Wenn Sie SSL/TLS auf Ihrer OPNsense-Firewall verwalten, ist die Verwendung des integrierten ACME-Client-Plugins ein sicherer und automatisierter Weg, um Zertifikate von vertrauenswürdigen CAs wie Sectigo auszustellen und zu erneuern. In diesem Leitfaden erfahren Sie, wie Sie mit dem offiziellen Plugin ein ACME-Zertifikat auf OPNsense installieren, Ihr ACME-Konto mit EAB-Anmeldedaten konfigurieren, den Besitz einer Domain überprüfen und Zertifikate automatisch bereitstellen.

Diese Methode ist ideal für diejenigen, die OPNsense als Gateway, Reverse Proxy oder zur Sicherung von Diensten hinter NAT verwenden. Lassen Sie uns die einzelnen Schritte durchgehen.
Was Sie brauchen
Bevor Sie beginnen, stellen Sie sicher, dass Sie alles haben:
- Administrator-Zugang zur OPNsense Web-Oberfläche
- Ein gültiger Domainname, der auf Ihre OPNsense-Instanz verweist
- Port 80 geöffnet (für HTTP-01-Validierung)
- ACME-Zertifikate von Ihrem Zertifikatsanbieter:
- ACME-Verzeichnis-URL (z.B. https://acme.sectigo.com/v2/DV)
- EAB-Schlüsselbezeichner (KID) und HMAC-Schlüssel
Schritt 1 – Installieren und Aktivieren des ACME-Plugins
- Melden Sie sich bei der OPNsense Web-Oberfläche an.
- Navigieren Sie zu System > Firmware > Plugins.
- Suchen Sie das Plugin namens os-acme-client.
- Klicken Sie auf die Schaltfläche + daneben, um es zu installieren.
- Aktualisieren Sie nach der Installation die Oberfläche (drücken Sie F5).
- Gehen Sie zu Dienste > ACME Client > Einstellungen und aktivieren Sie Plugin aktivieren. Klicken Sie auf Speichern.

Dies aktiviert das ACME-Client-Backend und schaltet die Konfigurationsoptionen frei.
Schritt 2 – Hinzufügen eines ACME-Kontos
Um OPNsense mit Ihrer Zertifizierungsstelle zu verbinden, müssen Sie ein ACME-Konto mit External Account Binding (EAB) erstellen.
- Gehen Sie zu Dienste > ACME Client > Konten. Klicken Sie auf + Hinzufügen.
- Füllen Sie das Formular aus:
- Kontoname: Wählen Sie einen beliebigen, beschreibenden Namen.
- E-Mail Adresse: Für Verfallsmitteilungen oder Fehler.
- ACME CA: Wählen Sie Benutzerdefinierte CA-URL.
- Benutzerdefinierte CA-URL: Fügen Sie die URL des ACME-Verzeichnisses Ihrer CA ein (z.B. https://acme.sectigo.com/v2/DV)
- Schlüssel-Identifikator: Geben Sie Ihre EAB KID ein.
- HMAC-Schlüssel: Geben Sie Ihren EAB HMAC-Schlüssel ein.
- Klicken Sie auf Speichern und dann auf Registrieren , um das ACME-Konto zu erstellen.

Stellen Sie sicher, dass die KID und der HMAC exakt kopiert werden, ohne führende/folgende Leerzeichen.
Schritt 3 – Einrichten einer Validierungsmethode (Challenge Type)
Um den Besitz einer Domain zu beweisen, verwendet ACME Challenge-Typen. Für OPNsense ist der häufigste HTTP-01.
- Gehen Sie zu Dienste > ACME Client > Herausforderungsarten. Klicken Sie auf + Hinzufügen.
- Wählen Sie HTTP-01 als Überprüfungsmethode. Dazu muss Port 80 vom öffentlichen Internet aus zugänglich sein.
- Speichern Sie und übernehmen Sie die Änderungen.

