horstvogel
03.05.2018, aktualisiert um 22:03:32 Uhr
view2256
view10
0
Goto Top

Lets Encrypt 256 bit ACME Client Pfsense

FrageSicherheitFirewall
Hallo,
mein Pfsense ACME Client erzeugt für meinen Squid Reverse Proxy nur ein 128 bit Zertifikat.

Eigentlich hätte ich gedacht, dass man hier nur den Key Size auf 4096 hätte einstellen müssen.

2018-05-03 21_53_13-window


Die Administratorseite hat aber z.B. ein 256 bit Zertifikat. Daher vermute ich mal, dass meine Einstellungen falsch sind. Grundsätzlich geht ja.

2018-05-03 21_42_39-window


2018-05-03 21_42_27-window



Danke!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 372920

Url: https://administrator.de/contentid/372920

Ausgedruckt am: 23.11.2024 um 23:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
wiesi200
wiesi200 04.05.2018 um 08:31:28 Uhr
Goto Top
Zitat von @horstvogel:

Hallo,
Eigentlich hätte ich gedacht, dass man hier nur den Key Size auf 4096 hätte einstellen müssen.
Nö bringt dir nicht's

Die Administratorseite hat aber z.B. ein 256 bit Zertifikat. Daher vermute ich mal, dass meine Einstellungen falsch sind. Grundsätzlich geht ja.

Nö haben die nicht, das was du sieht ist die verwendete Chiffren. Das hat nicht's mit dem Zertifikat ansich zu tun. Die Administratorseite hat ne Key Size von 2048 Bit du dann vermutlich 4096 Bit.

Die Chiffren werden individuell zwischen Client und Server ausgehandelt. Du kannst aber die möglichen Chiffren und deren Reihenfolge vorgeben, was du auch tun solltest. Wie das bei dir genau funktioniert kann ich aber leider auf die schnelle nicht sagen.
136037
136037 04.05.2018 aktualisiert um 09:17:50 Uhr
Goto Top
Nach dem Motto, mit 500PS und aufgestelltem Spoiler fährt es sich in der 30er Zone besser. face-smile

Die Chiffre handelt dein Squid mit dem Client aus nicht dein Zertifikat.

Ich geh jetzt mal die 20 "Bit" von gestern in den Ozean spülen ... face-wink
horstvogel
horstvogel 04.05.2018 um 16:28:35 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @horstvogel:


Die Chiffren werden individuell zwischen Client und Server ausgehandelt. Du kannst aber die möglichen Chiffren und deren Reihenfolge vorgeben, was du auch tun solltest. Wie das bei dir genau funktioniert kann ich aber leider auf die schnelle nicht sagen.

Beim Squid in der PFsense kann nur hier die key size einstellen. Sonst habe ich im Squid Reverse keine Einstellungsmöglichkeiten, für Zertifikat....
2018-05-04 16_17_08-window

Vielleicht hat noch jemand einen Tipp für mich. Danke!
wiesi200
wiesi200 04.05.2018 um 17:06:14 Uhr
Goto Top
Hallo,

wir haben einen Gewinner.
Der in dem Screenshot gezeigte Compatibilty Mode ist das was du brauchst.
Das sind fest definierte Konfigurationen. Ist auch sinnvoll da man sich hier doch auskennen muss.
Was da dann genau dahinter steckt kann ich dir nicht sagen da ich PFSense nicht verwende.

Der DHParams Key Size ist hier mit den 4096 auch schon mehr als großzügig ausgesucht.
horstvogel
horstvogel 04.05.2018 aktualisiert um 17:24:12 Uhr
Goto Top
Mist, sorry da hätte ich gleich das richtige Bild nehmen sollen....

Ist es leider auch nicht.
danke!

mehr Einstellungen gibt es leider dort nicht

2018-05-04 17_20_09-window
horstvogel
horstvogel 04.05.2018 um 17:42:23 Uhr
Goto Top
Hallo Wiesi,
spielen eventuell die Zertifikate hinter dem Squid eine Rolle?
danke!
wiesi200
wiesi200 04.05.2018 um 19:02:18 Uhr
Goto Top
Nochmal, das Zertifikat ist sicher in Ordnung und nicht dein Problem.

Das sind die Original Squid Einstellungen für dein Problem
https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit#Ha ...
Kann jetzt sein das du das in der PFSense Oberfläche garnicht machen kannst.
Ich hab jetzt schon zu lange nichts mehr mit Squid zu tun. Wenn der die Verschlüsselung nicht aufbricht und du bereits beim Webserver verschlüsselst dann must du dort die Einstellungen machen. Hier spricht jetzt aber dein Beitrag meiner Meinung nach dagegen.
horstvogel
horstvogel 05.05.2018 um 08:49:33 Uhr
Goto Top
Hallo Wiesi,
das "beglaubigte" Zertifikat stellt der Squid der PFsense zur Verfügung und die Webserver haben dann ich eigenen "nicht beglaubigten" Zertifikate.
Danke!

2018-05-05 08_46_21-window
wiesi200
wiesi200 05.05.2018 um 17:01:30 Uhr
Goto Top
Tja dann hast du pech und kannst das zumindest nicht über die Oberfläche auch einstellen.
136037
136037 05.05.2018 aktualisiert um 17:15:20 Uhr
Goto Top
Kann man sich ja selbst in die Config patchen
https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit#Ha ...
FrageSicherheitFirewall
Mehr von horstvogelhorstvogelPfsense Haproxy https offloading und ssl https TCPmode SSL Passthrough auf Port 443 sslhorstvogel - 4 KommentarehorstvogelPfsense HAProxy Nextcloud Talk Verbindungsabbruchhorstvogel - 2 KommentarehorstvogelUbuntu 18.04 fail2ban x-forwarded-for hinter HAProxy Opnsensehorstvogel - 5 KommentarehorstvogelPfsense MaxMind GeoIP pfblockernghorstvogel - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare