Importieren Sie ein Lets Encrypt-Zertifikat in die USG

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

In diesem KB-Artikel möchte ich Ihnen zeigen, wie Sie mit einem Raspberry Pi ein Let's Encrypt-Zertifikat auf Ihrem USG installieren können.

Einführung
Bedarf
Installieren
Erneuern Sie das Zertifikat

Einführung

Wir werden einen Apache-Server und das Let's Encrypt-Add-On für Apache verwenden, das auf einem Raspberry Pi ausgeführt wird, um ein Zertifikat für einen bestimmten Domainnamen herunterzuladen. Wir werden den Pi auch verwenden, um dieses Zertifikat zu aktualisieren.

Wir werden das Zertifikat vom Pi exportieren und in die USG importieren.

Was ist die Verwendung eines Zertifikats?

Mit dem Zertifikat werden Sie die Sicherheitswarnungen in Ihrem Browser entfernen. Zum Beispiel für HotSpot oder SSL VPN.

Bedarf

  1. Sie benötigen einen Domainnamen (DN) (zum Beispiel hotspot.hotel-mayer.de)
  2. Wenn Sie keine statische IP haben, müssen Sie auch sicherstellen, dass Ihr DN auf dem neuesten Stand ist.
    Sie können die DDNS-Option in Ihrem USG verwenden: Konfiguration> Netzwerk> DDNS
  3. Wenn Sie Ihre USG in einem Doppel-NAT-Szenario verwenden, müssen Sie sicherstellen, dass HTTP und HTTPS an die USG weitergeleitet werden
  4. Sie müssen wissen, wie Sie NAT richtig einsetzen
  5. Sie benötigen einen Raspberry Pi und eine SD-Karte für das Betriebssystem
  6. Ein PC mit Tera Term oder Putty und installiertem WinSCP
  7. Sie müssen wissen, wie das SSH-Terminal in der USG verwendet wird
  8. Die USG muss mindestens auf FW Version 4.30 sein

Installieren

  1. Richten Sie Pi und Apache ein
  2. Port Weiterleitung
  3. Erstellen und exportieren Sie das Zertifikat
  4. Importieren Sie das Zertifikat in die USG
  5. Konfigurieren Sie die HTTP-zu-HTTPS-Umleitung ordnungsgemäß

1. Richten Sie Pi und Apache ein

In diesem Szenario benötigen wir nur ein befehlszeilenbasiertes Betriebssystem für den Pi (Raspbian Stretch Lite).
Bitte laden Sie es von der Raspberry Pi-Website herunter und installieren Sie es wie in der Dokumentation beschrieben.

https://www.raspberrypi.org/downloads/raspbian/
 https://www.raspberrypi.org/documentation/installation/installing-images/README.md

1.1 Aktivieren von SSH und Ändern des Kennworts

Jetzt müssen Sie SSH aktivieren. Legen Sie daher die SD-Karte in Ihren Computer ein und legen Sie eine leere Datei mit dem Namen „SSH“ im Stammordner der SD-Karte ab.

Sobald die Installation abgeschlossen ist, platzieren Sie den Pi in Ihrem Netzwerk, starten Sie ihn und prüfen Sie, ob Sie ihn über SSH erreichen können (z. B. mit Putty oder Tera Term).

User: pi
Password: raspberry

Empfehlung 1: Ändern Sie das Passwort wie hier beschrieben:
https://www.raspberrypi.org/documentation/configuration/raspi-config.md

Empfehlung 2: Stellen Sie sicher, dass der Pi immer die gleiche IP erhält
USG-Serie - Reservieren Sie eine IP für ein Gerät

1.2 Aktualisieren Sie den Pi und installieren Sie Apache-Server

Jetzt können wir nach Updates suchen und diese installieren

sudo apt update && sudo apt upgrade --yes

Sobald dies erledigt ist, können wir den Apache-Server installieren

sudo apt install apache2 --yes

Nach Abschluss der Installation sollten Sie in der Lage sein, die Standardwebseite des Apache anzuzeigen, indem Sie zur IP-Adresse der Himbeere navigieren.

mceclip0.png

Jetzt ist es Zeit, den Pi neu zu starten

shutdown -r

In der Zwischenzeit werden wir die (temporäre) Portweiterleitung zum Pi einstellen

2. Port-Weiterleitung

Damit die Ports 80 und 443 für das Internet geöffnet sind. Nachfolgend finden Sie, wie Sie die erforderlichen Schritte ausführen

2.1 Ändern Sie den HTTPS-Port der USG in z. B. 8443
 Jetzt können Sie wie folgt auf die USG zugreifen: https://192.168.1.1:8443

2.2 Konfigurieren Sie die Portweiterleitung für HTTP und HTTPS
 Bitte überprüfen Sie, ob Sie über das Internet auf die Testseite Ihres Pi zugreifen können

3. Erstellen und exportieren Sie ein Zertifikat

Bevor wir ein Let's Encrypt-Zertifikat haben können, müssen wir das Let's Encrypt-Add-On für den Apache installieren. Es wird Ihnen helfen, die Zertifizierung Ihres Domainnamens durchzuführen.

sudo apt install certbot python-certbot-apache --yes

3.2 Generieren des ersten Zertifikats

Jetzt werden wir das erste Zertifikat generieren:

sudo certbot --apache

Sie müssen das Formular durchgehen und es richtig ausfüllen. Sie werden gefragt, ob Sie es dauerhaft umleiten möchten.

mceclip1.png

mceclip2.png

Das Zertifikat wird angefordert und automatisch auf dem Apache-Server installiert.

