Server Zertifikat für PfSense mit ADCS erstellen
Hallo zusammen,
Ich habe gerade ein kleines Problem:
Ausgangspunkt:
OpenSSL Server aufgebaut mit interner CA der PFSense. Server Zertifikat erstellt, User Zertifikat erstellt. VPN läuft.
Dann Integration des AD und test mit Remote User. Läuft auch.
Dann hab ich das CA Root Zertifikat der ADCS importiert sowie ein User Zertifikat der Root CA. Fehlte nurnoch das Server Zertifikat des Open SSL Servers. Also eine Request erstellt und über die Zertifizierungs Services (localhost/certsrv) mit Vorlage Webserver signiert.
Nach dem Reimport hab ich das Problem, dass die PfSense das nicht als Server Zertifikat annimmt. In den erweiterten Schlüsseleigenschaften steht allerdings auch "Serverauthentifizierung". Hat jemand eine Idee wie ich ein von der Unternehmens Root unterschriebenes Server Zertifikat für die PfSense hinkriege ?
Ich habe auch gerade gesehen, dass als Issuer external dasteht. Sprich er sieht garnicht das die von der Root CA validiert wurde. Als GUI Zertifikat läuft es aber. Und dort steht wenn man sich die Details anzeigen lässt sich die Root CA..
LG
Theo
Ich habe gerade ein kleines Problem:
Ausgangspunkt:
OpenSSL Server aufgebaut mit interner CA der PFSense. Server Zertifikat erstellt, User Zertifikat erstellt. VPN läuft.
Dann Integration des AD und test mit Remote User. Läuft auch.
Dann hab ich das CA Root Zertifikat der ADCS importiert sowie ein User Zertifikat der Root CA. Fehlte nurnoch das Server Zertifikat des Open SSL Servers. Also eine Request erstellt und über die Zertifizierungs Services (localhost/certsrv) mit Vorlage Webserver signiert.
Nach dem Reimport hab ich das Problem, dass die PfSense das nicht als Server Zertifikat annimmt. In den erweiterten Schlüsseleigenschaften steht allerdings auch "Serverauthentifizierung". Hat jemand eine Idee wie ich ein von der Unternehmens Root unterschriebenes Server Zertifikat für die PfSense hinkriege ?
Ich habe auch gerade gesehen, dass als Issuer external dasteht. Sprich er sieht garnicht das die von der Root CA validiert wurde. Als GUI Zertifikat läuft es aber. Und dort steht wenn man sich die Details anzeigen lässt sich die Root CA..
LG
Theo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320031
Url: https://administrator.de/forum/server-zertifikat-fuer-pfsense-mit-adcs-erstellen-320031.html
Ausgedruckt am: 03.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar

Hi,
ich vermute du hast keinen CRL-Distribution-Point in deiner CA angelegt der die "öffentlich" abrufbare CRL enthält und für die Clients zwingend von überall per http abrufbar seine muss.
Das bedenken viele nicht wenn sie eine eigene CA betreiben und ein häufig gemachter Fehler. Denn standardmäßig ist dort nur ein LDAP pfad enthalten mit dem externe Clients aber nicht viel anfangen können.
Achtung: Nach dem Anlegen musst du das Zertifikat neu erstellen.
Zusätzlich beim Exportieren des Certs die ganze Zertifikatskette exportieren und den öffentlichen Teil der ganzen Kette in der pfsense einfügen.
Gruß
ich vermute du hast keinen CRL-Distribution-Point in deiner CA angelegt der die "öffentlich" abrufbare CRL enthält und für die Clients zwingend von überall per http abrufbar seine muss.
Das bedenken viele nicht wenn sie eine eigene CA betreiben und ein häufig gemachter Fehler. Denn standardmäßig ist dort nur ein LDAP pfad enthalten mit dem externe Clients aber nicht viel anfangen können.
Achtung: Nach dem Anlegen musst du das Zertifikat neu erstellen.
Zusätzlich beim Exportieren des Certs die ganze Zertifikatskette exportieren und den öffentlichen Teil der ganzen Kette in der pfsense einfügen.
Gruß

Zitat von @theoberlin:
Was die Kette angeht. Wo Füge ich die bei der PfSense ein ?
Beim Server/User Zertifikat kann ich ja nur das unterschriebene User Zertifikat einfügen.
Direkt in das Fenster des ServerzertifikatesWas die Kette angeht. Wo Füge ich die bei der PfSense ein ?
Beim Server/User Zertifikat kann ich ja nur das unterschriebene User Zertifikat einfügen.
Ich habe gerade nochmal die Server Zertifikate vergleichen (Unternehmens CA/PfSense CA) Bei der PfSense ist ein weiteres Attribut (Netscape SSL) mit enthalten. Vielleicht braucht die PfSense das um es als SSL Server Zertifikat einwandfrei zu akzeptieren.
Nein, definitiv nicht.Eine Idee wie ich das in eine Zertifikatsvorlage der ADCS bekomme?
Wird zwar nichts bringen, aber neue Vorlagen erstellst du per Kopie in der Zertifikatsvorlagenverwaltung, die du dann anschließend veröffentlichst.Das das Zertifikat als Extern deklariert wird ist normal.
Zeig doch mal deine ganzen Settings.