ستتعلم في هذا الدليل كيفية تثبيت شهادة ACME SSL على pfSense. يدعم جدار الحماية الآن بروتوكول ACME بشكل أصلي من خلال الحزمة المدمجة الخاصة به، والتي تتيح لك أتمتة إصدار شهادة SSL وتجديدها.

تعمل هذه العملية مع المراجع المصدقة التجارية (CAs) التي تدعم ACME + ربط الحساب الخارجي (EAB).
قبل أن تبدأ
ستحتاج إلى
- جدار حماية pfSense 2.7 أو Plus 23.x مع إمكانية الوصول إلى الإنترنت.
- وصول مشرف SSH أو WebGUI.
- عنوان URL لدليل ACME الخاص بـ CA الخاص بك، ومعرف مفتاح EAB، ومفتاح HMAC.
- نطاق عام (على سبيل المثال،
vpn.example.com) الذي يحل إلى عنوان IP الخاص بشبكة pfSense WAN الخاصة بك.
الخطوة 1: تثبيت حزمة ACME
- انتقل إلى النظام > مدير الحزم > الحزم المتوفرة الحزم المتوفرة.
- ابحث عن “أكمي
- انقر فوق تثبيت، ثم تأكيد.
- بعد التثبيت، ستجد قائمة جديدة في الخدمات > شهادات ACME.
الخطوة 2: إنشاء مفتاح حساب ACME
- في قائمة pfSense، انتقل إلى الخدمات > شهادات ACME > مفاتيح الحساب.
- انقر فوق + إضافة لإنشاء حساب جديد.
- املأ هذه الحقول تماماً كما يلي
- الاسم – امنح الحساب معرّفًا سهلًا (على سبيل المثال Sectigo-EAB).
- عنوان URL لخادم ACME – الصق نقطة نهاية دليل CA الخاص بك، على سبيل المثال https://acme.sectigo.com/v2/DV
- عنوان البريد الإلكتروني – أدخل عنوان البريد الإلكتروني – أدخل جهة اتصال المسؤول المستخدمة مع المرجع المصدق (CA) الخاص بك.
- معرف مفتاح EAB Key ID ومفتاح EAB HMAC – أدخل كلا القيمتين اللتين يوفرهما المرجع المصدق (CA) الخاص بك. (لا تظهر هذه الحقول في واجهة المستخدم الرسومية إلا إذا كان المرجع المصدق (CA) الخاص بك يتطلب ربط حساب خارجي).
- انقر فوق إنشاء مفتاح حساب جديد، ثم تسجيل مفتاح حساب ACME.
إذا كانت حقول EAB غير مرئية في بناء pfSense الخاص بك، فلا يزال بإمكانك التسجيل بشكل طبيعي، ثم استخدام عميل ACME خارجي (مثل acme.sh) لإصدار الشهادات واستيرادها يدويًا. من الناحية الوظيفية، يعمل كلا المسارين مع المراجع المصدقة التجارية التي تدعم ACME + EAB.
الخطوة 3: إضافة إدخال شهادة جديدة
- انتقل إلى الخدمات > شهادات ACME > الشهادات.
- انقر فوق + إضافة وقم بتسمية الإدخال (على سبيل المثال، vpn-example).
- ضمن مفاتيح الحساب، حدد الحساب الذي قمت بإنشائه مسبقاً.
- في قائمة نطاقات SAN، أضف نطاقك (على سبيل المثال، vpn.example.com).
- بالنسبة لنوع التحدي، اختر HTTP-01 (مستحسن).
- في الطريقة، اختر مجلد webroot المحلي أو المستقل حسب إعدادك.
- انقر فوق حفظ وتطبيق.
الخطوة 4: إعداد التحقق من صحة HTTP
يجب أن يصل المرجع المصدق (CA) إلى جهاز pfSense على المنفذ 80 لتأكيد ملكية المجال.