Wenn Ihre Firewall Port 80 blockiert oder Sie ein DNS-basiertes Hosting verwenden, sollten Sie eine alternative Validierungsmethode in Erwägung ziehen (nicht in allen Versionen nativ unterstützt).
Schritt 4 – Erstellen und Ausstellen des Zertifikats
Jetzt, wo Ihr Konto und die Validierungsmethode fertig sind:
- Gehen Sie zu Dienste > ACME Client > Zertifikate. Klicken Sie auf + Hinzufügen.
- Füllen Sie die Zertifikatseinstellungen aus:
- Domänenname: Geben Sie Ihre vollständige Domain ein (z. B. vpn.example.com)
- ACME-Konto: Wählen Sie das in Schritt 2 erstellte Konto.
- Überprüfungsmethode: Wählen Sie die HTTP-01 Herausforderung, die Sie in Schritt 3 festgelegt haben.
- Speichern und anwenden.

Der ACME-Client wird nun versuchen, Ihre Domäne zu überprüfen und das Zertifikat auszustellen.
Sobald dies geschehen ist, wird das Zertifikat gespeichert und steht für die Verwendung im System zur Verfügung, einschließlich Web-GUI, HAProxy, OpenVPN und anderen Plugins.
Schritt 5 – Erneuerung automatisieren und Zertifikate anwenden
Nach der Einrichtung werden die Zertifikate automatisch erneuert, bevor sie ablaufen.
Sie können das ausgestellte Zertifikat den OPNsense-Diensten über System > Einstellungen > Verwaltung oder einzelne Plugin-Einstellungen zuweisen.
Sie können die Erneuerung auch manuell unter Dienste > ACME Client > Zertifikate auslösen, indem Sie Ihren Eintrag auswählen und auf Ausstellen/Erneuern klicken.
Allgemeine Fragen
Selbst bei einer funktionierenden Einrichtung kann die Verwaltung von ACME-Zertifikaten in OPNsense einige praktische Probleme aufwerfen, insbesondere bei der Fehlersuche, der Anwendung von Zertifikaten auf Dienste oder bei Problemen mit der Erneuerung. Hier finden Sie Antworten auf echte Probleme, auf die Benutzer nach der ersten Konfiguration häufig stoßen:
Wie weise ich das Zertifikat Diensten wie OpenVPN oder der Web-Benutzeroberfläche zu?
Sobald das Zertifikat ausgestellt ist, gehen Sie zu System > Vertrauen > Zertifikate, suchen Sie Ihr ausgestelltes Zertifikat und klicken Sie auf das Symbol Bearbeiten. Unten sehen Sie einen Abschnitt „Verwendet von„, in dem Sie es der Web-GUI, OpenVPN, IPsec oder anderen Diensten zuweisen können.
Vergessen Sie nicht, diese Dienste neu zu starten, um das neue Zertifikat zu verwenden.
Mein Zertifikat ist ausgestellt, wird aber nicht als aktiv angezeigt – was ist los?
Vergewissern Sie sich, dass es im Bereich Vertrauen > Zertifikate ausgewählt und aktiv mit dem Dienst verknüpft ist, den Sie sichern möchten. Die Ausstellung allein bindet das Zertifikat nicht automatisch – Sie müssen es manuell Diensten wie GUI oder VPN zuweisen.
Prüfen Sie auch, ob der Domänenname in Ihrem Zertifikat mit dem im Dienst konfigurierten übereinstimmt (insbesondere für den Zugriff auf die Web-UI).
Warum ist HTTP-01 die einzige unterstützte Methode?
Der OPNsense ACME-Client unterstützt derzeit standardmäßig die HTTP-01-Validierung. DNS-01 oder andere erweiterte Optionen erfordern möglicherweise Skripte von Drittanbietern oder externe Automatisierung und werden nicht nativ unterstützt.
Letzte Worte
Sie haben jetzt gelernt, wie Sie ein ACME-Zertifikat auf OPNsense mit dem integrierten Plugin und EAB-Zertifikaten einer kommerziellen Zertifizierungsstelle installieren können. Durch die automatische Erneuerung und die einfache Integration mit Firewall-Diensten sorgt diese Methode für die Sicherheit Ihres Systems bei minimalem manuellem Aufwand.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

