Auch unter pfSense ist es möglich die Zertifikate von Let’s encrypt zu nutzen
Die Generierung der Zertifikate erfolgt mit Hile des Acme-Scripts von Neilpang.
Port 80 für anywhere unter Firewall > Rules > WAN öffnen.
Disable webConfigurator redirect rule unter System > Advanced > Admin Access , sowie Protocol HTTPs aktivieren. Wenn Disable webConfigurator redirect rule nicht aktiviert wird, kommt es bei der Verifizierung des FQDN zu einem nc listen error im Standalone mode.
Bitte einmal das Script vor dem Download verifizieren, https://github.com/Neilpang/acme.sh/blob/master/acme.sh. Momentant befindet sich in Zeile 1925 der Parameter install und in Zeile 2014 der Parameter uninstall. Zeile 1655 und 1682 könnten in Zukunft noch interessant werden. Ich selbst habe Sie bis jetzt „noch“ nicht angewendet. Scripte vor der Ausführung immer lesen.
/root: curl https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh -o acme.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 61564 100 61564 0 0 247k 0 --:--:-- --:--:-- --:--:-- 248k /root: sh acme.sh install Installing to /root/.acme.sh Installed to /root/.acme.sh/acme.sh OK, Close and reopen your terminal to start using acme.sh Installing cron job OK /root: ~/.acme.sh/acme.sh --issue --standalone -d FQDN Standalone mode. Skip register account key Creating csr Single domain='fw.got-tty.org' Verify each domain Getting webroot for domain='fw.got-tty.org' Getting token for domain='fw.got-tty.org' Verifying:fw.got-tty.org Standalone mode server Success Skip for removelevel: Verify finished, start to sign. Cert success. -----BEGIN CERTIFICATE----- Qr7QsR1PuCpAEmGJIwrvEK8BFI7K6Ic4hTbmpCXl HDrTs1sjyaHYQc17dAxCFCIdbHvdx3jX8Nay0yU1 cdufLDIhQD5TBC5XwOLn9A4JfIyLdBmUwqfmmfK6 k3qUeYs2P0SCTmB1DZoNW9MjrwT0Io9SSJAzJobq RC1uhZlvkmMjuUVN2K58KyHVFw1hgKJJVVyQuqz7 Notreallyvaliddateatall;) -----END CERTIFICATE----- Your cert is in /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer The intermediate CA cert is in /root/.acme.sh/fw.got-tty.org/ca.cer And the full chain certs is there: /root/.acme.sh/fw.got-tty.org/fullchain.cer
Unter System > Certificate Manager > Certificates nun via add der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer in Certificate data, sowie der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.key in Private key data eintragen. Als Methode Import an existing Certifcate auswählen und als würde ich fw.got-tty.org_LE nehmen.
Danach das Zertifikat unter System > Advanced > Admin Access > SSL Certificate auswählen und abspeichern.
Von diesem Moment an ist pfSense unter dem FQDN https://fw.got-tty.org erreichbar.
Unter Firewall > Rules > WAN die erstellte Regel via disable deaktivieren und via apply changes das Regelwerk neu laden.
Das erneuern der Zertifikate:
/root: ~/.acme.sh/acme.sh --renew -d fw.got-tty.org Skip, Next renewal time is: Mon Aug 1 08:01:40 UTC 2016
Ein Update für einen Automatismus werde ich noch nachreichen.
danke für super howto.
hast Du bereits was parat fürs automatische Renewal?
Nein, da habe ich bis jetzt händisch gemacht.
Es ist aber ein Plugin bei pfSense für Let’sEncrypt aufgetaucht, welches ich aber noch nicht installiert habe.
https://twitter.com/pfsense/status/827635136464351232
https://github.com/pfsense/FreeBSD-ports/tree/RELENG_2_3_2/security/pfSense-pkg-acme