إذا كنت تستخدم بالفعل المنفذ 80 لخدمة أخرى، قم بإعادة توجيهه أو إعادة توجيهه مؤقتًا إلى منفذ ويب داخلي لـ pfSense.
تأكد من أن أي إعادة توجيه HTTPS تسمح للمسارhttp://vpn.example.com/.well-known/acme-challenge/ بالبقاء على HTTP العادي.
بالنسبة لحالات الحافة خلف NAT أو الوكلاء العكسيين، استخدم قاعدة إعادة توجيه المنفذ أو قاعدة الخادم الافتراضي لضمان الوصول الخارجي إلى مسار التحقق من الصحة هذا.
الخطوة 5: إصدار الشهادة
مرة أخرى في الخدمات > شهادات ACME، انقر على زر إصدار/تجديد للشهادة الخاصة بك.
سترى سجلات مباشرة توضح كل خطوة:
- التحقق من الحساب
- التحقق من صحة المجال
- إصدار الشهادات
بمجرد اكتمالها، ستظهر شهادتك الجديدة ضمن النظام → الشهادات.
الخطوة 6: تطبيق الشهادة
استخدم شهادة SSL الجديدة لأي خدمة على pfSense:
- WebGUI: النظام > متقدم > وصول المسؤول وصول المسؤول > شهادة SSL
- OpenVPN / IPsec / HAProxy: حدد نفس الشهادة من القوائم المنسدلة الخاصة بكل منهما
- انقر فوق حفظ وتطبيق التغييرات
تعالج حزمة ACME عمليات التجديد تلقائيًا. بشكل افتراضي، تقوم pfSense بتجديد الشهادات قبل 30 يوماً من انتهاء صلاحيتها.
للتحقق أو التشغيل يدويًا انتقل إلى الخدمات > شهادات ACME > إصدار/تجديد إصدار/تجديد
الطريقة الاحتياطية: إنشاء الشهادة خارجيًا واستيرادها إلى pfSense
إذا لم يتم تسجيل تدفق ACME الخاص بـ CA التجاري الخاص بك مباشرةً داخل pfSense، فلا يزال بإمكانك إصدار الشهادة على خادم Linux أو BSD آخر واستيرادها يدويًا. تعمل هذه الطريقة مع أي CA يدعم ACME + ربط الحساب الخارجي (EAB) وهي الطريقة الاحتياطية الأكثر موثوقية للبيئات المعقدة أو غير المدعومة.
الخطوة 1: إعداد ACME.sh
على أي جهاز لينكس أو BSD متصل بالإنترنت، قم بتثبيت عميل ACME على أي جهاز لينكس أو BSD متصل بالإنترنت:
curl https://get.acme.sh | sh
source ~/.bashrc
يؤدي هذا إلى تثبيت acme.sh في الدليل الرئيسي الخاص بك وإعداده للاستخدام مع نقاط نهاية ACME التجارية.
الخطوة 2: تسجيل حساب ACME الخاص بك لدى المرجع المصدق (CA)
استخدم بيانات الاعتماد من بوابة ACME الخاصة بـ CA، وعنوان URL للدليل، ومُعرّف المفتاح، ومفتاح HMAC.
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
تقوم هذه الخطوة بمصادقة نظامك مع خدمة ACME الخاصة ب CA. يمكنك القيام بذلك مرة واحدة فقط لكل حساب.
الخطوة 3: طلب الشهادة
إصدار شهادة لنطاق pfSense الخاص بك (على سبيل المثال vpn.example.com).
acme.sh --issue \
-d vpn.example.com \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--standalone
إذا كان المرجع المصدق المرجعي المصدق (CA) أو إعداد الشبكة يتطلب التحقق من صحة DNS بدلاً من ذلك، استبدل السطر الأخير بـ --dns dns_cf (استخدم المكون الإضافي DNS الذي يطابق موفر الخدمة لديك).
