horstvogel
Goto Top

Lets Encrypt 256 bit ACME Client Pfsense

Hallo,
mein Pfsense ACME Client erzeugt für meinen Squid Reverse Proxy nur ein 128 bit Zertifikat.

Eigentlich hätte ich gedacht, dass man hier nur den Key Size auf 4096 hätte einstellen müssen.

2018-05-03 21_53_13-window


Die Administratorseite hat aber z.B. ein 256 bit Zertifikat. Daher vermute ich mal, dass meine Einstellungen falsch sind. Grundsätzlich geht ja.

2018-05-03 21_42_39-window


2018-05-03 21_42_27-window



Danke!

Content-ID: 372920

Url: https://administrator.de/forum/lets-encrypt-256-bit-acme-client-pfsense-372920.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

wiesi200
wiesi200 04.05.2018 um 08:31:28 Uhr
Goto Top
Zitat von @horstvogel:

Hallo,
Eigentlich hätte ich gedacht, dass man hier nur den Key Size auf 4096 hätte einstellen müssen.
Nö bringt dir nicht's

Die Administratorseite hat aber z.B. ein 256 bit Zertifikat. Daher vermute ich mal, dass meine Einstellungen falsch sind. Grundsätzlich geht ja.

Nö haben die nicht, das was du sieht ist die verwendete Chiffren. Das hat nicht's mit dem Zertifikat ansich zu tun. Die Administratorseite hat ne Key Size von 2048 Bit du dann vermutlich 4096 Bit.

Die Chiffren werden individuell zwischen Client und Server ausgehandelt. Du kannst aber die möglichen Chiffren und deren Reihenfolge vorgeben, was du auch tun solltest. Wie das bei dir genau funktioniert kann ich aber leider auf die schnelle nicht sagen.
136037
136037 04.05.2018 aktualisiert um 09:17:50 Uhr
Goto Top
Nach dem Motto, mit 500PS und aufgestelltem Spoiler fährt es sich in der 30er Zone besser. face-smile

Die Chiffre handelt dein Squid mit dem Client aus nicht dein Zertifikat.

Ich geh jetzt mal die 20 "Bit" von gestern in den Ozean spülen ... face-wink
horstvogel
horstvogel 04.05.2018 um 16:28:35 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @horstvogel:


Die Chiffren werden individuell zwischen Client und Server ausgehandelt. Du kannst aber die möglichen Chiffren und deren Reihenfolge vorgeben, was du auch tun solltest. Wie das bei dir genau funktioniert kann ich aber leider auf die schnelle nicht sagen.

Beim Squid in der PFsense kann nur hier die key size einstellen. Sonst habe ich im Squid Reverse keine Einstellungsmöglichkeiten, für Zertifikat....
2018-05-04 16_17_08-window

Vielleicht hat noch jemand einen Tipp für mich. Danke!
wiesi200
wiesi200 04.05.2018 um 17:06:14 Uhr
Goto Top
Hallo,

wir haben einen Gewinner.
Der in dem Screenshot gezeigte Compatibilty Mode ist das was du brauchst.
Das sind fest definierte Konfigurationen. Ist auch sinnvoll da man sich hier doch auskennen muss.
Was da dann genau dahinter steckt kann ich dir nicht sagen da ich PFSense nicht verwende.

Der DHParams Key Size ist hier mit den 4096 auch schon mehr als großzügig ausgesucht.
horstvogel
horstvogel 04.05.2018 aktualisiert um 17:24:12 Uhr
Goto Top
Mist, sorry da hätte ich gleich das richtige Bild nehmen sollen....

Ist es leider auch nicht.
danke!

mehr Einstellungen gibt es leider dort nicht

2018-05-04 17_20_09-window
horstvogel
horstvogel 04.05.2018 um 17:42:23 Uhr
Goto Top
Hallo Wiesi,
spielen eventuell die Zertifikate hinter dem Squid eine Rolle?
danke!
wiesi200
wiesi200 04.05.2018 um 19:02:18 Uhr
Goto Top
Nochmal, das Zertifikat ist sicher in Ordnung und nicht dein Problem.

Das sind die Original Squid Einstellungen für dein Problem
https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit#Ha ...
Kann jetzt sein das du das in der PFSense Oberfläche garnicht machen kannst.
Ich hab jetzt schon zu lange nichts mehr mit Squid zu tun. Wenn der die Verschlüsselung nicht aufbricht und du bereits beim Webserver verschlüsselst dann must du dort die Einstellungen machen. Hier spricht jetzt aber dein Beitrag meiner Meinung nach dagegen.
horstvogel
horstvogel 05.05.2018 um 08:49:33 Uhr
Goto Top
Hallo Wiesi,
das "beglaubigte" Zertifikat stellt der Squid der PFsense zur Verfügung und die Webserver haben dann ich eigenen "nicht beglaubigten" Zertifikate.
Danke!

2018-05-05 08_46_21-window
wiesi200
wiesi200 05.05.2018 um 17:01:30 Uhr
Goto Top
Tja dann hast du pech und kannst das zumindest nicht über die Oberfläche auch einstellen.
136037
136037 05.05.2018 aktualisiert um 17:15:20 Uhr
Goto Top