यदि आप अपने OPNsense फ़ायरवॉल पर SSL/TLS का प्रबंधन कर रहे हैं, तो अंतर्निहित ACME क्लाइंट प्लगइन का उपयोग करना Sectigo जैसे विश्वसनीय CA से प्रमाणपत्र जारी करने और नवीनीकृत करने का एक सुरक्षित और स्वचालित तरीका है। इस गाइड में, आप सीखेंगे कि आधिकारिक प्लगइन का उपयोग करके OPNsense पर ACME प्रमाणपत्र कैसे स्थापित करें, EAB क्रेडेंशियल्स के साथ अपने ACME खाते को कॉन्फ़िगर करें, डोमेन स्वामित्व को मान्य करें, और स्वचालित रूप से प्रमाणपत्रों को परिनियोजित करें।

यह विधि उन लोगों के लिए आदर्श है जो OPNsense को गेटवे, रिवर्स प्रॉक्सी या NAT के पीछे सेवाओं को सुरक्षित करने के लिए उपयोग करते हैं। आइए प्रत्येक चरण के माध्यम से चलते हैं।
आपको किस चीज़ की ज़रूरत पड़ेगी
शुरू करने से पहले, सुनिश्चित करें कि आपके पास है:
- OPNsense वेब इंटरफ़ेस के लिए व्यवस्थापक पहुँच
- एक मान्य डोमेन नाम जो आपके OPNsense इंस्टेंस की ओर इशारा करता है
- पोर्ट 80 खुला (HTTP-01 सत्यापन के लिए)
- आपके प्रमाणपत्र प्रदाता से ACME क्रेडेंशियल:
- ACME निर्देशिका URL (जैसे https://acme.sectigo.com/v2/DV)
- EAB कुंजी पहचानकर्ता (KID) और HMAC कुंजी
चरण 1 – एसीएमई प्लगइन स्थापित और सक्षम करें
- OPNsense वेब इंटरफेस में लॉग इन करें।
- सिस्टम > फर्मवेयर > प्लगइन्स पर नेविगेट करें।
- os-acme-client नाम के प्लगइन का पता लगाएँ।
- इंस्टॉल करने के लिए इसके आगे + बटन पर क्लिक करें।
- स्थापना के बाद, इंटरफ़ेस को ताज़ा करें (F5 दबाएँ)।
- सर्विसेज > एसीएमई क्लाइंट > सेटिंग्स पर जाएं और प्लगइन सक्षम करें की जांच करें। सेव करें पर क्लिक करें.

यह ACME क्लाइंट बैकएंड को सक्षम करता है और कॉन्फ़िगरेशन विकल्पों को अनलॉक करता है।
चरण 2 – एक एसीएमई खाता जोड़ें
OPNsense को अपने प्रमाणपत्र प्राधिकरण से कनेक्ट करने के लिए, आपको बाहरी खाता बाइंडिंग (EAB) के साथ एक ACME खाता बनाना होगा।
- Services > ACME Client > Accounts पर जाएं। + जोड़ें पर क्लिक करें.
- फॉर्म भरें:
- खाता नाम: कोई भी वर्णनात्मक नाम चुनें।
- ईमेल पता: समाप्ति नोटिस या त्रुटियों के लिए।
- ACME CA: कस्टम CA URL चुनें.
- कस्टम CA URL: अपने CA का ACME निर्देशिका URL पेस्ट करें (उदा., https://acme.sectigo.com/v2/DV)
- मुख्य पहचानकर्ता: अपना ईएबी किड दर्ज करें।
- HMAC कुञ्जी: आफ्नो EAB HMAC कुञ्जी प्रविष्ट गर्नुहोस्।
- सहेजें पर क्लिक करें, फिर ACME खाता बनाने के लिए पंजीकरण करें पर क्लिक करें।

सुनिश्चित करें कि KID और HMAC को अग्रणी/अनुगामी रिक्त स्थान के बिना बिल्कुल कॉपी किया गया है।
चरण 3 – एक सत्यापन विधि सेट करें (चुनौती प्रकार)
डोमेन स्वामित्व साबित करने के लिए, ACME चुनौती प्रकारों का उपयोग करता है। OPNsense के लिए, सबसे आम HTTP-01 है।
- सेवाएँ > ACME क्लाइंट > चुनौती प्रकार पर जाएँ. + जोड़ें पर क्लिक करें.
- सत्यापन विधि के रूप में HTTP-01 चुनें। इसके लिए पोर्ट 80 को सार्वजनिक इंटरनेट से सुलभ होना आवश्यक है।
- परिवर्तनों को सहेजें और लागू करें।

