11
Pfsense Acme FTP Webroot Letsencrypt
Hallo,
bisher nutzte ich als standalone HTTP Server für meine Http Server, nun möchte ich das Letsencrypt auch meinem Xmpp Server zur Verfügung stellen.
In der Dokumentation zur Pfsense gibt es jetzt nun den Punkt FTP Webroot.
Ich verstehe das so, dass man damit Servern hinter der Firewall Zertifikate über ftp hochladen kann. Oder ist das was ganz anderes?
Was habe ich bisher gemacht:
ftp auf meinem Windows 10 Rechner (hier möchte ich das Zertifikat hochladen) aktiviert. ftp (ohne s) ausprobiert und funktioniert. Also ein ftp Site hinzugefügt zertifikat genannt, physischen Pfad hinzugefügt...Firewall Regel für Zugriff eingestellt... der Zugriff über ftp://192.168.1.10/zertifikat funktioniert vom PC über den Datei Explorer aus. Ich kann schreiben und lesen...
https://doc.pfsense.org/index.php/ACME_package
Die hier aufgeführten Einstellungen verstehe ich nicht wirklich.
Oder muss man das zwingend über ftps machen?
Leider habe ich im Internet kein für mich passendes Beispiel gefunden
Ich hoffe jemand nutzt dieses Funktion und kann mir etwas Licht ins Dunkle bringen.
danke
der Horst
bisher nutzte ich als standalone HTTP Server für meine Http Server, nun möchte ich das Letsencrypt auch meinem Xmpp Server zur Verfügung stellen.
In der Dokumentation zur Pfsense gibt es jetzt nun den Punkt FTP Webroot.
Ich verstehe das so, dass man damit Servern hinter der Firewall Zertifikate über ftp hochladen kann. Oder ist das was ganz anderes?
Was habe ich bisher gemacht:
ftp auf meinem Windows 10 Rechner (hier möchte ich das Zertifikat hochladen) aktiviert. ftp (ohne s) ausprobiert und funktioniert. Also ein ftp Site hinzugefügt zertifikat genannt, physischen Pfad hinzugefügt...Firewall Regel für Zugriff eingestellt... der Zugriff über ftp://192.168.1.10/zertifikat funktioniert vom PC über den Datei Explorer aus. Ich kann schreiben und lesen...
https://doc.pfsense.org/index.php/ACME_package
Die hier aufgeführten Einstellungen verstehe ich nicht wirklich.
Oder muss man das zwingend über ftps machen?
Leider habe ich im Internet kein für mich passendes Beispiel gefunden
Ich hoffe jemand nutzt dieses Funktion und kann mir etwas Licht ins Dunkle bringen.
danke
der Horst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369822
Url: https://administrator.de/contentid/369822
Printed on: April 27, 2024 at 05:04 o'clock
11 Comments
Latest comment
Das verstehst du leider nicht richtig.
Der FTP ist zum validieren der Domain da. Damit kann Acme den Owner der Domain verifizieren, indem es auf diesen FTP Server vor der Validierung eine eindeutige Datei (nicht das Zertifikat.) hochlädt, und diese dann über den FQDN (welcher später im Zertifikat steht) abruft und vergleicht.
Gruß Schnuffi
Der FTP ist zum validieren der Domain da. Damit kann Acme den Owner der Domain verifizieren, indem es auf diesen FTP Server vor der Validierung eine eindeutige Datei (nicht das Zertifikat.) hochlädt, und diese dann über den FQDN (welcher später im Zertifikat steht) abruft und vergleicht.
Gruß Schnuffi
Danke Schnuffi,
wie könnte man das vorhandene Zertifikat dann einem anderen Dienst zur Verfügung stellen?
Bisher kopiere ich die Zertifikate manuell aus der Pfsense Weboberfläche und stelle die dann manuell dem Ejabberd zur Verfügung.
Danke!
wie könnte man das vorhandene Zertifikat dann einem anderen Dienst zur Verfügung stellen?
Bisher kopiere ich die Zertifikate manuell aus der Pfsense Weboberfläche und stelle die dann manuell dem Ejabberd zur Verfügung.
Danke!
Naja, entweder du baust dir auf der pfsense ein Skript das das Cert via ssh /ftp auf deinen Zielhost kopiert, oder eben anders rum via ssh aus der pfSense ziehen.
Mit acme.sh kann auch jedes andere beliebige Device im Netz den Generierungs Part übernehmen, da bist du völlig frei was das anbelangt.
Mit acme.sh kann auch jedes andere beliebige Device im Netz den Generierungs Part übernehmen, da bist du völlig frei was das anbelangt.
bisher nutzte ich als standalone HTTP Server für meine Http Server,
Bahnhof ???In einer der letzten ct' war noch eine interessante Info dazu:
https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-a ...
https://www.heise.de/ct/ausgabe/2018-4-acme-sh-bezieht-Wildcard-Zertifik ...
Zitat von @aqui:
In einer der letzten ct' war noch eine interessante Info dazu:
https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-a ...
https://www.heise.de/ct/ausgabe/2018-4-acme-sh-bezieht-Wildcard-Zertifik ...
bisher nutzte ich als standalone HTTP Server für meine Http Server,
Bahnhof ???In einer der letzten ct' war noch eine interessante Info dazu:
https://www.heise.de/ct/ausgabe/2018-4-SSL-TLS-Zertifikate-gratis-fuer-a ...
https://www.heise.de/ct/ausgabe/2018-4-acme-sh-bezieht-Wildcard-Zertifik ...
