horstvogel
Goto Top

PFsense 2.4 Squid Reverse Proxy mit Client Zertifikat

Hallo, hinter meiner Pfsense laufen 2 Webserver, einmal Nextcloud und einmal ein Apache Tomcat. Läuft alles prima. "Abgesichert" über einen Squid Reverse Proxy. Nun würde ich gerne zusätzlich noch eine Absicherung über ein Client Zertifikat vorschalten.
Grundsätzlich funktioniert das anscheinend. Aber beim Internet Explorer kommt immer wieder die Abfrage aus Bild 1. Die Webdav Anbindung auf die Nextcloud funktioniert komischerweise. Aber die Anbindung mit der Nextcloud Desktop Anwendung (Windows) funktioniert auch nicht.


die Zertifikate Client und Server habe ich über den Windows Cert Manager installiert.

die Abfrage aus dem Internet Explorer, muss das so sein? Oder kann man das "verhindern"
1

Einstellungen im Reverse Proxy
2
Zertifikate
3
4

danke der Horst

Content-Key: 351711

Url: https://administrator.de/contentid/351711

Printed on: May 18, 2024 at 06:05 o'clock

Member: horstvogel
horstvogel Oct 13, 2017 updated at 15:39:09 (UTC)
Goto Top
Ok, dem Internet Explorer konnte ich das über hinzufügen "Vertrauenswürdige Seiten"


5

6

abgewöhnen. Aber die Nextcloud App meckert natürlich trotzdem weiter. Und bei Chrome bekomme ich das auch leider nicht hin.
Gleiches Problem werde ich dann vermutlich auch bei meiner Nextcloud Android App haben.
Member: horstvogel
horstvogel Oct 14, 2017 at 07:35:49 (UTC)
Goto Top
Nextcloud hat eine Client Zertifikat Import Möglichkeit, die funktioniert bei mir leider nicht, bzw. ich bekomme die nicht zum Laufen.
Auf Android (Samsung), geht das der Zugriff auf dem Tomcat nur mit dem Samsung Browser, nur dieser bedient/verwendet anscheinend den internen Zertifikatsspeicher.
Danke der Horst
Member: STRUBartacus
STRUBartacus Oct 14, 2017 at 23:13:07 (UTC)
Goto Top
Mit einem selbstsignierten Zertifikat wird das nichts werden. Erstell dir gratis ein zu deiner Domain passendes Zertifikat bei LetsEncrypt und lade dieses anschliessend in den Squid.
Member: horstvogel
horstvogel Oct 16, 2017 updated at 17:49:50 (UTC)
Goto Top
Hallo Struband,
es geht hier um ein zusätzliches Client Zertifikat. Die Seiten selber haben schon über den Reverse Proxy ein LetsEncrypt Zertifikat. Vermutlich kann man über LetsEncrypt keine Client Zertifikate erzeugen.
Danke der Horst
Member: STRUBartacus
STRUBartacus Oct 16, 2017 at 20:16:08 (UTC)
Goto Top
Dann hol, bzw. kauf dir am besten ein Wildcard-Zertifikat zu deiner Domain. Hab ich auch so im Einsatz und dürte am problemlosesten sein.
Member: horstvogel
horstvogel Oct 22, 2017 at 16:55:04 (UTC)
Goto Top
Hallo struband,
es geht hier um ein zusätzliches Zertifikat, welches sozusagen vom dem Reverse Proxy (siehe Bild Einstellungen im Reverse Proxy vorgeschaltet ist). So ein Zertifikat muss man so oder so auf dem Rechner installieren, es dient als zusätzlicher Haustürschlüssel (also ähnlich die OpenVPN Zertifikate). Es gibt halt nur die Probleme das nur der Internet Explorer die Zertifikat direkt aus dem Certmanager nimmt. Chrome und Firefox bedienen sich anscheinend nicht dem Cert Manager.
Daher sind Wildcard Zertifikate nicht der Lösungsansatz. Oder ich habe das nicht verstanden.
Danke!
Member: horstvogel
horstvogel Feb 15, 2018 at 20:21:59 (UTC)
Goto Top
Es derzeit leider keine Lösung
Member: horstvogel
horstvogel Jan 04, 2019 at 22:30:29 (UTC)
Goto Top
Habe ich gerade gefunden, es geht vermutlich, aber dann nur mit der Hilfe von Google face-wink

https://support.google.com/chrome/a/answer/6080885?hl=de