mercoledì 18 maggio 2016

Installare un certificato SSL

Per rendere sicure le connessioni all'interfaccia web di pfSense, è importante ottenere ed installare un certificato SSL.

Di per se l'operazione non è molto complessa ma, in alcuni casi ottenere il certificato nel formato giusto può non essere semplice.

Certificto in formato PEM X.509

Per prima cosa occorre dire che pfSense supporta certificati e chiavi in formato PEM X.509, se già disponete già del certificato in questo formatonon ci sarà molto da fare.

Per installare il certificato SSL accedere a System > Cert. Manager > Certificates
Cliccare su Add


Aggiungere un nome per il certificato es: firewall.pfsenseitaly.com
In Certificate Data incollare il certificato
In Certificate Private Key incollare la chiave
Cliccare su Save

I certificati Intermedi


Alcune CA fanno uso dei certificati intermedi che possono richiedere qualche operazione in più per l'utilizzo corretto del nostro certificato. I certificati intermedi vengono utilizzati come sostitui del certificato di origine. I certificati intermedi vengono utilizzati come proxy per mantenere il certificato di origine protetto da numerosi livelli di sicurezza, per garantire l'assoluta inaccessibilità delle relative chiavi.

In pfSense non esiste un'apposita voce per caricare il certificato intermedio ma l'operazione è comunque molto semplice.
In fase di caricamento del certificato è sufficiente appendere in coda anche il certificato intermedio sempre in foma PEM X.509

-----BEGIN CERTIFICATE-----
MIIFUDCCBDigAwIBAgISESEIQoA79OoSOxSxToQtYD1SMA0GCSqGSIb3DQEBCwUA 

.
.
.
i6fTH1qEr8pE+lKo0wTzSUotOG0=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
.
.
.
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

Esportare certificati da altri sistemi

Uno dei casi più comuni è che il certificato risieda su un server windows e che da li debba essere esportato, di seguito vedremo come procedere per esportare certificato e chiave in formato PEM X.509

Per prima cosa procediamo esportando la chiave
  1. Cliccare sul pulsante start e digitare certmgr.ms
  2. Individuare il certificato da esportare
  3. Cliccare su  Action > All Tasks > Export
  4. Selezionare Yes export the pprivate key 
  5. La chiave verrà generata utilizzando il Personal Information Exchange PKCS#12(.pfx)
  6. Specificare e confermare una password
  7. Specificare il nome certificato.pfx e salvare
Ora procediamo con l'export del certificato
  1. Ripetere i precedenti passaggi fino al punto 3
  2. Selezionare No, do not export the private key
  3. Specificare che il certificato venga esportato in base-64 encoded X.509 (.cer)
  4. Specificare il nome certificato.crt e salvare
A questo punto dobbiamo convertire il certificato dal formato PKCS#12 in RSA

  1. Scarichiamo SSL Certificate Utility
  2. Scompattiamo l'archivio e copiamo nella stessa cartella anche il file certificato.pfx e certificato.crt
  3. Eseguiamo openssl.exe
  4. Digiatiamo il seguente comando pkcs12 -in certificato.pfx -nocerts -out certificato.pem
  5. Quando richiesto inserire la password
  6. Ora nella stessa cartella avremo il file certificato.pem
  7. Sempre al prompt di openssl.exe digitiamo rsa -in certificato.pem -out certificato.key
  8. Quando richiesto inseriamo la password
  9. Ora anche il file certificato.key è nel formato corretto
A questo punto non ci resta che utilizzare i file certificato .key e certificato.crt come abbiamo già visto. Se si dispone del certificato intermedio occorre ricordarsi di incollare in coda al file certificato.crt anche il certificato intermedio
Posta un commento