In dieser Anleitung erfahren Sie, wie Sie ein ACME SSL-Zertifikat auf pfSense installieren. Die Firewall unterstützt das ACME-Protokoll jetzt nativ über ihr integriertes Paket, mit dem Sie die Ausstellung und Erneuerung von SSL-Zertifikaten automatisieren können.

Dieser Prozess funktioniert mit kommerziellen Zertifizierungsstellen (CAs), die ACME + External Account Binding (EAB) unterstützen.
Bevor Sie beginnen
Das brauchen Sie:
- Eine pfSense 2.7 oder Plus 23.x Firewall mit Internetzugang.
- SSH- oder WebGUI-Verwaltungszugang.
- Die URL des ACME-Verzeichnisses Ihrer CA, die EAB-Schlüssel-ID und der HMAC-Schlüssel.
- Eine öffentliche Domain (z.B.
vpn.example.com), die zu Ihrer pfSense WAN-IP aufgelöst wird.
Schritt 1: Installieren Sie das ACME-Paket
- Gehen Sie zu System > Package Manager > Verfügbare Pakete.
- Suchen Sie nach acme.
- Klicken Sie auf Installieren und bestätigen Sie dann.
- Nach der Installation finden Sie ein neues Menü unter Dienste > ACME-Zertifikate.
Schritt 2: Erstellen Sie einen ACME-Kontoschlüssel
- Gehen Sie im Menü von pfSense auf Dienste > ACME-Zertifikate > Kontoschlüssel.
- Klicken Sie auf + Hinzufügen, um ein neues Konto zu erstellen.
- Füllen Sie diese Felder genau wie folgt aus:
- Name – Geben Sie dem Konto eine einfache Kennung (zum Beispiel Sectigo-EAB).
- ACME Server URL – Fügen Sie den Endpunkt des Verzeichnisses Ihrer CA ein, z.B. https://acme. sectigo.com/v2/DV
- E-Mail-Adresse – Geben Sie den für Ihre CA verwendeten Admin-Kontakt ein.
- EAB-Schlüssel-ID und EAB-HMAC-Schlüssel – Geben Sie die beiden von Ihrer CA bereitgestellten Werte ein. (Diese Felder werden in der GUI nur angezeigt, wenn Ihre Zertifizierungsstelle eine externe Kontobindung verlangt).
- Klicken Sie auf Neuen Kontoschlüssel erstellen und dann auf ACME-Kontoschlüssel registrieren.
Wenn die EAB-Felder in Ihrem pfSense-Build nicht sichtbar sind, können Sie sich trotzdem normal registrieren und später einen externen ACME-Client (wie acme.sh) verwenden, um Zertifikate manuell auszustellen und zu importieren. Funktionell funktionieren beide Wege mit kommerziellen CAs, die ACME + EAB unterstützen.
Schritt 3: Einen neuen Zertifikatseintrag hinzufügen
- Gehen Sie zu Dienste > ACME-Zertifikate > Zertifikate.
- Klicken Sie auf + Hinzufügen und benennen Sie den Eintrag (z.B. vpn-example).
- Wählen Sie unter Account Keys das Konto aus, das Sie zuvor erstellt haben.
- Fügen Sie in der Liste Domain SAN Ihre Domain hinzu (z.B. vpn.example.com).
- Wählen Sie für Challenge Type die Option HTTP-01 (empfohlen).
- Wählen Sie unter Methode die Option webroot lokaler Ordner oder Standalone, je nach Ihrer Einrichtung.
- Klicken Sie auf Speichern und Anwenden.
Schritt 4: HTTP-Validierung einrichten
Die Zertifizierungsstelle muss Ihr pfSense-Gerät über Port 80 erreichen, um den Besitz der Domäne zu bestätigen.
Wenn Sie Port 80 bereits für einen anderen Dienst verwenden, leiten Sie ihn vorübergehend auf das interne Webroot von pfSense um oder weiter.
Stellen Sie sicher, dass bei einer HTTPS-Umleitung der Pfadhttp://vpn.example.com/.well-known/acme-challenge/ auf einfachem HTTP bleibt.
Für Randfälle hinter NAT oder Reverse Proxies verwenden Sie eine Port-Weiterleitung oder eine virtuelle Serverregel, um den externen Zugriff auf diesen Validierungspfad zu gewährleisten.
Schritt 5: Ausstellen des Zertifikats
Zurück in Dienste > ACME-Zertifikate, klicken Sie auf die Schaltfläche Ausstellen/Erneuern für Ihr Zertifikat.
Sie sehen Live-Protokolle zu jedem Schritt:
- Kontoüberprüfung
- Domain-Validierung
- Ausstellung des Zertifikats
Sobald Sie fertig sind, wird Ihr neues Zertifikat unter System → Zertifikate angezeigt.
Schritt 6: Das Zertifikat anwenden
Verwenden Sie Ihr neues SSL-Zertifikat für jeden Dienst auf pfSense:
- WebGUI: System > Erweitert > Admin-Zugang > SSL-Zertifikat
- OpenVPN / IPsec / HAProxy: Wählen Sie dasselbe Zertifikat aus den jeweiligen Dropdown-Listen
- Klicken Sie auf Speichern und Änderungen übernehmen
Das ACME-Paket verwaltet Erneuerungen automatisch. Standardmäßig erneuert pfSense die Zertifikate 30 Tage vor Ablauf der Gültigkeit.
