Вопрос или проблема
Мы получаем уведомления о том, что два УЦ истекают в pfSense – показаны ниже желтым цветом:
Это:
Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=USAcmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US
Я нашел топик на форуме Netgate совсем недавно, который кажется похожим. Он говорит о X1 УЦ, и оба, которые истекают у нас, также являются X1.
Для этих УЦ нет 
Кнопки «Обновить».
Безопасно ли удалить эти два УЦ?
Как мы можем протестировать, что это не вызвало никаких проблем?
Ответ или решение
Когда в вашем маршрутизаторе pfSense истекают сертификаты удостоверяющего центра (CA), такие как Acmecert, важно правильно управлять ими, чтобы избежать сбоев в работе сети. В вашем случае указаны два CA, которые истекают:
- Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=US
- Acmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US
Первое, что вам нужно знать — это то, что эти CA относятся к системам, связанным с Let’s Encrypt, и они могут быть использованы для создания сертификатов для различных служб и устройств, подключенных к вашей сети.
Можно ли удалить эти CA?
Прежде чем удалять CA, необходимо убедиться, что они не используются в ваших текущих настройках. Если вы используете Let’s Encrypt для автоматического получения сертификатов для ваших доменов, вы можете столкнуться с проблемами, если удалите эти CA.
- Если на данный момент CA не используется для создания сертификатов, и вы не планируете использовать их в будущем, удаление может быть безопасным.
- Однако, если вы используете сертификаты, выданные этими CA, их удаление приведет к неработоспособности этих сертификатов.
Как обновить сертификаты и CA?
Если вы решили удалить эти CA, вам необходимо будет:
- Создать новые CA: Перейдите в интерфейс pfSense, в раздел "System" -> "Cert. Manager" -> "CAs", и создайте новый удостоверяющий центр (если требуется).
- Получить новые сертификаты: Перейдите в раздел "Certificates" и создайте новые сертификаты, используя новый CA, если это необходимо.
Как протестировать, чтобы подтвердить, что это не вызвало никаких проблем?
-
Проверка работоспособности сервисов: Убедитесь, что все сервисы, которые используют сертификаты, работают нормально. Это может включать в себя VPN, веб-интерфейс маршрутизатора, прокси и другие службы, которые требуют SSL.
-
Проверка логов системы: Зайдите в раздел "Status" -> "System Logs" и проверьте логи на наличие ошибок или предупреждений.
-
Использование инструментов для проверки сертификатов: Можно использовать инструменты типа
opensslкомандной строки или онлайн-сервисы для проверки актуальности новых сертификатов, чтобы удостовериться, что они правильно установлены и действительны. -
Тестирование клиентских подключений: Если у вас есть клиенты, подключающиеся к маршрутизатору (например, через VPN), проверьте, могут ли они подключаться без проблем.
Заключение
Если вы уверены, что CA не используются, и у вас есть запасной вариант или будете создавать новые CA, вы можете безопасно удалить их. Если возможно, перед удалением сделайте резервное копирование конфигурации pfSense, чтобы вы могли быстро восстановить систему в случае возникновения проблем.