PfSense ACME Packages Refresh CRL im Squid Reverse Proxy

Mitglied: horstvogel

horstvogel (Level 2) - Jetzt verbinden

08.05.2017, aktualisiert 09.05.2017, 3371 Aufrufe, 23 Kommentare, 3 Danke

Hallo,
im pfSense ACME Packages kann man Prozesse nach einer Zertifikatserneuerung automatisieren.

10 - Klicke auf das Bild, um es zu vergrößern


Wie wäre der Aufruf für den Refresh CRL des Squid Reverse Proxy?

9 - Klicke auf das Bild, um es zu vergrößern

Danke!!
der Horst
Mitglied: 134464
134464 (Level 2)
05.12.2017, aktualisiert um 15:32 Uhr
Einfach in die Source schauen ;-) face-wink
https://github.com/pfsense/pfsense-packages/blob/master/config/squid3/34 ...
Dort findest du die PHP Funktion squid_refresh_crl() die das macht was geschieht wenn du den Button drückst ...
Zum Aufrufen von PHP Functions siehe dann zusätzlich:
https://doc.pfsense.org/index.php/Using_the_PHP_pfSense_Shell


Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert 06.12.2017
Hallo derHorst,
@bierverleih (lol :-D face-big-smile) hat dich schon auf die richtige Fährte gebracht, leider ist sein Skript nicht ganz vollständig.

Deswegen hier nochmal die Anleitung für eine aktuelle pFSense mit installiertem Squid Package.

  • Man begebe sich auf die Konsole der pfSense und wähle den Menüpunkt 12) um die PHP-Shell zu öffnen
  • Nun gebe man folgende Kommandos nacheinander ein:
Damit ist die Aufzeichnung der PHP-Aktion gespeichert.

Aufrufen kann man sie nun jederzeit über die Shell mit folgendem Befehl:
Grüße Uwe

[OT]
p.s. @bierverleih : Nimmst du das Bier nach Gebrauch echt wieder zurück :-) face-smile? Na dann Prost ...
[/OT]
Bitte warten ..
Mitglied: 134464
134464 (Level 2)
05.12.2017 um 16:56 Uhr
Zitat von @colinardo:

[OT]
p.s. @bierverleih : Nimmst du das Bier nach Gebrauch echt wieder zurück :-) face-smile? Na dann Prost ...
[/OT]
Klar :-D face-big-smile genau so kommts wieder in die Flaschen ;-) face-wink.
Bitte warten ..
Mitglied: horstvogel
05.12.2017, aktualisiert um 18:14 Uhr
Hallo Uwe,
hinter stoprecording tauchen Zahlen auf, ist das richtig??

reverse proxy - Klicke auf das Bild, um es zu vergrößern

Danke, der Horst

und dann so einfügen? Oder ist das ein Shell command
Vermutlich muss hier noch der Pfad usr/local/pkg/ vor?
reverse proxy 2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 19:40 Uhr
Zitat von @horstvogel:

Hallo Uwe,
hinter stoprecording tauchen Zahlen auf, ist das richtig??
Nein das ist so nicht richtig. Vermutlich nur das falsche Keyboard Encoding gesetzt. Setze es auf der Konsole mit der Eingabe von kbdmap.
und dann so einfügen? Oder ist das ein Shell command
Die Zeile oben ist ein Shell-Command. Wenn du stattdessen die Befehle von oben (ohne record, stoprecording und Exit) direkt verwenden willst ist die Auswahl "PHP Command-Skript richtig. Geht beides, entweder oder.
Vermutlich muss hier noch der Pfad usr/local/pkg/ vor?
Nein, das Skript ist in der Path.
Bitte warten ..
Mitglied: horstvogel
05.12.2017, aktualisiert um 19:47 Uhr
Hallo Uwe,
danke für Deine Hilfe

also so?
Was macht man mit dem Semikolon?
Ich glaube nicht das das richtig ist? Sieht seltsam aus
Danke!

reverse proxy 3 - Klicke auf das Bild, um es zu vergrößern

Setze es auf der Konsole mit der Eingabe von kbdmap
Wo setzte ich das? Kann ich dann die Befehle einfach nochmals eingeben? Wird das Script dann überschrieben?
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 19:55 Uhr
Zitat von @horstvogel:

