theoberlin
Goto Top

Server Zertifikat für PfSense mit ADCS erstellen

Hallo zusammen,

Ich habe gerade ein kleines Problem:
Ausgangspunkt:

OpenSSL Server aufgebaut mit interner CA der PFSense. Server Zertifikat erstellt, User Zertifikat erstellt. VPN läuft.

Dann Integration des AD und test mit Remote User. Läuft auch.

Dann hab ich das CA Root Zertifikat der ADCS importiert sowie ein User Zertifikat der Root CA. Fehlte nurnoch das Server Zertifikat des Open SSL Servers. Also eine Request erstellt und über die Zertifizierungs Services (localhost/certsrv) mit Vorlage Webserver signiert.

Nach dem Reimport hab ich das Problem, dass die PfSense das nicht als Server Zertifikat annimmt. In den erweiterten Schlüsseleigenschaften steht allerdings auch "Serverauthentifizierung". Hat jemand eine Idee wie ich ein von der Unternehmens Root unterschriebenes Server Zertifikat für die PfSense hinkriege ?

Ich habe auch gerade gesehen, dass als Issuer external dasteht. Sprich er sieht garnicht das die von der Root CA validiert wurde. Als GUI Zertifikat läuft es aber. Und dort steht wenn man sich die Details anzeigen lässt sich die Root CA..

LG
Theo

Content-Key: 320031

Url: https://administrator.de/contentid/320031

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: Dani
Dani 05.11.2016 um 20:51:48 Uhr
Goto Top
Moin Theo,
ich habe deine Frage bereits gestern bzw. heute jeweils 2x gelesen. Leider verstehe ich weder dein Aufbau noch was die Frage ist. Vllt. denke ich aber auch einfach - wieder einmal - zu kompliziert. Daher würde ich mich freuen, wenn du es mir nochmals langsam erklären könntest.


Gruß,
Dani
Mitglied: theoberlin
theoberlin 05.11.2016 um 21:51:16 Uhr
Goto Top
Hi Dani,

Folgender finaler Aufbau:

OpenVPN Server auf PfSense mit eingefügtem Root CA Zertifikat der Unternehmens PKI(ADCS).
PfSense ist zur Useranmeldung des VPN an das AD angebunden. Userzertifkate rufe ich auch von der Unternehmens PKI ab und importiere sie in die PfSense.

Ich habe jetzt versucht ein Serverzertifikat über die ADCS anzufordern. In beiden Fällen deklariert die PfSense das Zertifikat nicht als ein Server Zertifikat.

1. Auf der PfSense eine request erstellt. Diese Inder PKI eingelesen und mit Vorlage Webserver unterschrieben sowie reiimportiert. Das führt leider zu einem Zertifikat welches bei der Pfsense als "external" eingezeigt wird. Die OpenVPN läuft nicht weil ihm der Bezug zur Root CA fehlt.

2. eine erweiterte zertifikatsanforderung über die Zertifikats Services mit Webserver Vorlage erstellt und unterschrieben. Dann als key und crt. Datei Importiert. Damit läuft das OpenVPN jetzt aber ich kriege nach wie vor die Meldung das dies kein SSL Server Zertifikat ist und nicht wie erwartet funktionieren muss.

Ich hab bis jetzt noch keinen Weg gefunden mit den ADCS ein Zertifikat auszustellen welches von der PfSense als SSL Server Zerifikat mit OpenVPN ohne Hinweis verwendet wird.
Ich vermute die PfSense erwartet irgendeine andere erweiterte Schlüsselverwendung oder andere Attribute.

Hoffe das war eindeutiger.

LG
Theo
Mitglied: 131381
131381 06.11.2016 aktualisiert um 08:15:41 Uhr
Goto Top
Hi,
ich vermute du hast keinen CRL-Distribution-Point in deiner CA angelegt der die "öffentlich" abrufbare CRL enthält und für die Clients zwingend von überall per http abrufbar seine muss.
Das bedenken viele nicht wenn sie eine eigene CA betreiben und ein häufig gemachter Fehler. Denn standardmäßig ist dort nur ein LDAP pfad enthalten mit dem externe Clients aber nicht viel anfangen können.

Achtung: Nach dem Anlegen musst du das Zertifikat neu erstellen.
Zusätzlich beim Exportieren des Certs die ganze Zertifikatskette exportieren und den öffentlichen Teil der ganzen Kette in der pfsense einfügen.

Gruß
Mitglied: theoberlin
theoberlin 06.11.2016 um 08:49:51 Uhr
Goto Top
Hi mikrotik,

Das stimmt den CRL Distribution Point hatte ich damals nicht angelegt, da ich die Zertifikate nur intern nutzte.

Was die Kette angeht. Wo Füge ich die bei der PfSense ein ?
Beim Server/User Zertifikat kann ich ja nur das unterschriebene User Zertifikat einfügen.

Ich habe gerade nochmal die Server Zertifikate vergleichen (Unternehmens CA/PfSense CA) Bei der PfSense ist ein weiteres Attribut (Netscape SSL) mit enthalten. Vielleicht braucht die PfSense das um es als SSL Server Zertifikat einwandfrei zu akzeptieren.
Eine Idee wie ich das in eine Zertifikatsvorlage der ADCS bekomme?

LG
Theo
Mitglied: 131381
131381 06.11.2016 aktualisiert um 09:07:46 Uhr
Goto Top
Zitat von @theoberlin:
Was die Kette angeht. Wo Füge ich die bei der PfSense ein ?
Beim Server/User Zertifikat kann ich ja nur das unterschriebene User Zertifikat einfügen.
Direkt in das Fenster des Serverzertifikates
Ich habe gerade nochmal die Server Zertifikate vergleichen (Unternehmens CA/PfSense CA) Bei der PfSense ist ein weiteres Attribut (Netscape SSL) mit enthalten. Vielleicht braucht die PfSense das um es als SSL Server Zertifikat einwandfrei zu akzeptieren.
Nein, definitiv nicht.
Eine Idee wie ich das in eine Zertifikatsvorlage der ADCS bekomme?
Wird zwar nichts bringen, aber neue Vorlagen erstellst du per Kopie in der Zertifikatsvorlagenverwaltung, die du dann anschließend veröffentlichst.

Das das Zertifikat als Extern deklariert wird ist normal.

Zeig doch mal deine ganzen Settings.
Mitglied: theoberlin
theoberlin 06.11.2016 um 09:21:51 Uhr
Goto Top
Hi Mikrotik,

Settings kann ich Montag mal zeigen.
Also die Inhalte der Zertifikatskette direkt vor ---Begin Certifikate--- des Serverzertifikats?

Probier ich gern mal aus.
Wie man neue Vorlagen erstellt ist klar. Nur wie ich da das zusätzliche Attribut welches auch im PfSense Zertifikat drin ist reinbekomme leider nicht.

Bezüglich extern : Erstelle ich Request Und Zertifikat bei den ADCS erkennt die PfSense auch das das von der Unternehmens CA unterschrieben ist. Also nicht mehr "external"