En esta guía aprenderás a instalar un certificado SSL ACME en pfSense. El cortafuegos soporta ahora el protocolo ACME de forma nativa a través de su paquete integrado, que te permite automatizar la emisión y renovación de certificados SSL.

Este proceso funciona con las autoridades de certificación (CA) comerciales que admiten ACME + Vinculación de cuenta externa (EAB).
Antes de empezar
Necesitarás
- Un cortafuegos pfSense 2.7 o Plus 23.x con acceso a Internet.
- Acceso de administrador SSH o WebGUI.
- La URL del directorio ACME de tu CA, el ID de la clave EAB y la clave HMAC.
- Un dominio público (por ejemplo,
vpn.example.com) que resuelva a la IP de tu WAN pfSense.
Paso 1: Instala el paquete ACME
- Ve a Sistema > Gestor de Paquetes > Paquetes disponibles.
- Busca acme.
- Haz clic en Instalar y, a continuación, confirma.
- Tras la instalación, encontrarás un nuevo menú en Servicios > Certificados ACME.
Paso 2: Crear una clave de cuenta ACME
- En el menú de pfSense, ve a Servicios > Certificados ACME > Claves de Cuenta.
- Haz clic en + Añadir para crear una cuenta nueva.
- Rellena estos campos exactamente como se indica a continuación:
- Nombre – Dale a la cuenta un identificador fácil (por ejemplo Sectigo-EAB).
- URL del servidor ACME – Pega el punto final del directorio de tu CA, por ejemplo https://acme.sectigo.com/v2/DV
- Dirección de correo electrónico – Introduce el contacto administrativo utilizado con tu AC.
- ID de la Clave EAB y Clave EAB HMAC – Introduce ambos valores proporcionados por tu CA. (Estos campos sólo aparecen en la GUI si tu CA requiere la Vinculación Externa de Cuentas).
- Haz clic en Crear nueva clave de cuenta y, a continuación, en Registrar clave de cuenta ACME.
Si los campos EAB no son visibles en tu compilación de pfSense, puedes registrarte normalmente y, más tarde, utilizar un cliente ACME externo (como acme.sh) para emitir e importar certificados manualmente. Funcionalmente, ambas vías funcionan con las CA comerciales que admiten ACME + EAB.
Paso 3: Añadir una nueva entrada de certificado
- Ve a Servicios > Certificados ACME > Certificados.
- Haz clic en + Añadir y asigna un nombre a la entrada (por ejemplo, vpn-ejemplo).
- En Claves de cuenta, selecciona la cuenta que creaste anteriormente.
- En la Lista de dominios SAN, añade tu dominio (por ejemplo, vpn.ejemplo.com).
- Para el Tipo de desafío, elige HTTP-01 (recomendado).
- En el Método, elige carpeta local de webroot o independiente dependiendo de tu configuración.
- Pulsa Guardar y Aplicar.
Paso 4: Configurar la validación HTTP
La CA debe alcanzar tu dispositivo pfSense en el puerto 80 para confirmar la propiedad del dominio.
Si ya utilizas el puerto 80 para otro servicio, redirígelo o reenvíalo temporalmente al webroot interno de pfSense.
Asegúrate de que cualquier redirección HTTPS permite que la rutahttp://vpn.example.com/.well-known/acme-challenge/ permanezca en HTTP plano.
Para casos límite detrás de NAT o proxies inversos, utiliza una regla de reenvío de puerto o de servidor virtual para garantizar el acceso externo a esa ruta de validación.
Paso 5: Emitir el Certificado
De vuelta en Servicios > Certificados ACME, haz clic en el botón Emitir/Renovar de tu certificado.
Verás registros en vivo que muestran cada paso:
- Verificación de la cuenta
- Validación del dominio
- Emisión del certificado
Una vez completado, tu nuevo certificado aparecerá en Sistema → Certificados.
Paso 6: Aplicar el Certificado
Utiliza tu nuevo certificado SSL para cualquier servicio en pfSense:
- WebGUI: Sistema > Avanzado > Acceso Admin > Certificado SSL
- OpenVPN / IPsec / HAProxy: selecciona el mismo certificado en sus respectivos desplegables
- Haz clic en Guardar y aplicar cambios
El paquete ACME gestiona las renovaciones automáticamente. Por defecto, pfSense renueva los certificados 30 días antes de su caducidad.
