Le but de ce petit tuto (qui me sert aussi de pense bete) est de vous expliquer comment, sur pfsense, installer un certificat Letsencrypt
Commençons par le début, il faut installer un package (System > Package Manager) et dans la liste des packages disponible, prendre celui avec le nom Acme:
Ensuite une fois que celui-ci est installé, on va aller configurer un compte Acme permettant de créer le certificat:
rien de spécial a faire si ce n’est de donner un petit nom, une adresse mail et pour l ‘Acme server, prendre la version 23 de production. On clic sur “create a new accound key” puis “register ACME account key”. il ne reste plus qu’a sauver.
maintenant, on va créer le certificat
voici un exemple de certificat, le nom est indicatif, une petite description pour s’y retrouver, il est bien sur actif sinon il ne fonctionnera pas. on sélectionne le compte ACME créé juste avant. La privatekey en 2048bits (pour un simple site, c’est suffisant) , pour le domain SAN list, cela se complique un peut, je revient dessus dans le screenshot suivant. On peut aussi ajouter une action list, par exemple pour redémarrer le deamon de squid qui permettra de prendre en compte le nouveau certificat.
revenons sur la partie domain SAN list. ce qui est important ici, c’est déjà de mettre le domain name, par exemple firewall.XXxxXX.ovh.
Dans mon cas, je travail avec le principe du DNS-01 challenge. Ce qui implique que le programme va envoyer sur le serveur DNS qui héberge mon domain XXxxXX.ovh une valeur spécifique pour être sur que je suis bien le propriétaire du domaine. pour ce faire j’utilise l’API de OVH comme j’en ai déjà parlé dans un autre tuto ( https://www.domohab.be/index.php/2019/02/08/letsencrypt-dns-01-ovh-creer-un-certificat-sans-devoir-ouvrir-jeedom-sur-internet/ )
donc, on indique l’Application Key, l’Application Secret et le Consumer Key fourni par ovh. pour le Endpoint, indiquer ovh-eu. Et on clic sur Add
il reste plus qu’a lancer la demande de création de certificat:
Maintenant, allez dans System > Cert. Manager et vous devriez retrouver votre nouveau certificat fraîchement créé.
il ne tient qu’a vous de l’utiliser pour sécuriser votre firewall.
