horstvogel
Goto Top

Pfsense Acme FTP Webroot Letsencrypt

Hallo,
bisher nutzte ich als standalone HTTP Server für meine Http Server, nun möchte ich das Letsencrypt auch meinem Xmpp Server zur Verfügung stellen.
In der Dokumentation zur Pfsense gibt es jetzt nun den Punkt FTP Webroot.

Ich verstehe das so, dass man damit Servern hinter der Firewall Zertifikate über ftp hochladen kann. Oder ist das was ganz anderes?

Was habe ich bisher gemacht:
ftp auf meinem Windows 10 Rechner (hier möchte ich das Zertifikat hochladen) aktiviert. ftp (ohne s) ausprobiert und funktioniert. Also ein ftp Site hinzugefügt zertifikat genannt, physischen Pfad hinzugefügt...Firewall Regel für Zugriff eingestellt... der Zugriff über ftp://192.168.1.10/zertifikat funktioniert vom PC über den Datei Explorer aus. Ich kann schreiben und lesen...


https://doc.pfsense.org/index.php/ACME_package
Die hier aufgeführten Einstellungen verstehe ich nicht wirklich.
Oder muss man das zwingend über ftps machen?

Leider habe ich im Internet kein für mich passendes Beispiel gefunden
Ich hoffe jemand nutzt dieses Funktion und kann mir etwas Licht ins Dunkle bringen.


2018-03-31 18_59_13-2018-03-31 18_58_26-2018-03-31 18_56_58 ‎- fotos ‎- fotos


danke
der Horst

Content-ID: 369822

Url: https://administrator.de/forum/pfsense-acme-ftp-webroot-letsencrypt-369822.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

135799
135799 31.03.2018 aktualisiert um 19:31:31 Uhr
Goto Top
Das verstehst du leider nicht richtig.
Der FTP ist zum validieren der Domain da. Damit kann Acme den Owner der Domain verifizieren, indem es auf diesen FTP Server vor der Validierung eine eindeutige Datei (nicht das Zertifikat.) hochlädt, und diese dann über den FQDN (welcher später im Zertifikat steht) abruft und vergleicht.

Gruß Schnuffi
horstvogel
horstvogel 31.03.2018 um 19:37:36 Uhr
Goto Top
Danke Schnuffi,
wie könnte man das vorhandene Zertifikat dann einem anderen Dienst zur Verfügung stellen?
Bisher kopiere ich die Zertifikate manuell aus der Pfsense Weboberfläche und stelle die dann manuell dem Ejabberd zur Verfügung.

Danke!
135799
135799 31.03.2018 aktualisiert um 19:57:11 Uhr
Goto Top
Naja, entweder du baust dir auf der pfsense ein Skript das das Cert via ssh /ftp auf deinen Zielhost kopiert, oder eben anders rum via ssh aus der pfSense ziehen.
Mit acme.sh kann auch jedes andere beliebige Device im Netz den Generierungs Part übernehmen, da bist du völlig frei was das anbelangt.
aqui
aqui 31.03.2018 um 21:59:15 Uhr
Goto Top
bisher nutzte ich als standalone HTTP Server für meine Http Server,
Bahnhof ???

In einer der letzten ct' war noch eine interessante Info dazu:
https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-a ...
https://www.heise.de/ct/ausgabe/2018-4-acme-sh-bezieht-Wildcard-Zertifik ...
horstvogel
horstvogel 01.04.2018 aktualisiert um 08:17:28 Uhr
Goto Top
Zitat von @aqui:

bisher nutzte ich als standalone HTTP Server für meine Http Server,
Bahnhof ???

In einer der letzten ct' war noch eine interessante Info dazu:
https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-a ...
https://www.heise.de/ct/ausgabe/2018-4-acme-sh-bezieht-Wildcard-Zertifik ...