Para comprobar o activar manualmente ve a Servicios > Certificados ACME > Emitir/Renovar
Método alternativo: Generar el certificado externamente e importarlo a pfSense
Si el flujo ACME de tu CA comercial no se registra directamente en pfSense, puedes emitir el certificado en otro servidor Linux o BSD e importarlo manualmente. Este método funciona con cualquier CA que admita ACME + External Account Binding (EAB) y es la alternativa más fiable para entornos complejos o no compatibles.
Paso 1: Configura ACME.sh
En cualquier máquina Linux o BSD con acceso a Internet, instala el cliente ACME:
curl https://get.acme.sh | sh
source ~/.bashrc
Esto instala acme.sh en tu directorio personal y lo prepara para su uso con terminales ACME comerciales.
Paso 2: Registra tu cuenta ACME en tu CA
Utiliza las credenciales del portal ACME de tu CA, la URL del directorio, el ID de la clave y la clave HMAC.
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Este paso autentica tu sistema con el servicio ACME de la CA. Sólo debes hacerlo una vez por cuenta.
Paso 3: Solicitar el certificado
Emite un certificado para tu dominio pfSense (por ejemplo vpn.example.com).
acme.sh --issue \
-d vpn.example.com \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--standalone
Si tu CA o configuración de red requiere validación DNS, sustituye la última línea por --dns dns_cf (Utiliza el complemento DNS que corresponda a tu proveedor).
Cuando hayas terminado, los certificados se almacenan en: ~/.acme.sh/vpn.example.com/
Paso 4: Localiza los archivos
Dentro de esa carpeta, verás
- fullchain.cer – certificado y cadena intermedia
- vpn.ejemplo.com.key – clave privada
- ca.cer – Certificado raíz/intermedio de CA
Estos son los archivos que subirás a pfSense.
Paso 5: Importar el certificado a pfSense
Entra en pfSense y ve a Sistema > Certificados.
- Haz clic en Añadir/Importar.
- Pega el contenido de tu certificado (
fullchain.cer) y de tu clave privada (vpn.example.com.key). - Opcionalmente, añade la cadena CA (
ca.cer). - Haz clic en Guardar.
Ahora pfSense reconocerá y almacenará este certificado comercial como válido.
Paso 6: Aplicar y automatizar
Ahora puedes utilizar el certificado importado para:
- Sistema > Avanzado > Acceso Admin (WebGUI)
- Servidores OpenVPN o IPsec
- Paquetes HAProxy o Nginx
Para las renovaciones, automatiza el proceso programando una tarea cron en tu host externo para que se renueve con acme.sh, y luego vuelve a subir los archivos a pfSense mediante SCP o la API de pfSense.
Preguntas frecuentes
Si vas a configurar ACME con una AC comercial por primera vez, consulta las respuestas a las preguntas más frecuentes:
¿Puedo utilizarlo con cualquier CA?
Puedes utilizarlo con una CA que proporcione una URL de Directorio ACME y credenciales EAB (como Sectigo o DigiCert).
¿Qué puerto se necesita para la validación?
Sólo el puerto 80 (HTTP). No lo redirijas a HTTPS hasta que se complete la validación.
¿Por qué ha empezado a fallar de repente mi validación si antes funcionaba?
Si tu configuración de ACME funcionaba y de repente falla, suele deberse a un cambio en la red o en el DNS. Comprueba si ha cambiado la IP de tu WAN o la regla NAT, o si una nueva política del cortafuegos está bloqueando el HTTP entrante (puerto 80). Asegúrate también de que tu dominio sigue resolviendo a la misma IP pública. La validación ACME depende de la accesibilidad externa. Incluso una redirección o un puerto bloqueado pueden romperla.
¿Puedo compartir las credenciales EAB entre dispositivos?
Depende de tu CA, algunas requieren credenciales únicas por dominio o aparato.
Palabras finales
Con esta configuración, puedes instalar en pfSense un certificado SSL ACME de CA comerciales compatibles con EAB y mantener la automatización total de su ciclo de vida. Es una forma estable y de nivel empresarial de mantener la confianza continua en tus VPN, WebGUI y proxies inversos, sin renovaciones manuales, cadenas rotas ni tiempos de inactividad que interrumpan los servicios críticos.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

