bg-tutorials

pfSense पर ACME SSL प्रमाणपत्र कैसे स्थापित करें

इस गाइड में, आप सीखेंगे कि pfSense पर ACME SSL प्रमाणपत्र कैसे स्थापित करें। फ़ायरवॉल अब अपने अंतर्निहित पैकेज के माध्यम से मूल रूप से ACME प्रोटोकॉल का समर्थन करता है, जो आपको SSL प्रमाणपत्र जारी करने और नवीनीकरण को स्वचालित करने देता है।

pfsense ACME एसएसएल

यह प्रक्रिया वाणिज्यिक प्रमाणपत्र प्राधिकारी (CAs) ACME + बाहरी खाता बाइंडिंग (EAB) का समर्थन करता है के साथ काम करता है।


शुरू करने से पहले

आपको चाहिये होगा:

  • इंटरनेट एक्सेस के साथ एक pfSense 2.7 या प्लस 23.x फ़ायरवॉल।
  • SSH या WebGUI व्यवस्थापक का उपयोग।
  • आपके CA की ACME निर्देशिका URL, EAB कुंजी ID और HMAC कुंजी
  • एक सार्वजनिक डोमेन (उदाहरण के लिए, vpn.example.com) जो आपके pfSense WAN IP को हल करता है।

चरण 1: ACME पैकेज स्थापित करें

  1. सिस्टम > पैकेज प्रबंधक > उपलब्ध पैकेज पर जाएं।
  2. एक्मे खोजें।
  3. इंस्टॉल पर क्लिक करें, फिर पुष्टि करें.
  4. स्थापना के बाद, आपको सेवा > ACME प्रमाणपत्र पर एक नया मेनू मिलेगा।

चरण 2: एक ACME खाता कुंजी बनाएं

  1. pfSense मेनू में, सेवा > ACME प्रमाणपत्र > खाता कुंजियाँ पर जाएँ।
  2. नया खाता बनाने के लिए + जोड़ें पर क्लिक करें.
  3. इन फ़ील्ड को बिल्कुल इस प्रकार भरें:
    • नाम – खाते को एक आसान पहचानकर्ता दें (उदाहरण के लिए Sectigo-EAB)।
    • ACME सर्वर URL – अपने CA के निर्देशिका समापन बिंदु को पेस्ट करें, उदाहरण के लिए https://acme.sectigo.com/v2/DV
    • ईमेल पता – अपने सीए के साथ उपयोग किया गया व्यवस्थापक संपर्क दर्ज करें।
    • EAB कुंजी ID और EAB HMAC कुंजी – अपने CA द्वारा प्रदान किए गए दोनों मान सम्मिलित करें। (ये फ़ील्ड GUI में केवल तभी दिखाई देते हैं जब आपके CA को बाहरी खाता बाइंडिंग की आवश्यकता होती है।
  4. नया खाता बनाएँ कुंजी पर क्लिक करें, फिर ACME खाता कुंजी पंजीकृत करें.

यदि आपके pfSense बिल्ड में EAB फ़ील्ड दिखाई नहीं दे रहे हैं, तो आप अभी भी सामान्य रूप से पंजीकरण कर सकते हैं, फिर बाद में मैन्युअल रूप से प्रमाणपत्र जारी करने और आयात करने के लिए बाहरी ACME क्लाइंट (जैसे acme.sh) का उपयोग करें। कार्यात्मक रूप से, दोनों पथ वाणिज्यिक सीए के साथ काम करते हैं जो एसीएमई + ईएबी का समर्थन करते हैं।


चरण 3: एक नई प्रमाणपत्र प्रविष्टि जोड़ें

  1. सेवा > ACME प्रमाणपत्र > प्रमाणपत्र पर जाएँ।
  2. + जोड़ें पर क्लिक करें और प्रविष्टि को नाम दें (उदा., vpn-example).
  3. खाता कुंजियाँ के अंतर्गत, आपके द्वारा पहले बनाए गए खाते का चयन करें.
  4. डोमेन SAN सूची में, अपना डोमेन जोड़ें (उदाहरण के लिए, vpn.example.com).
  5. चुनौती प्रकार के लिए, HTTP-01 (अनुशंसित) चुनें।
  6. विधि में, अपने सेटअप के आधार पर वेबरूट स्थानीय फ़ोल्डर या स्टैंडअलोन चुनें।
  7. सहेजें और लागू करें पर क्लिक करें.

