Auch unter pfSense ist es möglich die Zertifikate von Let’s encrypt zu nutzen
Die Generierung der Zertifikate erfolgt mit Hile des Acme-Scripts von Neilpang.
Port 80 für anywhere unter Firewall > Rules > WAN öffnen.
Disable webConfigurator redirect rule unter System > Advanced > Admin Access , sowie Protocol HTTPs aktivieren. Wenn Disable webConfigurator redirect rule nicht aktiviert wird, kommt es bei der Verifizierung des FQDN zu einem nc listen error im Standalone mode.
Bitte einmal das Script vor dem Download verifizieren, https://github.com/Neilpang/acme.sh/blob/master/acme.sh. Momentant befindet sich in Zeile 1925 der Parameter install und in Zeile 2014 der Parameter uninstall. Zeile 1655 und 1682 könnten in Zukunft noch interessant werden. Ich selbst habe Sie bis jetzt „noch“ nicht angewendet. Scripte vor der Ausführung immer lesen.
[2.3-RELEASE][root@fw.got-tty.org]/root: curl https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh -o acme.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 61564 100 61564 0 0 247k 0 --:--:-- --:--:-- --:--:-- 248k [2.3-RELEASE][root@fw.got-tty.org]/root: sh acme.sh install [Fri May 13 09:28:09 CEST 2016] Installing to /root/.acme.sh [Fri May 13 09:28:09 CEST 2016] Installed to /root/.acme.sh/acme.sh [Fri May 13 09:28:09 CEST 2016] OK, Close and reopen your terminal to start using acme.sh [Fri May 13 09:28:09 CEST 2016] Installing cron job [Fri May 13 09:28:10 CEST 2016] OK [2.3-RELEASE][root@fw.got-tty.org]/root: ~/.acme.sh/acme.sh --issue --standalone -d FQDN [Fri May 13 09:59:48 CEST 2016] Standalone mode. [Fri May 13 09:59:55 CEST 2016] Skip register account key [Fri May 13 09:59:55 CEST 2016] Creating csr [Fri May 13 09:59:55 CEST 2016] Single domain='fw.got-tty.org' [Fri May 13 09:59:55 CEST 2016] Verify each domain [Fri May 13 09:59:55 CEST 2016] Getting webroot for domain='fw.got-tty.org' [Fri May 13 09:59:55 CEST 2016] Getting token for domain='fw.got-tty.org' [Fri May 13 10:00:03 CEST 2016] Verifying:fw.got-tty.org [Fri May 13 10:00:03 CEST 2016] Standalone mode server [Fri May 13 10:00:17 CEST 2016] Success [Fri May 13 10:01:32 CEST 2016] Skip for removelevel: [Fri May 13 10:01:32 CEST 2016] Verify finished, start to sign. [Fri May 13 10:01:39 CEST 2016] Cert success. -----BEGIN CERTIFICATE----- Qr7QsR1PuCpAEmGJIwrvEK8BFI7K6Ic4hTbmpCXl HDrTs1sjyaHYQc17dAxCFCIdbHvdx3jX8Nay0yU1 cdufLDIhQD5TBC5XwOLn9A4JfIyLdBmUwqfmmfK6 k3qUeYs2P0SCTmB1DZoNW9MjrwT0Io9SSJAzJobq RC1uhZlvkmMjuUVN2K58KyHVFw1hgKJJVVyQuqz7 Notreallyvaliddateatall;) -----END CERTIFICATE----- [Fri May 13 10:01:39 CEST 2016] Your cert is in /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer [Fri May 13 10:01:40 CEST 2016] The intermediate CA cert is in /root/.acme.sh/fw.got-tty.org/ca.cer [Fri May 13 10:01:40 CEST 2016] And the full chain certs is there: /root/.acme.sh/fw.got-tty.org/fullchain.cer
Unter System > Certificate Manager > Certificates nun via add der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer in Certificate data, sowie der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.key in Private key data eintragen. Als Methode Import an existing Certifcate auswählen und als würde ich fw.got-tty.org_LE nehmen.
Danach das Zertifikat unter System > Advanced > Admin Access > SSL Certificate auswählen und abspeichern.
Von diesem Moment an ist pfSense unter dem FQDN https://fw.got-tty.org erreichbar.
Unter Firewall > Rules > WAN die erstellte Regel via disable deaktivieren und via apply changes das Regelwerk neu laden.
Das erneuern der Zertifikate:
[2.3-RELEASE][root@fw.got-tty.org]/root: ~/.acme.sh/acme.sh --renew -d fw.got-tty.org [Fri May 13 10:15:51 CEST 2016] Skip, Next renewal time is: Mon Aug 1 08:01:40 UTC 2016
Ein Update für einen Automatismus werde ich noch nachreichen.
danke für super howto.
hast Du bereits was parat fürs automatische Renewal?
Nein, da habe ich bis jetzt händisch gemacht.
Es ist aber ein Plugin bei pfSense für Let’sEncrypt aufgetaucht, welches ich aber noch nicht installiert habe.
https://twitter.com/pfsense/status/827635136464351232
https://github.com/pfsense/FreeBSD-ports/tree/RELENG_2_3_2/security/pfSense-pkg-acme