Hallo Uwe,
danke für Deine Hilfe

also so?
Was macht man mit dem Semikolon?
Ich glaube nicht das das richtig ist? Sieht seltsam aus
Doch das muss sein weil das zwei separate Anweisungen sind und in PHP das Semikolon das Zeilenende bedeutet und die nächste Anweisung folgen kann!!
Setze es auf der Konsole mit der Eingabe von kbdmap
Wo setzte ich das?
Auf der Konsole (im Menü Punkt 8 wählen) und dann eintippen , dann kommt ein grafisches Menü mit dem du die Belegung auswählen kannst.
Kann ich dann die Befehle einfach nochmals eingeben?
Ja.
Wird das Script dann überschrieben?
Ja aber das Skript brauchst nicht mehr wenn du es oben schon als PHP Command-Skript angibst, wie gesagt entweder oder, nicht beides gleichzeitig ;-) face-wink
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 19:58 Uhr
Mit dem Script ist klar, dass muss aber nicht gelöscht werden?
Also der PHP Befehl ist so richtig, ohne Leerzeichen und am Ende wieder ein Semikolon?
Danke!!
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 20:00 Uhr
Zitat von @horstvogel:

Mit dem Script ist klar, dass muss aber nicht gelöscht werden?
Nein, musst du nicht.
Also der PHP Befehl ist so richtig, ohne Leerzeichen und am Ende wieder ein Semikolon?
Danke!!
Korrekt, ob da jetzt vor oder hinter dem Semikolon noch ein Leerzeichen sitzt ist aber egal.
Ganz normales PHP Reglement.
Bitte warten ..
Mitglied: horstvogel
05.12.2017, aktualisiert um 20:03 Uhr
Gerade mal getestet mit

mit Renew
ging leider nicht, Zertifikat wurde erzeugt, aber halt nicht geladen

2017-12-05 20_02_29-pfsense.localdomain - services_ acme_ certificates - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 20:08 Uhr
Ähm du verwechselst da was! Meine Zeilen oben erneuern dein Zertifikat nicht sondern führen nur deine gewollte Aktion des "CRL Refresh" durch, nicht mehr und nicht weniger!
Deine Frage war ja
Wie wäre der Aufruf für den Refresh CRL des Squid Reverse Proxy?
Eine CRL ist kein Zertifikat, sondern nur eine Liste der zurückgerufenen Zertifikate ! Ich glaube du hast da was missverstanden.
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 20:08 Uhr
Ist klar, dass Zertifikat wird erneuert indem ich auf Renew drücke, dann sollte durch das PHP Script automatisch CRL Refresh ausgeführt werden. Zertifikat ist neu, aber wurde nicht geladen, von Hand auf CRL Refresh gedrückt und das Zertifikat wurde geladen und der Browser zeigt das neue Datum von heute an.
Danke!
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 20:10 Uhr
Oder kann man das über Renew nicht testen?
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 20:12 Uhr
Ich habe nur noch einen Schuss frei, dann habe ich die 5 Stück Renew pro Woche erreicht ;-) face-wink
Bitte warten ..
Mitglied: horstvogel
05.12.2017, aktualisiert um 20:18 Uhr
Zitat von @colinardo:

Eine CRL ist kein Zertifikat, sondern nur eine Liste der zurückgerufenen Zertifikate ! Ich glaube du hast da was missverstanden.

Wenn ich CRL drücke, dann wird auch ein neuerzeugtes Let´s Encrypt Zertifikat geladen, Ziel ist es, alle 60 Tage soll automatisch das Let´s Encrypt Zertifikat erneuert werden, dieses soll automatisch dem Reverse Proxy zur Verfügung gestellt werden
Das ist mein eigentlicher Wunsch. Ich glaube das habe ich überhaupt nicht geschrieben...
Sorry
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 20:20 Uhr
Dafür muss die Config neu eingelesen werden, ich hatte nur das CRL Update eingebaut für einen Config Reload müsste noch ein
squid_resync_reverse() dazwischen .
Kann es aber morgen erst testen.
Bitte warten ..
Mitglied: colinardo
05.12.2017, aktualisiert um 20:20 Uhr
Zitat von @horstvogel:

Ich habe nur noch einen Schuss frei, dann habe ich die 5 Stück Renew pro Woche erreicht ;-) face-wink
Dafür gibt es das Developer Environment für Testzertifikate bei Lets Encrypt mein Junge ;-) face-wink
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 20:22 Uhr
so?

