Mit Hilfe von XCA ist es recht einfach eine eigene Zertifizierungsstelle (CA - Certificate Authority) zum Ausstellen von Zertifikaten zu erstellen. Beachten sollte man das die mit XCA erstellten Zertifikate nicht standardmäßig vertraut werden, da es sich nicht um eine offizielle Zertifizierungsstelle handelt. Dazu muss das erstellte CA-Zertifikat im Browser bzw. Betriebssystem importiert werden.

XCA gibt es für macOS, Linux und Windows und ist damit universell einsetzbar. Benutzt werden können die damit erstellten Zertifikate z.B. für das Webinterface vom NAS oder Router. Auch wären damit EAP-TLS für WLAN, oder private S/MIME E-Mail Verschlüsselung möglich. In dieser Anleitung geht es aber um den Aufbau einer CA und das Erstellen von Server-Zertifikaten.

Trotz umfangreicher Feeds/Listen im pfBlockerNG gelingt es so manchem „Schmutz“ doch noch zu den Servern vorzudringen. Diese IP-Adressen werden alle 3 Stunden automatisch in den Blocklisten gesammelt, die auf eigene Gefahr für jeden nutzbar sind.

IPv4 Adressen
https://www.pixelcontainer.net/hostslist/sfs.txt

IPv6 Adressen
https://www.pixelcontainer.net/hostslist/sfs_ipv6.txt

Bitte beachten!
Es wird unter IPv6 das komplette OVH Netz gesperrt. Diese Regel sollte deswegen nur eingehend angewendet werden, da sonst auch legale Dienste betroffen sind.
Dieser Schritt war notwendig, da dieses Netz mit Sitz in Frankreich umfangreich für viele illegale Tätigkeiten genutzt wird.

OVH - IPv6
2001:41d0::/32

Einmal gesperrte IP-Adressen bleiben in der Regel dauerhaft in den Listen gespeichert.

Icinga2 Check -  Öffentliche WAN IP Adresse der pfSense gleich der im DNS vom DynDNS Anbieter

Wenn man an seinem eigenen DSL Anschluss mit Zwangstrennung einen Dienst betreibt, der vom Internet aus erreichbar sein soll, ist es hilfreich zu wissen, ob die beim DynDNS Anbieter hinterlegten IP Adressen mit der des WAN Interfaces vom Router übereinstimmen.

Da die pfSense Software nicht für jeden DynDNS Anbieter einen vorgefertigten Dienst zur IPv6 Aktualisierung anbietet, ein Beispiel Script für den DynDNS Anbieter Selfhost (ein anderer Anbieter ist möglich). Getestet wurde dieser Script mit einer APU.1D4 und APU.2C4, er sollte aber auch unter jeder anderen Umgebung laufen.

Der Custom (v6) Dienst der pfSense funktionierte in meinem Fall nicht, da es durch die verschiedenen Schreibweisen von IPv6 Adressen zu Problemen mit dem Ergebnis kam.