Hallo aqui danke für den Hinweis, meine Server hängen hinter einem Squid Reverse Proxy der Pfsense, daher enden die alle auf ....de/nextcloud ...de/tomcat und..... daher brauche ich keine Wildcard Zertifikate. Für meinen Ejabberd brauche ich für den https Upload und für die TLS Anmeldung ein Zertifikat, dieses muss als Fullchain.pem vorliegen.

bisher kopiere ich das händisch aus der Pfsense, über deren Weboberfläche, alle 90 Tage ist das Ok, aber ich dachte hier an eine Optimierung.
https://www.ejabberd.im/forum/28648/ejabberd-letsencrypt-ssl-certificate ...

aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme und dann noch ein Skript für Upload und Zusammenführung in endend in einen Cronjob, dass sprengt dann wieder eine Fähigkeiten.

Da sind die Zertifikate nicht drin
2018-04-01 08_12_08-2018-04-01 08_0

Danke! Und schöne Ostertage
135799
135799 01.04.2018 aktualisiert um 11:01:34 Uhr
Goto Top
aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme
Wenn du den Log beim Erneuern zumindest mal gelesen hättest ... X-)
/tmp/acme/<FQDN>/<FQDN>/fullchain.cer
/tmp/acme/<FQDN>/<FQDN>/<FQDN>.key

Das übertragen von dort mit scp auf deinen anderen Server ist dann ja wohl ein Klacks, das bekommt sogar ein Grundschüler in 5 Minuten hin!

Frohes Eierschaukeln!
aqui
aqui 01.04.2018 um 12:27:06 Uhr
Goto Top
aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme
Shell Zugang zur pfSense ist dein Freund face-wink
horstvogel
horstvogel 19.06.2018 aktualisiert um 22:03:55 Uhr
Goto Top
Zitat von @aqui:



In einer der letzten ct' war noch eine interessante Info dazu:


Hast Du die schon mit der Pfsense erzeugt? Eine Anleitung hierzu habe ich so noch nicht gefunden

muss da einfach ein Stern davor? *.example.de davor? Zertifikat wurde so erzeugt, aber es gibt bei mir eine Zertifikatsfehlermeldung.

danke!
4


Oder beide erzeugen? für *….. und einmal normal für die Domain?
https://www.reddit.com/r/PFSENSE/comments/7vxp79/acme_package_for_acme_v ...
aqui
aqui 20.06.2018, aktualisiert am 08.08.2018 um 12:19:33 Uhr
Goto Top
Die Wildcard Funktion war trotz Ankündigung nicht aktiv oder funktionierte nicht.
Laut Heise News soll sie nun aber seit kurzem verfügbar sein und laufen.
Ja, muss einfach ein Stern davor.
horstvogel
horstvogel 08.08.2018 um 09:11:47 Uhr
Goto Top
Hallo,
bisher habe ich mir die Zertifikate immer über die Pfsense abgeholt. Nun möchte ich gerne die Zertifikate von der Pfsense auf das jeweilige Gerät schicken.
Meine Zertifikate liegen im Verzeichnis /tmp/acme/myhome-server.de/myhome-server.de
Mit folgenden Befehl wollte ich die Zertifikate versenden, die Pfsense hat kein sshpass an Bord.
Kann man sshpass installieren? Bzw. wenn ja wie? Ich habe das leider nicht hinbekommen https://www.freshports.org/security/sshpass/
Oder ist der dieser Weg von der Pfsense auf den jeweiligen Rechner nicht der richtige.
Danke! der Horst


sshpass -p passwort scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp
horstvogel
horstvogel 08.08.2018 um 11:51:46 Uhr
Goto Top
Ich habe der Pfsense Rechte auf den Ejabberd Server gegeben und nun muss ich nur den scp Befehl auf der Pfsense ausführen, leider habe ich keinen Erneuerungslauf für das Zertifikat diese Woche frei.

https://mathias-kettner.de/lw_ssh_anmeldung_ohne_passwort.html

Auf der PFsense ausführen über putty in der Console ausführen
ssh-keygen -t rsa
cat /root/.ssh/id_rsa.pub | ssh ejabberd@192.168.103.122 'cat >> .ssh/authorized_keys'


dann Eure Einträge abändern, bei mir liegt das temporäre ACME Verzeichnis hier, ejabberd ist der Benutzer meines ejabberd Servers mit im @die IP und dann das Verzeichnis wo es abgespeichert werden soll.

scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp