Cette procédure vous guidera à travers les étapes pour remplacer le certificat auto-signé par défaut de pfSense par un certificat valide émis par votre propre autorité de certification (CA) d’entreprise.

1. Constat : L’avertissement du certificat auto-signé #

Lorsque vous vous connectez à l’interface web de pfSense pour la première fois, votre navigateur (par exemple, Mozilla Firefox) affiche un avertissement de sécurité.

• Naviguez vers l’interface web de pfSense.
• L’avertissement « Attention : risque probable de sécurité » s’affiche. Cliquez sur « Avancé ».

• Le navigateur vous indique que « Le certificat n’est pas sûr car il est auto-signé ».

• Cliquez sur « Afficher le certificat ». Vous pouvez voir que le certificat a été émis par lui-même, ce qui confirme qu’il est auto-signé.

• Pour le moment, cliquez sur « Accepter le risque et poursuivre » pour accéder à l’interface.

• Dans la barre d’adresse, le cadenas présente un triangle d’avertissement indiquant une « Connexion non sécurisée ».

• Pour voir le certificat actuel dans pfSense, allez dans System -> Cert. Manager.

• Dans l’onglet « Certificates », vous verrez un certificat nommé « webConfigurator default » avec le type « self-signed ».

2. Modifier le nom d’hôte et le domaine de pfSense #

Pour que le certificat que nous allons créer soit valide, nous devons d’abord configurer correctement le nom de domaine de pfSense.

• Naviguez vers System -> General Setup.

• Dans la section « System », modifiez les champs suivants :
  • Hostname : Entrez le nom d’hôte souhaité (par exemple, pfsense).
  • Domain : Entrez le nom de votre domaine local (par exemple, informatiweb.lan).

• En bas de la page, cliquez sur Save pour appliquer les modifications.

3. Configurer le serveur DNS local #

Votre serveur DNS local doit pouvoir résoudre le nom de domaine complet (FQDN) de pfSense.

• Sur votre serveur DNS local (par exemple, un serveur Windows), créez une zone de recherche directe pour votre domaine local (par exemple, informatiweb.lan) si ce n’est pas déjà fait.
• Créez un enregistrement A pour le nom d’hôte pfsense et associez-le à l’adresse IP de votre pare-feu pfSense.

De la même manière, crée un enregistrement PTR dans la zone de recherche inversée, si celle-ci a été configurée.

4. Créer la demande de signature de certificat (CSR) #

Maintenant, nous allons créer une demande de signature de certificat directement depuis pfSense.

• Allez dans System -> Cert. Manager.

• Allez dans l’onglet Certificates et cliquez sur Add.

• Remplissez le formulaire de la manière suivante :
  • Method : Choisissez Create a Certificate Signing Request (CSR).
  • Descriptive name : Donnez un nom explicite (par exemple, pfsense-webconfigurator-csr).

• Key type : Laissez la valeur par défaut RSA.
• Key length : Laissez la valeur par défaut 2048.
• Digest Algorithm : Laissez la valeur par défaut SHA256.
• Common Name : Entrez le FQDN de votre pfSense (par exemple, pfsense.informatiweb.lan).
• Country Code, State or Province, City, Organization et Email address : Remplissez ces champs avec les informations de votre organisation.

• Type de certificat : Choisissez « Certificat de serveur » (Server Certificate).
  • Pour protéger l’accès à l’interface web de pfSense, nous avons besoin d’un certificat qui identifie le serveur. C’est ce qu’on appelle un « certificat de serveur ».
• Noms alternatifs (Alternative Names) : Ce sont d’autres noms (ou adresses IP) que vous pouvez utiliser pour accéder à pfSense.
  • Cliquez sur le bouton Ajouter (Add) pour en ajouter.

Pour les Noms alternatifs (Alternative Names), suivez ces étapes :

• Nom de domaine complet (FQDN) ou Nom d’hôte : Entrez pfsense.informatiweb.lan. Cela correspond au nom complet de votre machine pfSense.
• Adresse IP : Entrez 10.0.0.1. Cela correspond à l’adresse IP de pfSense.

Une fois ces informations saisies, cliquez sur Enregistrer (Save).

La CSR est maintenant créée et apparaît dans la liste. Cliquez sur la seconde icône pour afficher le contenu de la CSR.

En cas d’utilisation d’une autorité de certification (CA) sous Windows Server, vous devez vous connecter à son interface web.

• Connectez-vous en tant qu’administrateur (ou un utilisateur avec les droits nécessaires) à l’adresse suivante : https://ca.votredomaine.lan/certsrv.

5. Demander un certificat à la CA #

• Sur l’interface de votre CA, cliquez sur Demander un certificat puis sur demande de certificat avancée.

• Ouvrez le fichier de la demande de certificat (.req) que vous avez téléchargé depuis pfSense avec un éditeur de texte (comme le Bloc-notes).
• Copiez l’intégralité de son contenu, y compris les lignes -----BEGIN CERTIFICATE REQUEST----- et -----END CERTIFICATE REQUEST-----.

• Dans la case Base-64-encoded … de l’interface web de votre CA, collez le contenu copié.

• Sélectionnez le modèle de certificat Serveur Web (ou votre modèle personnalisé) dans la liste déroulante.
• Cliquez sur Envoyer.

6. Télécharger le certificat émis #

• Une fois le certificat délivré, sélectionnez le format Codé en base 64.
• Cliquez sur Télécharger le certificat.

7. Importer le nouveau certificat dans pfSense #

• Retournez dans pfSense, allez dans System > Cert. Manager, puis dans l’onglet Certificates.
• Cliquez sur l’icône Modifier (le crayon) à droite de votre demande de certificat en attente.

• Ouvrez le fichier .cer que vous venez de télécharger avec un éditeur de texte.
• Copiez l’intégralité de son contenu, y compris les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

• Collez ce contenu dans le champ Final certificate data.

• Cliquez sur Update.

8. Configurer pfSense pour utiliser le nouveau certificat #

• Allez dans System > Advanced.

• Dans la section webConfigurator, modifiez les paramètres suivants :
  • Protocole : Sélectionnez HTTPS (SSL/TLS).
  • Certificat SSL/TLS : Choisissez le certificat que vous venez d’importer (par exemple, « web interface cert »).

• Cliquez sur Save en bas de la page.

Vérification finale #

• Attendez que la page s’actualise automatiquement (environ 20 secondes).
• Vous devriez voir le cadenas dans la barre d’adresse sans le petit triangle d’avertissement.

• En cliquant sur le cadenas, le navigateur doit afficher Connexion sécurisée.

Note importante pour les navigateurs #

• Si vous utilisez un navigateur comme Mozilla Firefox, qui gère son propre magasin de certificats, il est possible que vous deviez importer le certificat de votre CA dans les paramètres du navigateur pour qu’il reconnaisse le nouveau certificat de pfSense comme valide.
• Dans Firefox, allez dans Outils > Paramètres > Vie privée et sécurité, puis dans la section Certificats, cliquez sur Afficher les certificats > Autorités > Importer.