horstvogel
Goto Top

PFsense 2.4 Squid Reverse Proxy mit Client Zertifikat

Hallo, hinter meiner Pfsense laufen 2 Webserver, einmal Nextcloud und einmal ein Apache Tomcat. Läuft alles prima. "Abgesichert" über einen Squid Reverse Proxy. Nun würde ich gerne zusätzlich noch eine Absicherung über ein Client Zertifikat vorschalten.
Grundsätzlich funktioniert das anscheinend. Aber beim Internet Explorer kommt immer wieder die Abfrage aus Bild 1. Die Webdav Anbindung auf die Nextcloud funktioniert komischerweise. Aber die Anbindung mit der Nextcloud Desktop Anwendung (Windows) funktioniert auch nicht.


die Zertifikate Client und Server habe ich über den Windows Cert Manager installiert.

die Abfrage aus dem Internet Explorer, muss das so sein? Oder kann man das "verhindern"
1

Einstellungen im Reverse Proxy
2
Zertifikate
3
4

danke der Horst

Content-ID: 351711

Url: https://administrator.de/forum/pfsense-2-4-squid-reverse-proxy-mit-client-zertifikat-351711.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

horstvogel
horstvogel 13.10.2017 aktualisiert um 17:39:09 Uhr
Goto Top
Ok, dem Internet Explorer konnte ich das über hinzufügen "Vertrauenswürdige Seiten"


5

6

abgewöhnen. Aber die Nextcloud App meckert natürlich trotzdem weiter. Und bei Chrome bekomme ich das auch leider nicht hin.
Gleiches Problem werde ich dann vermutlich auch bei meiner Nextcloud Android App haben.
horstvogel
horstvogel 14.10.2017 um 09:35:49 Uhr
Goto Top
Nextcloud hat eine Client Zertifikat Import Möglichkeit, die funktioniert bei mir leider nicht, bzw. ich bekomme die nicht zum Laufen.
Auf Android (Samsung), geht das der Zugriff auf dem Tomcat nur mit dem Samsung Browser, nur dieser bedient/verwendet anscheinend den internen Zertifikatsspeicher.
Danke der Horst
STRUBartacus
STRUBartacus 15.10.2017 um 01:13:07 Uhr
Goto Top
Mit einem selbstsignierten Zertifikat wird das nichts werden. Erstell dir gratis ein zu deiner Domain passendes Zertifikat bei LetsEncrypt und lade dieses anschliessend in den Squid.
horstvogel
horstvogel 16.10.2017 aktualisiert um 19:49:50 Uhr
Goto Top
Hallo Struband,
es geht hier um ein zusätzliches Client Zertifikat. Die Seiten selber haben schon über den Reverse Proxy ein LetsEncrypt Zertifikat. Vermutlich kann man über LetsEncrypt keine Client Zertifikate erzeugen.
Danke der Horst
STRUBartacus
STRUBartacus 16.10.2017 um 22:16:08 Uhr
Goto Top
Dann hol, bzw. kauf dir am besten ein Wildcard-Zertifikat zu deiner Domain. Hab ich auch so im Einsatz und dürte am problemlosesten sein.
horstvogel
horstvogel 22.10.2017 um 18:55:04 Uhr
Goto Top
Hallo struband,
es geht hier um ein zusätzliches Zertifikat, welches sozusagen vom dem Reverse Proxy (siehe Bild Einstellungen im Reverse Proxy vorgeschaltet ist). So ein Zertifikat muss man so oder so auf dem Rechner installieren, es dient als zusätzlicher Haustürschlüssel (also ähnlich die OpenVPN Zertifikate). Es gibt halt nur die Probleme das nur der Internet Explorer die Zertifikat direkt aus dem Certmanager nimmt. Chrome und Firefox bedienen sich anscheinend nicht dem Cert Manager.
Daher sind Wildcard Zertifikate nicht der Lösungsansatz. Oder ich habe das nicht verstanden.
Danke!
horstvogel
horstvogel 15.02.2018 um 21:21:59 Uhr
Goto Top
Es derzeit leider keine Lösung
horstvogel
horstvogel 04.01.2019 um 23:30:29 Uhr
Goto Top
Habe ich gerade gefunden, es geht vermutlich, aber dann nur mit der Hilfe von Google face-wink

https://support.google.com/chrome/a/answer/6080885?hl=de