यदि आपका फ़ायरवॉल पोर्ट 80 को ब्लॉक करता है या आप डीएनएस-आधारित होस्टिंग का उपयोग कर रहे हैं, तो वैकल्पिक सत्यापन विधि पर विचार करें (सभी संस्करणों में मूल रूप से समर्थित नहीं)।
चरण 4 – प्रमाणपत्र बनाएं और जारी करें
अब जब आपका खाता और सत्यापन विधि तैयार है:
- सेवाएँ > ACME क्लाइंट > प्रमाणपत्र पर जाएँ। + जोड़ें पर क्लिक करें.
- प्रमाणपत्र सेटिंग्स भरें:
- डोमेन नाम: अपना पूरा डोमेन दर्ज करें (उदा., vpn.example.com)
- ACME खाता: चरण 2 में बनाया गया खाता चुनें।
- सत्यापन विधि: चरण 01 में आपके द्वारा सेट की गई HTTP-3 चुनौती चुनें।
- सहेजें और लागू करें।

ACME क्लाइंट अब आपके डोमेन को मान्य करने और प्रमाण पत्र जारी करने का प्रयास करेगा।
एक बार पूरा हो जाने पर, प्रमाणपत्र सहेजा जाएगा और सिस्टम उपयोग के लिए उपलब्ध होगा, जिसमें वेब जीयूआई, एचएप्रॉक्सी, ओपनवीपीएन और अन्य प्लगइन्स शामिल हैं।
चरण 5 – नवीनीकरण स्वचालित करें और प्रमाणपत्र लागू करें
सेटअप के बाद, प्रमाणपत्र स्वचालित रूप से समय सीमा समाप्ति से पहले नवीनीकृत हो जाते हैं।
आप जारी किए गए प्रमाणपत्र को सिस्टम > सेटिंग्स > व्यवस्थापन या व्यक्तिगत प्लगइन सेटिंग्स के माध्यम से OPNsense सेवाओं को असाइन कर सकते हैं।
आप अपनी प्रविष्टि का चयन करके और समस्या/नवीनीकरण पर क्लिक करके सेवा > ACME क्लाइंट > प्रमाणपत्र के अंतर्गत नवीनीकरण को मैन्युअल रूप से ट्रिगर भी कर सकते हैं.
सामान्य प्रश्न
यहां तक कि एक कामकाजी सेटअप के साथ, OPNsense में ACME प्रमाणपत्रों का प्रबंधन कुछ व्यावहारिक चिंताओं को बढ़ा सकता है, विशेष रूप से समस्या निवारण के आसपास, सेवाओं के लिए प्रमाण पत्र लागू करना, या नवीनीकरण के मुद्दों से निपटना। यहां वास्तविक समस्याओं के उत्तर दिए गए हैं जो उपयोगकर्ता अक्सर प्रारंभिक कॉन्फ़िगरेशन के बाद चलाते हैं:
मैं OpenVPN या Web UI जैसी सेवाओं को प्रमाणपत्र कैसे असाइन करूं?
प्रमाणपत्र जारी होने के बाद, सिस्टम > ट्रस्ट > सर्टिफिकेट पर जाएं, अपना जारी किया गया प्रमाणपत्र ढूंढें और एडिट आइकन पर क्लिक करें। सबसे नीचे, आपको एक “इसके द्वारा उपयोग किया गया” अनुभाग दिखाई देगा जहां आप इसे वेब जीयूआई, ओपनवीपीएन, आईपीएसईसी या अन्य सेवाओं को असाइन कर सकते हैं।
नए प्रमाणपत्र को नियोजित करने के लिए उन सेवाओं को पुनरारंभ करना न भूलें।
मेरा प्रमाणपत्र जारी किया गया है, लेकिन सक्रिय के रूप में दिखाई नहीं देता है—क्या गलत है?
सुनिश्चित करें कि यह विश्वास > प्रमाणपत्र पैनल में चयनित है और सक्रिय रूप से उस सेवा से लिंक है जिसे आप सुरक्षित करने का प्रयास कर रहे हैं। अकेले जारी करना प्रमाणपत्र को स्वतः बाध्य नहीं करता है – आपको इसे जीयूआई या वीपीएन जैसी सेवाओं को मैन्युअल रूप से असाइन करना होगा।
साथ ही, जांचें कि क्या आपके प्रमाणपत्र में डोमेन नाम सेवा में कॉन्फ़िगर किए गए से मेल खाता है (विशेषकर वेब यूआई एक्सेस के लिए)।
HTTP -01 एकमात्र समर्थित विधि क्यों है?
OPNsense ACME क्लाइंट वर्तमान में बॉक्स से बाहर HTTP-01 सत्यापन का समर्थन करता है। DNS-01 या अन्य उन्नत विकल्पों के लिए तृतीय-पक्ष स्क्रिप्ट या बाहरी स्वचालन की आवश्यकता हो सकती है और वे मूल रूप से समर्थित नहीं हैं।
अंतिम शब्द
अब आपने सीखा है कि एक वाणिज्यिक सीए से अंतर्निहित प्लगइन और ईएबी क्रेडेंशियल्स का उपयोग करके ओपीएनसेंस पर एसीएमई प्रमाणपत्र कैसे स्थापित किया जाए। फ़ायरवॉल सेवाओं के साथ स्वचालित नवीनीकरण और सरल एकीकरण के साथ, यह विधि आपके सिस्टम को न्यूनतम मैन्युअल प्रयास के साथ सुरक्षित रखती है।
आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

