Bu yöntem çok sağlıklı değildir çünkü http protokolünde verilerimiz clear-text olarak iletilmektedir ve ağ üzerinde trafiği dinleyen paketleri takip eden birisi bizim admin  parolamızı ele geçirebilir ve firewall cihazımıza erişebilir. Bu sebeple bunu ortadan kaldıracak olan SSL sertifikasını firewall cihazımız üzerinde oluşturup bağlantı kurduğumuz bilgisayar üzerine tanıtacağız.

Görüldüğü gibi cihazımıza http protokolü üzerinden erişmiş durumdayız.

Dashboard ekranından cihazımızın name kısmını kontrol ediyoruz. FQDN standartlarına uygun bir isim verilmiş olmalı ki sertifika oluşturma ekranında bu isim bize lazım olacak. Bizim cihazımızın adı “firewall.localdomain”

Şimdi sertifika oluşturmak için System sekmesinden Cert. Manager’a tıkıyoruz.

Bu ekran bizim sertifikalarımızı oluşturacağımız ekranımız. İlk olarak yetkili bir CAs (root sertifika otoritesi) tanımlıyoruz. CAs sekmesindeyken sağ alt taraftaki Add butonuna tıklıyoruz.

Kaşımıza gelen ekranda Descriptive Name yazan kısımda sertifikama isim veriyorum.  Metot olarak “internal certificate Authortiy” seçiyorum. Common Name yazan kısım ise sertifika ismim ile aynı olmak zorunda onu da o şekilde belirtiyorum ve aşağıdaki şehir ülke gibi alanları doldurup kaydet diyerek root sertifika otoritemi oluşturuyorum.

Şimdi oluşturduğumuz sertifika otoritemize bakabiliriz. Aşağıda görüldüğü gibidir.

Şimdi ise alt sertifika otoritemi oluşturmak için tekrar Add diyorum.

Yine aynı şekilde sertifikama isim veriyorum ancak burada önceki sertifikamdaki root yazan kısmı değiştirerek “alt” ismini veriyorum ve metot olarak “Create an intermediate Certificate Authority” seçiyorum.

Signing Certificate Authority seçeneğinde ise oluşturduğum root sertifikasını seçiyorum.

Common Name kısmına ise alt sertifika adımı veriyorum.

Alt kısımdaki ilgili yerleri doldurarak alt sertifika otoritemi de kaydediyorum.

Sertifika otoritelerimi oluşturdum ve hem root hem de alt sertifika otoritelerim aşağıdaki gibi görünmekte.

Şimdi sıra geldi Sertifika oluşturmaya bunun için Certificates sekmesine tıklıyorum.

Sağ alt taraftan yeni bir sertifika oluşturmak için Add/Sign diyorum.

Karşımdaki ekranda Desctriptive name yazan kısma ve Common Name kısmına makinamın adını veriyorum dashboad ekranındaki FQDN standartlarına uygun olan cihaz ismim makalenin başında değinmiştik.

Certificate Authority kısmında ise oluşturduğum alt sertifika otoritemi seçiyorum.

Sayfanın aşağısındaki ayarlara devam ediyorum.

Certificate Type kısmını Server Certificate seçiyorum. FQDN or Hostname kısmına cihazımın ismini veriyorum ve Add diyerek alternatif name ekliyorum.

Bu sefer IP address seçiyorum ve karşısına cihazıma eriştiğim IP adresini yazıyorum. Buradaki amaç hem cihaz adımız hem de ip adresimiz ile erişmek istediğimizde SSL bağlantımızın aktif olması için sertifikamıza bunun bilgisini veriyoruz.

Save diyerek sertifikamı oluşturuyorum.

Sertifikamı da oluşturduğuma göre artık sertifika otoritelerimi bilgisayarıma indirip tanıtabilirim.

CAs sekmesinde dönerek oluşturduğum root ve alt sertifikalarımı sağ tarafındaki Export CA yazan kısımdan bilgisayarıma indiriyorum.

Şimdi firewall cihazımızın Advanced ayarlarını yaparak devam ediyoruz.

WebConfiguration sekmesinden bağlantı olarak HTTPS (SSL/TLS) bağlantısını seçiyorum ve Certificate yazan kısımdan ise oluşturduğum sertifikamı seçiyorum. Sayfanın aşağısındaki ayarlara devam ediyorum.

Secure Shell bağlantısını Enable seçiyoruz. Serial Terminal bağlantısını da Enable seçerek ayarlarımı Save diyerek ayarlarımı kaydediyorum.

Şimdi indirdiğimiz sertifikalarımızı bilgisayarımıza tanıtabiliriz.

Windows ayarlar kısmına sertifika yazarak Bilgisayar Sertifikalarını Yönet kısmına tıklıyoruz.

Açılan ekranda Güvenilen Kök Sertifika Yetkileri kısmına tıklıyoruz ve mause üzerinden sağ tık yapıyoruz ve Tüm Görevler Al diyerek sertifikamızı dahil etmek için devam ediyoruz.

Karşımıza Sertifika Alma Sihirbazı çıkıyor ve devam ederek indirdiğimiz root sertifika otoritemizi seçiyoruz.

İleri diyerek sertifikamızı seçiyoruz.

İleri ve Son diyerek sertifikamızı ekliyoruz.

Sertifikamız başarılı bir şekilde eklendi ve görülmekte.

Şimdi aynı şekilde Ara Sertifika Yetkileri sekmesine tıklıyoruz.

Boş bir yerde mause sağ tık yapıyoruz ve Tüm Görevlerden Al diyerek sertifika alma işlemini başlatıyoruz.

Sihirbazı kullanarak indirdiğimiz alt sertifikamızı seçiyoruz ve ekliyoruz.

İleri ve Son diyerek bu sertifikamızı da başarılı bir şekilde eklemiş oluyoruz.

Eklenen sertifikamız sertifikalar arasında görünüyor sorun yok.

Artık pfsense cihazımıza herhangi bir tarayıcı üzerinden IP adresini veya Hostname’ini yazarak HTTPS protokolü üzerinden erişebilir ve güvenli bağlantı kurabiliriz.

Kaynak

• https://www.suleymankaratas.net/pfsense-ssl-sertifika-yukleme/