Zur Überprüfung oder manuellen Auslösung gehen Sie zu Dienste > ACME-Zertifikate > Ausstellen/Erneuern
Fallback-Methode: Erzeugen Sie das Zertifikat extern und importieren Sie es in pfSense
Wenn der ACME-Fluss Ihrer kommerziellen Zertifizierungsstelle nicht direkt in pfSense registriert wird, können Sie das Zertifikat immer noch auf einem anderen Linux- oder BSD-Server ausstellen und es manuell importieren. Diese Methode funktioniert mit jeder Zertifizierungsstelle, die ACME + External Account Binding (EAB) unterstützt, und ist der zuverlässigste Fallback für komplexe oder nicht unterstützte Umgebungen.
Schritt 1: ACME.sh einrichten
Installieren Sie auf einem beliebigen Linux- oder BSD-Rechner mit Internetzugang den ACME-Client:
curl https://get.acme.sh | sh
source ~/.bashrc
Dadurch wird acme.sh in Ihrem Home-Verzeichnis installiert und für die Verwendung mit kommerziellen ACME-Endpunkten vorbereitet.
Schritt 2: Registrieren Sie Ihr ACME-Konto bei Ihrer CA
Verwenden Sie die Anmeldedaten aus dem ACME-Portal Ihrer Zertifizierungsstelle, die Verzeichnis-URL, die Schlüssel-ID und den HMAC-Schlüssel.
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Dieser Schritt authentifiziert Ihr System mit dem ACME-Dienst der Zertifizierungsstelle. Sie führen diesen Schritt nur einmal pro Konto durch.
Schritt 3: Beantragen Sie das Zertifikat
Stellen Sie ein Zertifikat für Ihre pfSense-Domäne aus (zum Beispiel vpn.example.com).
acme.sh --issue \
-d vpn.example.com \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--standalone
Wenn Ihre CA oder Ihre Netzwerkeinrichtung stattdessen eine DNS-Validierung erfordert, ersetzen Sie die letzte Zeile durch --dns dns_cf (Verwenden Sie das DNS-Plugin, das zu Ihrem Provider passt.)
Wenn Sie fertig sind, werden die Zertifikate unter gespeichert: ~/.acme.sh/vpn.example.com/
Schritt 4: Suchen Sie die Dateien
In diesem Ordner finden Sie Folgendes:
- fullchain.cer – Zertifikat und Zwischenkette
- vpn.example.com.key – privater Schlüssel
- ca.cer – CA-Root-/Zwischenzertifikat
Dies sind die Dateien, die Sie auf pfSense hochladen.
Schritt 5: Importieren Sie das Zertifikat in pfSense
Melden Sie sich bei pfSense an und gehen Sie zu System > Zertifikate.
- Klicken Sie auf Hinzufügen/Importieren.
- Fügen Sie den Inhalt Ihres Zertifikats (
fullchain.cer) und Ihres privaten Schlüssels (vpn.example.com.key) ein. - Optional können Sie die CA-Kette hinzufügen (
ca.cer). - Klicken Sie auf Speichern.
pfSense wird dieses kommerzielle Zertifikat nun als gültig erkennen und speichern.
Schritt 6: Anwenden und Automatisieren
Sie können das importierte Zertifikat nun verwenden für:
- System > Erweitert > Admin-Zugang (WebGUI)
- OpenVPN- oder IPsec-Server
- HAProxy oder Nginx Pakete
Für Verlängerungen automatisieren Sie den Prozess, indem Sie einen Cron-Job auf Ihrem externen Host für die Erneuerung mit acme.sh einplanen und dann die Dateien mit SCP oder der pfSense-API erneut auf pfSense hochladen.
Allgemeine Fragen
Wenn Sie ACME zum ersten Mal mit einer kommerziellen CA einrichten, lesen Sie die Antworten auf die häufigsten Fragen:
Kann ich dies mit jeder CA verwenden?
Sie können dies mit einer Zertifizierungsstelle verwenden, die eine ACME-Verzeichnis-URL und EAB-Anmeldeinformationen bereitstellt (wie Sectigo oder DigiCert).
Welcher Port ist für die Validierung erforderlich?
Nur Port 80 (HTTP). Leiten Sie sie nicht auf HTTPS um, bevor die Validierung abgeschlossen ist.
Warum ist meine Validierung plötzlich fehlgeschlagen, nachdem sie vorher funktioniert hat?
Wenn Ihre ACME-Einrichtung funktionierte und plötzlich nicht mehr funktioniert, liegt das meist an einer Netzwerk- oder DNS-Änderung. Prüfen Sie, ob sich Ihre WAN-IP oder NAT-Regel geändert hat, oder ob eine neue Firewall-Richtlinie eingehendes HTTP (Port 80) blockiert. Vergewissern Sie sich auch, dass Ihre Domain immer noch auf dieselbe öffentliche IP-Adresse aufgelöst wird. Die ACME-Validierung hängt von der externen Erreichbarkeit ab. Schon eine Umleitung oder ein blockierter Port kann die Validierung unterbrechen.
Kann ich EAB-Zugangsdaten auf verschiedenen Geräten verwenden?
Das hängt von Ihrer Zertifizierungsstelle ab. Einige verlangen eindeutige Anmeldedaten pro Domäne oder Appliance.
Letzte Worte
Mit diesem Setup können Sie ein ACME SSL-Zertifikat von kommerziellen Zertifizierungsstellen, die EAB unterstützen, auf pfSense installieren und dessen Lebenszyklus vollständig automatisieren. Dies ist eine stabile, unternehmenstaugliche Methode, um Ihre VPNs, WebGUI und Reverse Proxies kontinuierlich vertrauenswürdig zu halten, ohne manuelle Erneuerungen, unterbrochene Ketten oder Ausfallzeiten, die wichtige Dienste unterbrechen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