عند الانتهاء، يتم تخزين الشهادات تحت: ~/.acme.sh/vpn.example.com/
الخطوة 4: حدد موقع الملفات
داخل هذا المجلد، سترى
- fullchain.cer – الشهادة والسلسلة الوسيطة
- vpn.example.com.key – المفتاح الخاص
- CA.cer – شهادة CA الجذر/الشهادة الوسيطة
هذه هي الملفات التي سترفعها إلى pfSense.
الخطوة 5: استيراد الشهادة إلى pfSense
قم بتسجيل الدخول إلى pfSense وانتقل إلى النظام > الشهادات.
- انقر فوق إضافة/استيراد.
- الصق محتويات الشهادة (
fullchain.cer) والمفتاح الخاص (vpn.example.com.key). - اختياريًا، أضف سلسلة CA (
ca.cer). - انقر فوق حفظ.
سيتعرف pfSense الآن على هذه الشهادة التجارية ويخزنها على أنها صالحة.
الخطوة 6: التطبيق والأتمتة
يمكنك الآن استخدام الشهادة المستوردة من أجل:
- النظام > متقدم > وصول المسؤول (WebGUI)
- خوادم OpenVPN أو IPsec
- حزم HAProxy أو Nginx
بالنسبة للتجديدات، قم بأتمتة العملية عن طريق جدولة مهمة cron على مضيفك الخارجي للتجديد باستخدام acme.sh ، ثم أعد تحميل الملفات إلى pfSense باستخدام SCP أو واجهة برمجة تطبيقات pfSense.
الأسئلة الشائعة
إذا كنت تقوم بإعداد ACME مع المرجع المصدق (CA) التجاري لأول مرة، تحقق من إجابات الأسئلة الأكثر شيوعًا:
هل يمكنني استخدام هذا مع أي من أنواع CA؟
يمكنك استخدام هذا مع CA الذي يوفر عنوان URL لدليل ACME وبيانات اعتماد EAB (مثل Sectigo أو DigiCert).
ما هو المنفذ المطلوب للتحقق من الصحة؟
المنفذ 80 (HTTP) فقط. لا تعيد توجيهه إلى HTTPS حتى يكتمل التحقق من الصحة.
لماذا بدأت عملية التحقق من صحتي بالفشل فجأة بعد أن كانت تعمل من قبل؟
إذا كان إعداد ACME الخاص بك يعمل وفشل فجأة، فعادةً ما يكون السبب في ذلك هو تغيير في الشبكة أو نظام أسماء النطاقات. تحقق مما إذا كان عنوان IP الخاص بشبكة WAN أو قاعدة NAT قد تغير، أو إذا كانت سياسة جدار الحماية الجديدة تحظر HTTP (المنفذ 80) الوارد. تأكد أيضًا من أن نطاقك لا يزال يحل إلى نفس عنوان IP العام. يعتمد التحقق من صحة ACME على إمكانية الوصول الخارجي. حتى إعادة توجيه واحد أو منفذ محظور يمكن أن يعطله.
هل يمكنني مشاركة بيانات اعتماد EAB عبر الأجهزة؟
يعتمد ذلك على المرجع المصدق المرجعي المرجعي، فبعضها يتطلب بيانات اعتماد فريدة لكل مجال أو جهاز.
الكلمات الأخيرة
من خلال هذا الإعداد، يمكنك تثبيت شهادة ACME SSL على pfSense من المراجع المصدقة ذات المصداقية التجارية التي تدعم EAB والحفاظ على الأتمتة الكاملة على مدار دورة حياتها. إنها طريقة مستقرة على مستوى المؤسسات للحفاظ على موثوقية الشبكات الافتراضية الخاصة ووحدة تحكم الويب والوكلاء العكسيين بشكل مستمر دون الحاجة إلى تجديدات يدوية أو سلاسل معطلة أو توقف الخدمات الهامة.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

