HA, Zertifikate und WebUI

Started by openMe, January 16, 2025, 02:53:41 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 16, 2025, 02:53:41 PM
Hallo,

eigentlich muss das doch schon mal gefragt worden sein. Allerdings finde ich nur "seltsame" Beiträge oder suche einfach falsch.

Umgebung:
- 2 OPNsense Nodes mit HA konfiguriert
- Unter System -> HA -> Settings - Zeile Services: Certificates sind angehakt
- Unter System -> HA -> Status hat der Acme Client ein grünes "running" Dreieck
- ACME plugin installiert und konfiguriert (sonst gäbe es den acme client wohl auch nicht)

Gewollt: ein LetsEncrypt/ACME Zertifikat - und zwar ein- und dasselbe - soll auf beiden Nodes installiert und für das WebUI genutzt werden.

Nun finde ich in der Dokumentation eigentlich nichts, was mir Infos zu dem Szenario gibt.

- Wird das ACME plugin auf einer (und bei Ausfall) oder beiden Nodes (vermutlich eher) installiert?
- Wird ACME auf beiden Nodes konfiguriert oder wird die Konfiguration durch HA automatisch übertragen (schließlich taucht der acme client ja unter System -> HA -> Status auf)
- Wird ACME auf beiden Nodes enabled? Vermutlich eher nicht (bei meinem Szenario) da dies zur Erzeugung von zwei Zertifikaten mit unterschiedlichen Private Keys führen würde.
- Wird ACME durch HA beim Failover auf der anderen Node enabled? Oder was bedeutet es "Acme client" als Service unter System -> HA -> Status zu sehen?
- Was bedeutet es, wenn System -> HA -> Settings - Zeile Services: Certificates angehakt ist? Werden die Zertifikate, die unter System -> Trust -> Certificates angezeigt werden durch HA automatisch übertragen? Was ist dann mit Root und Intermediate CA Zertifikaten?
- Sind dazu noch weitere Einstellungen unter System -> Trust -> Settings zu setzen?

Gibt es eine Möglichkeit per SCP/SFTP und SSH Zertifikate manuell einzuspielen, also nicht über den Import in der WebUI zu gehen, und diese bestimmten Services (per ssh commands) zuzuordnen?

Ich sag schon mal danke (auch für Hinweise, wo in der Doku ich das übersehen habe;-).
January 18, 2025, 04:31:39 PM #1
Hallo,

falls die schon x-mal gefragt und erklärt wurde, bitte ich trotzdem um Hinweis / Link dahin. Ich stehe hier im Regen und finde die Antworten nicht.

Am Ende möchte ich alle OPNsense nodes mit ein und dem gleichen Zertifikat betreiben und dafür nicht Zusatzsoftware, wie Caddy einspielen.

Nochmals vielen Dank im Voraus.
Print
Go Up Pages1
User actions