2017-12-05 20_21_33-pfsense.localdomain - services_ acme_ certificate options_ edit - internet explo - Klicke auf das Bild, um es zu vergrößern

Danke!
Bitte warten ..
Mitglied: horstvogel
05.12.2017, aktualisiert um 20:27 Uhr
Das ist dann die Testumgebung? Junge, Junge, das ist etwas viel für mich, dass sagt unser alter Grieche auch immer, wenn er einen im Tee hat ;-) face-wink
2017-12-05 20_24_59-pfsense.localdomain - services_ acme_ certificate options_ edit - internet explo - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: horstvogel
05.12.2017 um 20:31 Uhr
Wer lesen kann ist klar im Vorteil... man, ich mache jetzt Schluss, habe auch keinen Schuss mehr frei. Danke! Wäre super wenn Du mir eine Rückmeldung geben könntest.
Danke!!
2017-12-05 20_29_49-pfsense.localdomain - services_ acme_ certificates - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
LÖSUNG 06.12.2017, aktualisiert um 10:03 Uhr
Hallo Horst,
hier wie versprochen meine Rückmeldung.
Also Folgendes Skript führt hier zum gewünschten Erfolg (getestet mit einer aktuellen 2.4.2):


screenshot - Klicke auf das Bild, um es zu vergrößern

Und das Ergebnis einer Zertifikats-Erneuerung:

screenshot - Klicke auf das Bild, um es zu vergrößern

Aufruf des Reverse-Proxies wurde getestet und die Seriennummer des erneuerten Zertifikats im Browser bestätigt.

Erster Post wurde daraufhin zus. aktualisiert.

Hoffe ich konnte dir helfen.
Schöne Woche weiterhin.

Grüße Uwe
Bitte warten ..
Mitglied: horstvogel
06.12.2017 um 16:21 Uhr
Bombe!!! Läuft, vielen Dank!!
Wobei meine ich bei meiner Haupt PFsense noch warten muss, die 5 Zertifikats-Erneuerungen ja erreicht ;-) face-wink.

Muss ich die eingegebene PHP Shell von gestern löschen? Da kommt jetzt folgende Fehlermeldung?
Danke!

2017-12-06 15_57_59-pfsense.localdomain - diagnostics_ crash reporter - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
06.12.2017, aktualisiert um 16:27 Uhr
Zitat von @horstvogel:
Bombe!!! Läuft, vielen Dank!!
Keine Ursache. :-) face-smile So solls sein.
Wobei meine ich bei meiner Haupt PFsense noch warten muss, die 5 Zertifikats-Erneuerungen ja erreicht ;-) face-wink.
Kannst ja auch testweise auf den Staging-Kanal wechseln, fürs testen reicht das ja auch.
Muss ich die eingegebene PHP Shell von gestern löschen? Da kommt jetzt folgende Fehlermeldung?
Nein da brauchst du nichts löschen das war nur der Log-Eintrag von gestern.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Aufgabenplanung PowerShell Skript startet nicht
shooanVor 1 TagFrageWindows Server36 Kommentare

Hallo Zusammen, ich habe ein Skript bekommen das ich gerne so einstellen will das dieses beim Start des Exchangeservers aktiviert werden soll. Ein Ausführung ...

Internet
Webcam oder IPcam aus dem Internet erreichbar?
dertowaVor 1 TagFrageInternet17 Kommentare

Hallo zusammen, mal eine spezielle Frage, vielleicht kann jemand einen Dienst aufgrund guter Erfahrung empfehlen. Die Hündin einer guten Bekannten bekommt Nachwuchs und dafür ...

Windows Netzwerk
Computername erneut vergeben?
gelöst malkieVor 1 TagFrageWindows Netzwerk10 Kommentare

Guten Morgen, wir haben in der Firma Computernamen nach dem Muster: PC-Abteilung-Nummer (PC-IT-1) So, aktuell habe ich mal gelernt ganz früher, dass man den ...

LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 16 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Backup
Zusätzlicher Backupschutz gegen Ransomware Befall
staybbVor 1 TagFrageBackup4 Kommentare

Hallo zusammen, wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem ...

Router & Routing
Verkaufe apu4.d4 Set
pasu69Vor 1 TagAllgemeinRouter & Routing11 Kommentare

Guten Abend zusammen, ich hätte ein APU4.D4 Bundle abzugeben, dass ich erst Anfang März gekauft habe. Leider ist die Hardware tatsächlich zu schwach, um ...

Hardware
Temperaturüberwachung Raum
ingo1988Vor 1 TagFrageHardware8 Kommentare

Hallo, ich brauche eure Hilfe. Ich möchte gerne eine Temperaturüberwachung installieren. Es sollte über Wifi funktionieren, ist aber kein Muss. Außerdem soll eine Alarmbenachrichtigung ...

Microsoft Office
E-Mail kommt nicht an
gelöst HeinrichMVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, in der letzten Zeit häufen sich die Meldungen, dass E-Mails nicht ankommen. Es ist kein Muster zu erkennen. Mal kommt eine Mail ...