Pred niekoľkými dňami som sa prihlásil do webového rozhrania PFSense a v menu som zbadal upozornenie v zmysle, že certifikát CA pre webkonfigurátor čoskoro vyprší. Každý deň pribudlo nové upozornenie z nižším počtom dni do vypršania platnosti certifikátu. Tento certifikát slúži len na šifrované TLS spojenie medzi klientom a webovým rozhraním PFSense. Poďme si teda vytvoriť nový certifikát
Takto to vyzerá ak nás webkonfigurátor upozorňuje, že si niečo máme všimnúť. V pravom hornom rohu som upozornenia (notices) dal do žltého rámika. Je tam vidieť číslo 15, pretože je tam 15 upozornení na vypršanie platnosti certifikátu (ak s tým nič nespravím, tak číslo sa každý deň zvýši o jeden).
Na vytvorenie certifikátu potrebujeme certifikačnú autoritu (CA). Certifikačnú autoritu sme už vytvárali, keď sme inštalovali a konfigurovali OpenVPN server, takže nevidím problém, prečo by sme ju nevyužili na náš nový certifikát pre webkonfigurátor. Čiže môžeme rovno generovať certifikát. V rámci webového rozhrania sa presunieme do
System --> Cert. Manager --> CertificatesNastavíme to podľa následujucého obrázka. Nastavujeme, Common name a všetko môžeme nechať prednastavené. Certifikát bude mať platnosť 10 rokov. Klikneme na Save
Teraz môžeme starý certifikát nahradiť novým a to tak, že prejdeme na
System --> AdvancedA v sekcii webConfigurator – SSL/TLS Certificate nastavíme náš nový certifikát. Po kliknutí na Save nás system informuje, že zmena prebehla úspešne a o 20 sekúnd budeme presmerovaný na stránku kde sa práve nachádzame
Od teraz už používame nový certifikát a starý môžeme pokojne zo systému odstrániť. Čiže znova prejdeme do
System --> Cert. Manager --> CertificatesPri certifikáte ktorý sa nepoužíva sa zobrazí ikonka koša (na obrázku je ikonka v červenom rámiku). Stačí ak na ikonku klikneme a certifikát zo systému odstránime.
To by malo byť všetko. Zrejme by sa nič zásadného nestalo ak by sme nevystavili nový certifikát, ale stále by sme museli čeliť upozorneniam, že certifikát v krátkom čase expiruje. Možno si niekto povie, prečo som vedľa certifikátu neklikol na ikonku reissue/renew a mal by som po probléme. Možno by som to tak spravil, ale keď som googlil, tak som našiel nejaké info, že obnovenie certifikátu nemusí dopadnúť najlepšie. Možno by som to mohol spraviť cez terminál jediným príkazom, ale ja som sa rozhodol pre GUI.