Pfsense letsencrypt
En sus navegadores web, puede haber ya algunos Certificados Raíces que han sido firmados por Autoridades Certificadoras Raíces. Así que cuando usted visita un sitio web que es aprobado y de confianza por una de las Autoridades Certificadoras Raíces, su navegador reconocerá ese sitio como de confianza y establecerá una conexión segura para su uso.
La mayoría de los sitios web deben pasar por el proceso de certificación antes de ser reconocidos por una Autoridad de Certificación Raíz para el acceso público. Pero como a su NAS sólo accederán sus usuarios, es posible actuar como Autoridad de Certificación Raíz utilizando OpenSSL y Windows Server. Esto le permite establecer una conexión segura entre su dispositivo personal/de empresa y el NAS, como se muestra a continuación:
Para uso doméstico, también puede utilizar http://www.selfsignedcertificate.com/ para crear rápidamente un certificado autofirmado sin necesidad de la línea de comandos de OpenSSL (este método sólo se recomienda para uso doméstico/privado). Consulte el capítulo 3.3 para obtener más información.
Para Windows y otros sistemas operativos, puede encontrar otras versiones de OpenSSL desarrolladas por los miembros de la comunidad OpenSSL. En este ejemplo utilizamos Win32OpenSSL. Se puede descargar de https://www.openssl.org/community/binaries.html
Certificado Pfsense
Pfsense es una gran solución de firewall. Es muy fiable y viene con soporte de VLAN y VPN. En este tutorial voy a demostrar cómo configurar un servidor OpenVPN autenticado por el usuario en PfSense.
Tráfico del cliente al servidor: – Si esta sección está habilitada, el asistente de OpenVPN generará automáticamente las reglas de firewall necesarias para permitir la conexión entrante al servidor OpenVPN de Pfsense desde clientes en cualquier lugar de Internet.
Tráfico desde los clientes a través de la VPN:- Si esta conexión está habilitada, el asistente de OpenVPN generará automáticamente las reglas de firewall necesarias para permitir el tráfico desde los clientes conectados a la VPN hacia cualquier lugar de la red local.
Certificado de usuario de Pfsense
Hoy vamos a ver cómo configurar Let’s Encrypt en pfSense para que puedas instalar, gestionar y renovar automáticamente tus certificados SSL de forma totalmente gratuita y sencilla. Si no conoce Let’s Encrypt, debería hacerlo. Vaya a leer sobre ello en el sitio web principal de Let’s Encrypt, es impresionante, soporta más de 225.000.000 de certificados SSL en sitios web de todo el mundo y es apoyado por las mayores empresas que impulsan Internet.
Let’s Encrypt es parte del movimiento global para asegurar la Internet de forma gratuita para evitar que la gente entre usted, y los servidores web que está visitando como un usuario de la lectura del tráfico – la gente como los gobiernos, proveedores de servicios de Internet (ISP) y otras personas husmeando. Hemos hecho algunas publicaciones en el blog sobre Let’s Encrypt en los últimos años, incluyendo, Cómo configurar Let’s Encrypt en CentOS6 con cPanel y WHM, Cómo usar AutoSSL en WHM y cPanel para los certificados SSL y Reclamar sus certificados SSL gratuitos para HTTPS.
OK, así que volviendo al punto principal de esta entrada del blog, cómo conseguir Let’s Encrypt configuración en su hardware pfSense. Para el propósito de esta entrada de blog vamos a asumir que está ejecutando pfSense directamente en uno de los dispositivos de hardware Netgate ya que hay demasiados matices para ejecutar pfSense virtualmente que hacen que la configuración sea demasiado problemática en cualquier entorno del mundo real. Un entorno virtual de pfSense es genial para jugar, pero más allá de eso, personalmente he tenido demasiados problemas para que esa configuración sea tomada en serio para una configuración lista para producción. Si has conseguido que funcione, por favor, comenta la configuración que has conseguido que funcione.
Autoridad de certificación interna de Pfsense
En este blog mostraré cómo configurar la renovación automática de los certificados Let’s Encrypt para pfSense, Home Assistant, Unifi, Portainer y Plex. Evidentemente, si sólo tiene uno o dos de esos servidores, utilice el índice (abajo) para saltar a la parte pertinente. Si tienes otro servidor en tu red, entonces esta será una buena guía general para configurar esos con certificados también.
Al igual que muchos informáticos, he tenido mi propio dominio durante años. Habiendo actualizado recientemente mi router a algo más capaz, empecé a buscar formas de encriptar el tráfico para hacer que mi router pfSense y el servidor Home Assistant fueran accesibles remotamente.
Detrás de mi motivación estaba el hecho de que el portátil en el que paso la mayor parte del tiempo pertenece a mi cliente y ellos tienen un software de seguridad draconiano que bloquea el acceso a sitios web no encriptados, incluyendo los de mi propia red. Así que, para estar tranquilo y por razones muy prácticas, empecé a buscar certificados SSL para todos los servidores de mi red doméstica, independientemente de que fueran de acceso público. Quizás me dejé llevar, pero ahora tengo certificados SSL adecuados para: