bg-tutorials

Cara Memasang Sertifikat SSL ACME pada Firewall OPNsense

Jika Anda mengelola SSL/TLS pada firewall OPNsense Anda, menggunakan plugin klien ACME bawaan merupakan cara yang aman dan otomatis untuk menerbitkan dan memperbarui sertifikat dari CA tepercaya seperti Sectigo. Dalam panduan ini, Anda akan mempelajari cara menginstal sertifikat ACME di OPNsense menggunakan plugin resmi, mengonfigurasi akun ACME Anda dengan kredensial EAB, memvalidasi kepemilikan domain, dan menerapkan sertifikat secara otomatis.

Metode ini ideal bagi mereka yang menggunakan OPNsense sebagai gateway, reverse proxy, atau untuk mengamankan layanan di belakang NAT. Mari kita telusuri setiap langkahnya.


Apa yang Anda Butuhkan

Sebelum memulai, pastikan Anda sudah melakukannya:

  • Akses administrator ke antarmuka web OPNsense
  • Nama domain yang valid yang mengarah ke instans OPNsense Anda
  • Port 80 terbuka (untuk validasi HTTP-01)
  • Kredensial ACME dari penyedia sertifikat Anda:
    • URL Direktori ACME (mis. https://acme.sectigo.com/v2/DV)
    • Pengenal Kunci EAB (KID) dan Kunci HMAC

Langkah 1 – Instal dan Aktifkan Plugin ACME

  1. Masuk ke antarmuka web OPNsense.
  2. Navigasikan ke Sistem > Firmware > Plugin.
  3. Cari plugin bernama os-acme-client.
  4. Klik tombol + di sebelahnya untuk menginstal.
  5. Setelah pemasangan, segarkan antarmuka (tekan F5).
  6. Buka Layanan > ACME Client > Pengaturan dan centang Aktifkan Plugin. Klik Simpan.

Ini memungkinkan backend klien ACME dan membuka opsi konfigurasi.


Langkah 2 – Tambahkan Akun ACME

Untuk menghubungkan OPNsense ke otoritas sertifikat Anda, Anda harus membuat akun ACME dengan Pengikatan Akun Eksternal (External Account Binding/EAB).

  1. Buka Layanan > Klien ACME > Akun. Klik + Tambah.
  2. Isi formulir:
  • Nama Akun: Pilih nama deskriptif apa pun.
  • Alamat email: Untuk pemberitahuan kedaluwarsa atau kesalahan.
  • ACME CA: Pilih URL CA Khusus.
  • URL CA khusus: Rekatkan URL direktori ACME CA Anda (mis., https://acme.sectigo.com/v2/DV)
  • Pengenal Kunci: Masukkan EAB KID Anda.
  • Kunci HMAC: Masukkan Kunci HMAC EAB Anda.
  1. Klik Simpan, lalu klik Daftar untuk membuat akun ACME.

Pastikan KID dan HMAC disalin dengan tepat, tanpa spasi di depan atau di belakangnya.


Langkah 3 – Siapkan Metode Validasi (Jenis Tantangan)

Untuk membuktikan kepemilikan domain, ACME menggunakan jenis tantangan. Untuk OPNsense, yang paling umum adalah HTTP-01.

  1. Buka Layanan > Klien ACME > Jenis Tantangan. Klik + Tambah.
  2. Pilih HTTP-01 sebagai metode validasi. Ini membutuhkan port 80 untuk dapat diakses dari internet publik.
  3. Simpan dan terapkan perubahan.

Jika firewall Anda memblokir port 80 atau Anda menggunakan hosting berbasis DNS, pertimbangkan metode validasi alternatif (tidak didukung secara bawaan pada semua versi).


Langkah 4 – Membuat dan Menerbitkan Sertifikat

Sekarang akun dan metode validasi Anda sudah siap:

  1. Buka Layanan > Klien ACME > Sertifikat. Klik + Tambah.
  2. Isi pengaturan sertifikat:
    • Nama Domain: Masukkan domain lengkap Anda (misalnya, vpn.example.com)
    • Akun ACME: Pilih akun yang dibuat pada Langkah 2.
    • Metode Validasi: Pilih tantangan HTTP-01 yang Anda tetapkan di Langkah 3.
    • Simpan dan terapkan.

Klien ACME sekarang akan mencoba memvalidasi domain Anda dan menerbitkan sertifikat.

Setelah selesai, sertifikat akan disimpan dan tersedia untuk penggunaan sistem, termasuk Web GUI, HAProxy, OpenVPN, dan plugin lainnya.


Langkah 5 – Mengotomatiskan Pembaruan dan Menerapkan Sertifikat

Setelah pengaturan, sertifikat secara otomatis diperpanjang sebelum masa berlakunya habis.

Anda dapat menetapkan sertifikat yang diterbitkan ke layanan OPNsense melalui Sistem > Pengaturan > Administrasi atau pengaturan plugin individual.

Anda juga dapat memicu pembaruan secara manual di Services > ACME Client > Certificates dengan memilih entri Anda dan mengklik Issue/Renew.


Pertanyaan Umum

Bahkan dengan pengaturan yang berfungsi, mengelola sertifikat ACME di OPNsense dapat menimbulkan beberapa masalah praktis, terutama seputar pemecahan masalah, menerapkan sertifikat ke layanan, atau menangani masalah pembaruan. Berikut ini adalah jawaban untuk masalah nyata yang sering dihadapi pengguna setelah konfigurasi awal:

Bagaimana cara menetapkan sertifikat ke layanan seperti OpenVPN atau Web UI?

Setelah sertifikat diterbitkan, buka System > Trust > Certificates, temukan sertifikat yang diterbitkan, dan klik ikon edit. Di bagian bawah, Anda akan melihat bagian “Digunakan oleh” di mana Anda bisa menetapkannya ke GUI Web, OpenVPN, IPsec, atau layanan lainnya.

Jangan lupa untuk memulai ulang layanan tersebut untuk menggunakan sertifikat baru.

Sertifikat saya sudah diterbitkan, tetapi tidak menunjukkan status aktif-apa yang salah?

Pastikan sertifikat tersebut dipilih di panel Trust > Certificates dan secara aktif ditautkan ke layanan yang ingin Anda amankan. Penerbitan saja tidak mengikat sertifikat secara otomatis-Anda harus menetapkannya secara manual ke layanan seperti GUI atau VPN.

Selain itu, periksa apakah nama domain dalam sertifikat Anda sesuai dengan yang dikonfigurasi dalam layanan (terutama untuk akses UI Web).

Mengapa HTTP-01 adalah satu-satunya metode yang didukung?

Klien OPNsense ACME saat ini mendukung validasi HTTP-01 di luar kotak. DNS-01 atau opsi lanjutan lainnya mungkin memerlukan skrip pihak ketiga atau otomatisasi eksternal dan tidak didukung secara bawaan.


Kata Penutup

Anda sekarang telah mempelajari cara memasang sertifikat ACME pada OPNsense menggunakan plugin bawaan dan kredensial EAB dari CA komersial. Dengan pembaruan otomatis dan integrasi sederhana dengan layanan firewall, metode ini menjaga sistem Anda tetap aman dengan upaya manual minimal.

Hemat 10% untuk Sertifikat SSL saat memesan hari ini!

Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10

Ditulis oleh

Penulis konten berpengalaman yang berspesialisasi dalam Sertifikat SSL. Mengubah topik keamanan siber yang rumit menjadi konten yang jelas dan menarik. Berkontribusi untuk meningkatkan keamanan digital melalui narasi yang berdampak.