Installare un certificato SSL
Per rendere sicure le connessioni all'interfaccia web di pfSense, è importante ottenere ed installare un certificato SSL.
Aggiungere un nome per il certificato es: firewall.pfsenseitaly.com
In Certificate Data incollare il certificato
In Certificate Private Key incollare la chiave
Cliccare su Save
Per prima cosa procediamo esportando la chiave
Di per se l'operazione non è molto complessa ma, in alcuni casi ottenere il certificato nel formato giusto può non essere semplice.
Certificto in formato PEM X.509
Per prima cosa occorre dire che pfSense supporta certificati e chiavi in formato PEM X.509, se già disponete già del certificato in questo formatonon ci sarà molto da fare.
Per installare il certificato SSL accedere a System > Cert. Manager > Certificates
Cliccare su AddAggiungere un nome per il certificato es: firewall.pfsenseitaly.com
In Certificate Data incollare il certificato
In Certificate Private Key incollare la chiave
Cliccare su Save
I certificati Intermedi
Alcune CA fanno uso dei certificati intermedi che possono richiedere qualche operazione in più per l'utilizzo corretto del nostro certificato. I certificati intermedi vengono utilizzati come sostitui del
certificato di origine. I certificati intermedi vengono utilizzati come proxy per mantenere il certificato di origine protetto da numerosi
livelli di sicurezza, per garantire l'assoluta inaccessibilità delle
relative chiavi.
In pfSense non esiste un'apposita voce per caricare il certificato intermedio ma l'operazione è comunque molto semplice.
In fase di caricamento del certificato è sufficiente appendere in coda anche il certificato intermedio sempre in foma PEM X.509
-----BEGIN CERTIFICATE-----
MIIFUDCCBDigAwIBAgISESEIQoA79OoSOxSxToQtYD1SMA0GCSqGSIb3DQEBCwUA
.
.
.
i6fTH1qEr8pE+lKo0wTzSUotOG0=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
.
MIIFUDCCBDigAwIBAgISESEIQoA79OoSOxSxToQtYD1SMA0GCSqGSIb3DQEBCwUA
.
.
.
i6fTH1qEr8pE+lKo0wTzSUotOG0=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
.
.
.
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----
Esportare certificati da altri sistemi
Uno dei casi più comuni è che il certificato risieda su un server windows e che da li debba essere esportato, di seguito vedremo come procedere per esportare certificato e chiave in formato PEM X.509
Per prima cosa procediamo esportando la chiave
- Cliccare sul pulsante start e digitare certmgr.ms
- Individuare il certificato da esportare
- Cliccare su Action > All Tasks > Export
- Selezionare Yes export the pprivate key
- La chiave verrà generata utilizzando il Personal Information Exchange PKCS#12(.pfx)
- Specificare e confermare una password
- Specificare il nome certificato.pfx e salvare
- Ripetere i precedenti passaggi fino al punto 3
- Selezionare No, do not export the private key
- Specificare che il certificato venga esportato in base-64 encoded X.509 (.cer)
- Specificare il nome certificato.crt e salvare
- Scarichiamo SSL Certificate Utility
- Scompattiamo l'archivio e copiamo nella stessa cartella anche il file certificato.pfx e certificato.crt
- Eseguiamo openssl.exe
- Digiatiamo il seguente comando pkcs12 -in certificato.pfx -nocerts -out certificato.pem
- Quando richiesto inserire la password
- Ora nella stessa cartella avremo il file certificato.pem
- Sempre al prompt di openssl.exe digitiamo rsa -in certificato.pem -out certificato.key
- Quando richiesto inseriamo la password
- Ora anche il file certificato.key è nel formato corretto
A questo punto non ci resta che utilizzare i file certificato .key e certificato.crt come abbiamo già visto. Se si dispone del certificato intermedio occorre ricordarsi di incollare in coda al file certificato.crt anche il certificato intermedio
0 commenti:
Posta un commento