चरण 4: HTTP सत्यापन सेट करें

डोमेन स्वामित्व की पुष्टि करने के लिए CA को पोर्ट 80 पर आपके pfSense डिवाइस तक पहुंचना होगा।

यदि आप पहले से ही किसी अन्य सेवा के लिए पोर्ट 80 का उपयोग करते हैं, तो अस्थायी रूप से पुनर्निर्देशित करें या इसे pfSense के आंतरिक वेबरूट पर अग्रेषित करें।

सुनिश्चित करें कि कोई भी HTTPS पुनर्निर्देशन पथ की अनुमति देता है
http://vpn.example.com/.well-known/acme-challenge/ सादे HTTP पर रहने के लिए।

NAT या रिवर्स प्रॉक्सी के पीछे किनारे के मामलों के लिए, उस सत्यापन पथ तक बाहरी पहुँच सुनिश्चित करने के लिए पोर्ट-फ़ॉरवर्ड या वर्चुअल सर्वर नियम का उपयोग करें.


चरण 5: प्रमाणपत्र जारी करें

सेवा > ACME प्रमाणपत्र में वापस, अपने प्रमाणपत्र के लिए समस्या/नवीनीकरण बटन पर क्लिक करें।

आपको हर चरण दिखाने वाले लाइव लॉग दिखाई देंगे:

  • खाता सत्यापन
  • डोमेन सत्यापन
  • प्रमाणपत्र जारी करना

एक बार पूरा हो जाने पर, आपका नया प्रमाणपत्र सिस्टम → प्रमाणपत्र के अंतर्गत दिखाई देगा।


चरण 6: प्रमाणपत्र लागू करें

pfSense पर किसी भी सेवा के लिए अपने नए एसएसएल प्रमाणपत्र का उपयोग करें:

  • वेबजीयूआई: सिस्टम > उन्नत > व्यवस्थापक पहुँच SSL > प्रमाणपत्र
  • ओपनवीपीएन/आईपीएसईसी/एचएपीरॉक्सी: उनके संबंधित ड्रॉपडाउन से समान प्रमाणपत्र का चयन करें
  • परिवर्तन सहेजें और लागू करें पर क्लिक करें

ACME पैकेज स्वचालित रूप से नवीनीकरण संभालता है। डिफ़ॉल्ट रूप से, pfSense समाप्ति से 30 दिन पहले प्रमाण पत्र का नवीनीकरण करता है।

जाँच करें या मैन्युअल रूप से ट्रिगर करने के लिए सेवा ACME > प्रमाणपत्र > समस्या/नवीनीकरण पर जाएँ


फ़ॉलबैक विधि: प्रमाणपत्र को बाहरी रूप से उत्पन्न करें और इसे pfSense में आयात करें

यदि आपके वाणिज्यिक CA का ACME प्रवाह सीधे pfSense के अंदर पंजीकृत नहीं होता है, तो आप अभी भी किसी अन्य लिनक्स या बीएसडी सर्वर पर प्रमाणपत्र जारी कर सकते हैं और इसे मैन्युअल रूप से आयात कर सकते हैं। यह विधि ACME + बाहरी खाता बाइंडिंग (EAB) का समर्थन करता है जो किसी भी CA के साथ काम करता है और जटिल या असमर्थित वातावरण के लिए सबसे विश्वसनीय फ़ॉलबैक है।

चरण 1: ACME.sh सेट अप करें

इंटरनेट एक्सेस के साथ किसी भी लिनक्स या बीएसडी मशीन पर, एसीएमई क्लाइंट स्थापित करें:


curl https://get.acme.sh | sh
source ~/.bashrc

यह आपकी होम निर्देशिका में स्थापित होता है acme.sh और इसे वाणिज्यिक ACME समापन बिंदुओं के साथ उपयोग के लिए तैयार करता है।

चरण 2: अपने ACME खाते को अपने CA के साथ पंजीकृत करें

अपने CA के ACME पोर्टल, निर्देशिका URL, कुंजी ID और HMAC कुंजी से क्रेडेंशियल्स का उपयोग करें।

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

यह चरण आपके सिस्टम को CA की ACME सेवा के साथ प्रमाणित करता है। आप इसे प्रति खाता केवल एक बार करते हैं।

चरण 3: प्रमाणपत्र का अनुरोध करें

अपने pfSense डोमेन के लिए एक प्रमाणपत्र जारी करें (उदाहरण vpn.example.comके लिए)।

acme.sh --issue \
  -d vpn.example.com \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --standalone

यदि आपके CA या नेटवर्क सेटअप को इसके बजाय DNS सत्यापन की आवश्यकता है, तो अंतिम पंक्ति को (अपने प्रदाता से मेल खाने वाले DNS प्लगइन का उपयोग करें.) से बदलें --dns dns_cf

समाप्त होने पर, प्रमाण पत्र इसके तहत संग्रहीत किए जाते हैं: ~/.acme.sh/vpn.example.com/

चरण 4: फ़ाइलों का पता लगाएँ

उस फ़ोल्डर के अंदर, आप देखेंगे:

