Remplacer le certificat auto-signé
Par défaut OPNsense fourni un certificat auto-signé. La bonne pratique serait de le remplacer par un certificat valide reconnu par une autorité de certification internet.
Je vous déconseille également de créer certificat à partir d’une autorité de certification interne à votre réseau LAN que ce soit via OpenSSL ou via l’ADCS, Microsoft Active Directory Certificate Services. En effet, nous avons besoin d’un certificat pour un firewall connecté directement ou indirectement à Internet.
Dans ce cas, vous avez 2 possibilités :
- Soit acheter un certificat chez fournisseur reconnu comme GlobalSign, CertEurope, etc…
- Soit Installer un certificat Gratuit comme let’s Encrypt et dans ce cas je vous renvois sur mon article :
Installer un Certificat Let’s Encrypt sur OPNsense avec l’API Token de CloudFlare.
Dans tous les cas de figure, je vous conseille également depuis le menu :
Système > Paramètres > Administration
- Activé le protocole HTTPS de l’interface web d’administration,
- Activé la Sécurité du transport HTTP en mode Strict,
- Désactiver la redirection HTTP.
Sur chaque page de configuration de l’interface web d’administration d’OPNsense, caractérisé par un bouton sur le coin supérieure droit, vous pouvez obtenir l’aide complète pour chaque rubrique. Je vous recommande de l’activer car c’est un source d’information indispensable.