Hallo aqui danke für den Hinweis, meine Server hängen hinter einem Squid Reverse Proxy der Pfsense, daher enden die alle auf ....de/nextcloud ...de/tomcat und..... daher brauche ich keine Wildcard Zertifikate. Für meinen Ejabberd brauche ich für den https Upload und für die TLS Anmeldung ein Zertifikat, dieses muss als Fullchain.pem vorliegen.
bisher kopiere ich das händisch aus der Pfsense, über deren Weboberfläche, alle 90 Tage ist das Ok, aber ich dachte hier an eine Optimierung.
https://www.ejabberd.im/forum/28648/ejabberd-letsencrypt-ssl-certificate ...
aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme und dann noch ein Skript für Upload und Zusammenführung in endend in einen Cronjob, dass sprengt dann wieder eine Fähigkeiten.
Da sind die Zertifikate nicht drin
Danke! Und schöne Ostertage
aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme
Wenn du den Log beim Erneuern zumindest mal gelesen hättest ... X-)/tmp/acme/<FQDN>/<FQDN>/fullchain.cer/tmp/acme/<FQDN>/<FQDN>/<FQDN>.keyDas übertragen von dort mit scp auf deinen anderen Server ist dann ja wohl ein Klacks, das bekommt sogar ein Grundschüler in 5 Minuten hin!
Frohes Eierschaukeln!
aber ich finde noch nicht mal den Ablageort der Zertifikate vom acme
Shell Zugang zur pfSense ist dein Freund 
In einer der letzten ct' war noch eine interessante Info dazu:
Hast Du die schon mit der Pfsense erzeugt? Eine Anleitung hierzu habe ich so noch nicht gefunden
muss da einfach ein Stern davor? *.example.de davor? Zertifikat wurde so erzeugt, aber es gibt bei mir eine Zertifikatsfehlermeldung.
danke!
Oder beide erzeugen? für *….. und einmal normal für die Domain?
https://www.reddit.com/r/PFSENSE/comments/7vxp79/acme_package_for_acme_v ...
Die Wildcard Funktion war trotz Ankündigung nicht aktiv oder funktionierte nicht.
Laut Heise News soll sie nun aber seit kurzem verfügbar sein und laufen.
Ja, muss einfach ein Stern davor.
Laut Heise News soll sie nun aber seit kurzem verfügbar sein und laufen.
Ja, muss einfach ein Stern davor.
Hallo,
bisher habe ich mir die Zertifikate immer über die Pfsense abgeholt. Nun möchte ich gerne die Zertifikate von der Pfsense auf das jeweilige Gerät schicken.
Meine Zertifikate liegen im Verzeichnis /tmp/acme/myhome-server.de/myhome-server.de
Mit folgenden Befehl wollte ich die Zertifikate versenden, die Pfsense hat kein sshpass an Bord.
Kann man sshpass installieren? Bzw. wenn ja wie? Ich habe das leider nicht hinbekommen https://www.freshports.org/security/sshpass/
Oder ist der dieser Weg von der Pfsense auf den jeweiligen Rechner nicht der richtige.
Danke! der Horst
sshpass -p passwort scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp
bisher habe ich mir die Zertifikate immer über die Pfsense abgeholt. Nun möchte ich gerne die Zertifikate von der Pfsense auf das jeweilige Gerät schicken.
Meine Zertifikate liegen im Verzeichnis /tmp/acme/myhome-server.de/myhome-server.de
Mit folgenden Befehl wollte ich die Zertifikate versenden, die Pfsense hat kein sshpass an Bord.
Kann man sshpass installieren? Bzw. wenn ja wie? Ich habe das leider nicht hinbekommen https://www.freshports.org/security/sshpass/
Oder ist der dieser Weg von der Pfsense auf den jeweiligen Rechner nicht der richtige.
Danke! der Horst
sshpass -p passwort scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp
Ich habe der Pfsense Rechte auf den Ejabberd Server gegeben und nun muss ich nur den scp Befehl auf der Pfsense ausführen, leider habe ich keinen Erneuerungslauf für das Zertifikat diese Woche frei.
https://mathias-kettner.de/lw_ssh_anmeldung_ohne_passwort.html
Auf der PFsense ausführen über putty in der Console ausführen
ssh-keygen -t rsa
cat /root/.ssh/id_rsa.pub | ssh ejabberd@192.168.103.122 'cat >> .ssh/authorized_keys'
dann Eure Einträge abändern, bei mir liegt das temporäre ACME Verzeichnis hier, ejabberd ist der Benutzer meines ejabberd Servers mit im @die IP und dann das Verzeichnis wo es abgespeichert werden soll.
scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp
https://mathias-kettner.de/lw_ssh_anmeldung_ohne_passwort.html
Auf der PFsense ausführen über putty in der Console ausführen
ssh-keygen -t rsa
cat /root/.ssh/id_rsa.pub | ssh ejabberd@192.168.103.122 'cat >> .ssh/authorized_keys'
dann Eure Einträge abändern, bei mir liegt das temporäre ACME Verzeichnis hier, ejabberd ist der Benutzer meines ejabberd Servers mit im @die IP und dann das Verzeichnis wo es abgespeichert werden soll.
scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -r /tmp/acme/myhome-server.de/myhome-server.de ejabberd@192.168.103.122:/home/ejabberd/tmp