warrender
Goto Top

Zertifikatsfehler bei Pfsene - Captive Portal

Hallo,

ich möchte ein Captive Portal mit Pfsense betreiben und die Verbindung zwischen Server und Client dementsprechend absichern (https).
Ziel ist es, dass kein Zertifikatsfehler beim Client aufscheint ("Keine vertrauenswürdige Seite...").
In die Pfsense habe ich unser Wildcardzertifikat *.domäne.at eingespielt und zusätzlich die Namensauflösung für die Clients angepasst.
Die Clients lösen den Namen wlan.domäne.at auf die richtige IP (interne, private IP der Pfsense) auf.
Das Zertifikat wurde scheinbar richtig installiert. Zumindest wird der Cname und die Gütigkeitsdauer des Zertifikats richtig angezeigt. Was mich stutzig macht, ist, dass unter Pfsense neben dem Zert. das Feld "Server: No" angezeigt wird, obwohl es angeblich ein Server Zertifikat ist.

Trotz der funktionierenden Namensauflösung bekomme ich die Zertifakatsfehlermeldung bei Clients (Egal, welcher Browser).

Habe ich etwas übersehen? Es müsst doch so funktionieren?
Danke!

Content-ID: 269034

Url: https://administrator.de/forum/zertifikatsfehler-bei-pfsene-captive-portal-269034.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

michi1983
michi1983 13.04.2015 um 14:47:21 Uhr
Goto Top
Hallo,

hier schon mal die Suchfunktion verwendet?
Kollege @aqui hat hier ein sehr ausführliches Tutorial diesbezüglich erstellt, da sollte alles drin stehen was man wissen und beachten muss.

Gruß
Warrender
Warrender 13.04.2015 um 17:10:02 Uhr
Goto Top
Danke. Ja, ich kenne das Tutorial. Wo wird hier mein Problem beschrieben?
Der Name der Pfsense und der https Server name heißen übrigens auch wlan.domäne.at

Ich bekomme folgenden Fehler. Scheinbar habe ich doch das Zertifikat nicht richtig eingespielt:
wlan......at:8003 uses an invalid security certificate.

The certificate is not trusted because no issuer chain was provided.

(Error code: sec_error_unknown_issuer)
michi1983
michi1983 13.04.2015 um 17:29:59 Uhr
Goto Top
Ja, ich kenne das Tutorial. Wo wird hier mein Problem beschrieben?

Sorry, mein Fehler. Ich dachte dort ist eine Step-by-step Anleitung vorhanden.

The certificate is not trusted because no issuer chain was provided.
Also falls ich dich korrekt verstehe wird das so auch nicht funktionieren.
Wenn ich mich mit https auf meine pfSense verbinde bekomme ich ebenso einen "Fehler" der besagt, dass das Zertifikat nicht von einer vertrauenswürdigen Stelle stammt. Das kann man glaub ich lediglich so umgehen, dass man das Zertifikat wirklich von einer öffentlichen Stelle signieren lässt. Aber ich glaube das kostet dann. Aber warte mal ab bis die Profis hier auftauchen und noch ihre Einschätzungen abgeben ;)

Gruß
eagle2
eagle2 14.04.2015 um 07:07:40 Uhr
Goto Top
Moin zusammen,

@michi1983: Offenbar hat er ein Wildcard-Zertifikat und bekommt trotzdem eine Fehlermeldung. Du bekommst die SSL-Fehlermeldung, da das Zertifikat selbst signiert ist.

@Warrender: Vermutlich fehlt das sog. Intermediate-Zertifikat. Schau dazu mal in die FAQ deiner CA (dem Verkäufer des Zertifikates), entweder kannst du das zusätzlich in pfSense importieren, aber da bin ich mir nicht sicher, ob das klappt. Was gehen sollte ist die Kombination der Zertifikatskette in ein Zertifikat:

http://help.globalscape.com/help/eft6/Certificate_Chaining.htm

Viele Grüße
Eagle2
Warrender
Warrender 14.04.2015 um 08:01:25 Uhr
Goto Top
Danke.
Gestern konnte ich es noch lösen: Man muss das Zertifikat an zwei Stellen in der Pfsense einspielen: CAs und Certificates. Hat man das richtige Zert. unter CA eingespielt, bekommt man die Meldung "Issuer external" und die Anzahl der Zertifikate wird daneben angezeigt.