Let’s encrypt in pfsense

Auch unter pfSense ist es möglich die Zertifikate von Let’s encrypt zu nutzen

Die Generierung der Zertifikate erfolgt mit Hile des Acme-Scripts von Neilpang.

Port 80 für anywhere unter Firewall > Rules > WAN öffnen.
Disable webConfigurator redirect rule unter System > Advanced > Admin Access , sowie Protocol HTTPs aktivieren. Wenn Disable webConfigurator redirect rule nicht aktiviert wird, kommt es bei der Verifizierung des FQDN zu einem nc listen error im Standalone mode.

 

Kommunikation für Let's encrypt ermöglichen
Kommunikation für Let’s encrypt ermöglichen

 

Bitte einmal das Script vor dem Download verifizieren, https://github.com/Neilpang/acme.sh/blob/master/acme.sh. Momentant befindet sich in Zeile 1925 der Parameter install und in Zeile 2014 der Parameter uninstall. Zeile 1655 und 1682 könnten in Zukunft noch interessant werden. Ich selbst habe Sie bis jetzt „noch“ nicht angewendet. Scripte vor der Ausführung immer lesen.

 

[2.3-RELEASE][root@fw.got-tty.org]/root: curl https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh -o acme.sh
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
Dload  Upload   Total   Spent    Left  Speed
100 61564  100 61564    0     0   247k      0 --:--:-- --:--:-- --:--:--  248k

[2.3-RELEASE][root@fw.got-tty.org]/root: sh acme.sh install
[Fri May 13 09:28:09 CEST 2016] Installing to /root/.acme.sh
[Fri May 13 09:28:09 CEST 2016] Installed to /root/.acme.sh/acme.sh
[Fri May 13 09:28:09 CEST 2016] OK, Close and reopen your terminal to start using acme.sh
[Fri May 13 09:28:09 CEST 2016] Installing cron job
[Fri May 13 09:28:10 CEST 2016] OK

[2.3-RELEASE][root@fw.got-tty.org]/root: ~/.acme.sh/acme.sh --issue --standalone -d FQDN

[Fri May 13 09:59:48 CEST 2016] Standalone mode.
[Fri May 13 09:59:55 CEST 2016] Skip register account key
[Fri May 13 09:59:55 CEST 2016] Creating csr
[Fri May 13 09:59:55 CEST 2016] Single domain='fw.got-tty.org'
[Fri May 13 09:59:55 CEST 2016] Verify each domain
[Fri May 13 09:59:55 CEST 2016] Getting webroot for domain='fw.got-tty.org'
[Fri May 13 09:59:55 CEST 2016] Getting token for domain='fw.got-tty.org'
[Fri May 13 10:00:03 CEST 2016] Verifying:fw.got-tty.org
[Fri May 13 10:00:03 CEST 2016] Standalone mode server
[Fri May 13 10:00:17 CEST 2016] Success

[Fri May 13 10:01:32 CEST 2016] Skip for removelevel:
[Fri May 13 10:01:32 CEST 2016] Verify finished, start to sign.
[Fri May 13 10:01:39 CEST 2016] Cert success.
-----BEGIN CERTIFICATE-----
Qr7QsR1PuCpAEmGJIwrvEK8BFI7K6Ic4hTbmpCXl
HDrTs1sjyaHYQc17dAxCFCIdbHvdx3jX8Nay0yU1
cdufLDIhQD5TBC5XwOLn9A4JfIyLdBmUwqfmmfK6
k3qUeYs2P0SCTmB1DZoNW9MjrwT0Io9SSJAzJobq
RC1uhZlvkmMjuUVN2K58KyHVFw1hgKJJVVyQuqz7
Notreallyvaliddateatall;)
-----END CERTIFICATE-----
[Fri May 13 10:01:39 CEST 2016] Your cert is in /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer
[Fri May 13 10:01:40 CEST 2016] The intermediate CA cert is in /root/.acme.sh/fw.got-tty.org/ca.cer
[Fri May 13 10:01:40 CEST 2016] And the full chain certs is there: /root/.acme.sh/fw.got-tty.org/fullchain.cer

Unter System > Certificate Manager  > Certificates  nun via add der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.cer in Certificate data, sowie der Inhalt von /root/.acme.sh/fw.got-tty.org/fw.got-tty.org.key in Private key data eintragen. Als Methode Import an existing Certifcate auswählen und als würde ich fw.got-tty.org_LE nehmen.

Danach das Zertifikat unter System > Advanced > Admin Access > SSL Certificate  auswählen und abspeichern.
Von diesem Moment an ist pfSense unter dem FQDN https://fw.got-tty.org erreichbar.
Unter Firewall > Rules > WAN die erstellte Regel via disable deaktivieren und via apply changes das Regelwerk neu laden.

Das erneuern der Zertifikate:

[2.3-RELEASE][root@fw.got-tty.org]/root: ~/.acme.sh/acme.sh --renew -d fw.got-tty.org
 [Fri May 13 10:15:51 CEST 2016] Skip, Next renewal time is: Mon Aug  1 08:01:40 UTC 2016

Ein Update für einen Automatismus werde ich noch nachreichen.

 

 

3 Gedanken zu „Let’s encrypt in pfsense“

Kommentare sind geschlossen.