  • fullchain.cer – प्रमाणपत्र और मध्यवर्ती श्रृंखला
  • vpn.example.com.key – निजी कुंजी
  • ca.cer – सीए रूट/इंटरमीडिएट प्रमाणपत्र

ये वे फ़ाइलें हैं जिन्हें आप pfSense पर अपलोड करेंगे।

चरण 5: प्रमाणपत्र को pfSense में आयात करें

pfSense में लॉग इन करें और सिस्टम > सर्टिफिकेट पर जाएं।

  1. जोड़ें/आयात करें पर क्लिक करें.
  2. अपने प्रमाणपत्र ()fullchain.cer और निजी कुंजी ()vpn.example.com.key की सामग्री चिपकाएँ.
  3. वैकल्पिक रूप से, CA श्रृंखला ()ca.cer जोड़ें।
  4. सहेजें पर क्लिक करें.

pfSense अब इस वाणिज्यिक प्रमाणपत्र को वैध के रूप में पहचानेगा और संग्रहीत करेगा।

चरण 6: लागू करें और स्वचालित करें

अब आप इसके लिए आयातित प्रमाणपत्र का उपयोग कर सकते हैं:

  • प्रणाली > उन्नत > व्यवस्थापक पहुँच (WebGUI)
  • OpenVPN या IPsec सर्वर
  • HAProxy या Nginx पैकेज

नवीनीकरण के लिए, अपने बाहरी होस्ट acme.shपर एक क्रॉन जॉब शेड्यूल करके प्रक्रिया को स्वचालित करें, फिर SCP या pfSense API का उपयोग करके फ़ाइलों को pfSense पर फिर से अपलोड करें।


सामान्य प्रश्न

यदि आप पहली बार व्यावसायिक CA के साथ ACME स्थापित कर रहे हैं, तो सबसे अधिक बार पूछे जाने वाले प्रश्नों के उत्तर देखें:

क्या मैं इसे किसी भी सीए के साथ उपयोग कर सकता हूं?

आप इसका उपयोग CA के साथ कर सकते हैं जो ACME निर्देशिका URL और EAB क्रेडेंशियल्स (जैसे Sectigo या DigiCert) प्रदान करता है।

सत्यापन के लिए कौन सा पोर्ट आवश्यक है?

केवल पोर्ट 80 (HTTP)। सत्यापन पूरा होने तक इसे HTTPS पर रीडायरेक्ट न करें।

पहले काम करने के बाद मेरा सत्यापन अचानक विफल क्यों होने लगा?

यदि आपका ACME सेटअप काम कर रहा था और अचानक विफल हो जाता है, तो यह आमतौर पर नेटवर्क या DNS परिवर्तन के कारण होता है। जांचें कि क्या आपका WAN IP या NAT नियम बदल गया है, या यदि कोई नई फ़ायरवॉल नीति इनबाउंड HTTP (पोर्ट 80) को ब्लॉक कर रही है। यह भी सुनिश्चित करें कि आपका डोमेन अभी भी उसी सार्वजनिक आईपी पर हल हो जाता है। ACME सत्यापन बाहरी पहुंच पर निर्भर करता है। यहां तक कि एक रीडायरेक्ट या अवरुद्ध पोर्ट भी इसे तोड़ सकता है।

क्या मैं सभी डिवाइसों पर EAB क्रेडेंशियल साझा कर सकता हूँ?

यह आपके सीए पर निर्भर करता है, कुछ को प्रति डोमेन या उपकरण के लिए अद्वितीय क्रेडेंशियल्स की आवश्यकता होती है।


अंतिम शब्द

इस सेटअप के साथ, आप वाणिज्यिक CAs से pfSense पर ACME SSL प्रमाणपत्र स्थापित कर सकते हैं जो EAB का समर्थन करता है और इसके जीवनचक्र पर पूर्ण स्वचालन बनाए रखता है। यह आपके वीपीएन, वेबजीयूआई और रिवर्स प्रॉक्सी को मैन्युअल नवीनीकरण, टूटी हुई श्रृंखला, या महत्वपूर्ण सेवाओं को बाधित करने वाले डाउनटाइम के बिना लगातार भरोसा रखने का एक स्थिर, एंटरप्राइज़-ग्रेड तरीका है।

आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!

तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

उड़ान में एक ड्रैगन की एक विस्तृत छवि
द्वारा लिखित

एसएसएल प्रमाणपत्रों में विशेषज्ञता वाला अनुभवी सामग्री लेखक। जटिल साइबर सुरक्षा विषयों को स्पष्ट, आकर्षक सामग्री में बदलना। प्रभावशाली आख्यानों के माध्यम से डिजिटल सुरक्षा को बेहतर बनाने में योगदान करें।