3.3 Exportieren des Zertifikats Herunterladen des Zertifikats

Jetzt können Sie das Zertifikat mit einem Zeitstempel exportieren.

sudo openssl pkcs12 -export -out /tmp/myusg_"$(date +"%Y-%m-%d")".p12 -inkey /etc/letsencrypt/live/[your_domain]/privkey.pem -in /etc/letsencrypt/live/[your_domain]/cert.pem

Sie müssen ein Passwort eingeben. Bitte stellen Sie sicher, dass Sie sich das Passwort merken. Sie benötigen es auch für den Import in die USG.

mceclip3.png

Um das Zertifikat vom Pi zu erhalten, müssen wir die Zugriffsrechte für die Datei myusg_ [date] .p12 ändern.

sudo chmod 777 myusg[date].p12

Jetzt können Sie die Datei mit WinSCP aus dem Ordner / tmp abrufen.

4. Importieren Sie das Zertifikat in die USG

4.1 Laden Sie die Let's Encrypt-Stamm- und Zwischenzertifikate herunter und importieren Sie sie

Damit die USG dem zuvor exportierten Zertifikat vertraut, müssen wir die Stamm- und Zwischenzertifikate aus Let's Encrypt importieren:

https://letsencrypt.org/certificates/

Stellen Sie sicher, dass die Zertifikate als PEM-Datei gespeichert sind (z. B. letsencryptauthorityx3.pem).

Gehen Sie nun in der USG zu Konfiguration> Objekte> Zertifikate> Vertrauenswürdige Zertifikate und importieren Sie die Stamm- und Zwischenzertifikate.

4.2 Importieren und aktivieren Sie Ihr Zertifikat

Gehen Sie in der USG zu Konfiguration> Objekte> Zertifikate> Meine Zertifikate und importieren Sie das Zertifikat (Sie müssen auch das Passwort eingeben).

Gehen Sie unter Serverzertifikat zu Konfiguration> System> WWW und wählen Sie jetzt Ihr importiertes Zertifikat aus.

5. Konfigurieren Sie die HTTP-zu-HTTPS-Umleitung ordnungsgemäß

5.1 Deaktivieren Sie das NAT für den Pi

Damit die Ports 80 und 443 für das USG wieder frei sind, müssen Sie das NAT für den Pi deaktivieren. Gehen Sie zu Konfiguration> Netzwerk> NAT und suchen und deaktivieren Sie die Regeln, die für das NAT verantwortlich sind. Löschen Sie die Regeln nicht, da Sie sie später wieder benötigen.

5.2 Setzen Sie den HTTPS-Port der USG wieder auf 443 und richten Sie die HTTP-zu-HTTPS-Umleitung ein

Gehen Sie zu Konfiguration> System> WWW und setzen Sie den HTTPS-Port wieder auf 443. Stellen Sie sicher, dass die HTTP-Umleitung aktiviert ist.

5.3 Entfernen Sie die IP-Adresse

Jetzt verwendet die USG das importierte Zertifikat. Das "Problem" bleibt, dass die USG das HTTP wie folgt zu HTTPS umleitet:

https://192.168.1.1/redirect.cgi?arip=[your_dyndns weibl .&original_url=http://[your_dyndns weibl.

mceclip4.png

Dies führt natürlich zu einem Zertifikatproblem. Um diese Nachricht endgültig zu entfernen, müssen Sie eine SSH-Sitzung für Ihre USG öffnen und die folgenden Befehle eingeben:

Router> configure terminal
Router(config)# web-auth redirect-fqdn [your_domainname]
Router(config)# write
Router(config)# exit
Router> write

Jetzt sieht die Weiterleitung folgendermaßen aus:

https: // [Ihre_Domäne] /redirect.cgi?arip= [Ihre_Domäne] & original_url = http: // [Ihre_Domäne] /

mceclip5.png

Herzlichen Glückwunsch, Sie haben jetzt ein Let's Encrypt-Zertifikat auf Ihrem USG.

Erneuern Sie das Zertifikat

Let's Encrypt-Zertifikate sind 90 Tage gültig. Dies bedeutet, dass Sie das Zertifikat alle drei Monate erneuern müssen.

1. Öffnen Sie erneut die HTTP- und HTTPS-Ports zum Pi

a) Ändern Sie die HTTPS-Ports von der USG erneut (Punkt 2.1).
b) Reaktivieren Sie das NAT für HTTP / HTTPS für den Pi (Punkt 2.2).

2. SSH an den Pi und erneuern Sie das Zertifikat

Öffnen Sie eine SSH-Sitzung für Ihren Pi und geben Sie diesen Befehl ein

sudo certbot renew

Dadurch wird das Zertifikat um weitere 90 Tage verlängert

3. Exportieren und importieren Sie das Zertifikat

Jetzt müssen Sie nur noch die Schritte in Punkt 3.3 ausführen

4. Aktualisieren Sie das Zertifikat in der USG

Nun fahren Sie mit Schritt 4.2 fort

5. Ändern Sie die Ports zurück

Befolgen Sie die Schritte in 5.1 und 5.2

Herzlichen Glückwunsch, Sie haben jetzt das Let's Encrypt-Zertifikat für Ihre USG erneuert.

Haftungsausschluss: Bitte haben Sie Verständnis dafür, dass dies nur eine Beschreibung ist, wie Sie ein Let's Encrypt-Zertifikat in Ihrem USG haben. Wenn etwas mit dem Raspberry Pi nicht stimmt, verstehen Sie bitte, dass wir Sie bei Problemen mit dem Pi nicht unterstützen können!

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise wird nicht der gesamte Text korrekt übersetzt. Wenn Sie Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier: Originalversion

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 3 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.