense eingesetzt.

[guest25630]

@superwinni2 Erneut danke!

Dann kopiere ich die Zertifikate halt per sftp an den Ort, von dem aus ich sie mit ansible weiter verteile.

Grüße,

moose