bg-tutorials

Cara Memasang Sertifikat SSL ACME di pfSense

Dalam panduan ini, Anda akan mempelajari caranya memasang sertifikat SSL ACME pada pfSense. Firewall ini sekarang mendukung protokol ACME secara native melalui paket bawaannya, yang memungkinkan Anda mengotomatiskan penerbitan dan pembaruan sertifikat SSL.

pfsense ACME SSL

Proses ini bekerja dengan otoritas sertifikat komersial (CA) yang mendukung ACME + Pengikatan Akun Eksternal (EAB).


Sebelum Anda Mulai

Kau akan membutuhkannya:

  • Firewall pfSense 2.7 atau Plus 23.x dengan akses Internet.
  • Akses admin SSH atau WebGUI.
  • URL direktori ACME CA Anda, ID Kunci EAB, dan kunci HMAC.
  • Domain publik (misalnya, vpn.example.com) yang tersambung ke IP WAN pfSense Anda.

Langkah 1: Instal Paket ACME

  1. Buka Sistem > Pengelola Paket > Paket yang Tersedia.
  2. Cari acme.
  3. Klik Instal, lalu konfirmasi.
  4. Setelah instalasi, Anda akan menemukan menu baru di Services > ACME Certificates.

Langkah 2: Buat Kunci Akun ACME

  1. Pada menu pfSense, buka Layanan > Sertifikat ACME > Kunci Akun.
  2. Klik + Tambah untuk membuat akun baru.
  3. Isi kolom-kolom ini persis seperti berikut:
    • Nama – Berikan nama yang mudah dikenali (misalnya Sectigo-EAB).
    • URL Server ACME – Rekatkan titik akhir direktori CA Anda, misalnya https://acme.sectigo.com/v2/DV
    • Alamat Email – Masukkan kontak admin yang digunakan dengan CA Anda.
    • EAB Key ID dan EAB HMAC Key – Masukkan kedua nilai yang disediakan oleh CA Anda. (Kolom ini hanya muncul di GUI jika CA Anda memerlukan Pengikatan Akun Eksternal).
  4. Klik Buat kunci akun baru, lalu Daftarkan kunci akun ACME.

Jika bidang EAB tidak terlihat di build pfSense Anda, Anda masih bisa mendaftar secara normal, kemudian menggunakan klien ACME eksternal (seperti acme.sh) untuk menerbitkan dan mengimpor sertifikat secara manual. Secara fungsional, kedua jalur ini bekerja dengan CA komersial yang mendukung ACME + EAB.


Langkah 3: Tambahkan Entri Sertifikat Baru

  1. Buka Layanan > Sertifikat ACME > Sertifikat.
  2. Klik + Tambah dan beri nama entri (misalnya, vpn-example).
  3. Di bawah Tombol Akun, pilih akun yang telah Anda buat sebelumnya.
  4. Di Daftar SAN Domain, tambahkan domain Anda (mis., vpn.example.com).
  5. Untuk Jenis Tantangan, pilih HTTP-01 (disarankan).
  6. Pada Metode, pilih folder lokal webroot atau mandiri, tergantung pada penyiapan Anda.
  7. Klik Simpan dan Terapkan.

Langkah 4: Siapkan Validasi HTTP

CA harus menjangkau perangkat pfSense Anda pada port 80 untuk mengonfirmasi kepemilikan domain.

Jika Anda sudah menggunakan port 80 untuk layanan lain, alihkan sementara atau teruskan ke webroot internal pfSense.

Pastikan pengalihan HTTPS apa pun memungkinkan jalur
http://vpn.example.com/.well-known/acme-challenge/ tetap menggunakan HTTP biasa.

Untuk kasus edge di belakang NAT atau proxy terbalik, gunakan aturan port-forward atau server virtual untuk memastikan akses eksternal ke jalur validasi tersebut.


Langkah 5: Menerbitkan Sertifikat

Kembali ke Layanan > Sertifikat ACME, klik tombol Terbitkan/Perbarui untuk sertifikat Anda.

Anda akan melihat log langsung yang menunjukkan setiap langkah:

  • Verifikasi akun
  • Validasi domain
  • Penerbitan sertifikat

Setelah selesai, sertifikat baru Anda akan muncul di Sistem → Sertifikat.


Langkah 6: Terapkan Sertifikat

Gunakan sertifikat SSL baru Anda untuk layanan apa pun di pfSense:

  • WebGUI: Sistem > Tingkat Lanjut > Akses Admin > Sertifikat SSL
  • OpenVPN / IPsec / HAProxy: pilih sertifikat yang sama dari menu tarik-turun masing-masing
  • Klik Simpan dan Terapkan Perubahan

Paket ACME menangani pembaruan secara otomatis. Secara default, pfSense memperbarui sertifikat 30 hari sebelum kedaluwarsa.

Untuk memeriksa atau memicu secara manual, kunjungi Layanan > Sertifikat ACME > Terbitkan/Perbarui


Metode Mundur: Hasilkan Sertifikat Secara Eksternal dan Impor ke pfSense

Jika aliran ACME CA komersial Anda tidak mendaftar secara langsung di dalam pfSense, Anda masih bisa menerbitkan sertifikat di server Linux atau BSD lain dan mengimpornya secara manual. Metode ini dapat digunakan pada CA apa pun yang mendukung ACME + Pengikatan Akun Eksternal (External Account Binding, EAB) dan merupakan fallback yang paling dapat diandalkan untuk lingkungan yang kompleks atau tidak didukung.

Langkah 1: Siapkan ACME.sh

Pada komputer Linux atau BSD dengan akses internet, instal klien ACME:


curl https://get.acme.sh | sh
source ~/.bashrc

Ini menginstal acme.sh di direktori rumah Anda dan mempersiapkannya untuk digunakan dengan titik akhir ACME komersial.

Langkah 2: Daftarkan akun ACME Anda dengan CA Anda

Gunakan kredensial dari portal ACME CA Anda, URL direktori, ID Kunci, dan kunci HMAC.

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Langkah ini mengautentikasi sistem Anda dengan layanan ACME CA. Anda hanya perlu melakukannya sekali per akun.

Langkah 3: Meminta sertifikat

Terbitkan sertifikat untuk domain pfSense Anda (misalnya vpn.example.com).

acme.sh --issue \
  -d vpn.example.com \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --standalone

Jika CA atau pengaturan jaringan Anda memerlukan validasi DNS, ganti baris terakhir dengan --dns dns_cf (Gunakan plugin DNS yang sesuai dengan penyedia Anda).

Setelah selesai, sertifikat disimpan di bawah: ~/.acme.sh/vpn.example.com/

Langkah 4: Cari lokasi file

Di dalam folder itu, Anda akan melihat:

  • fullchain.cer – sertifikat dan rantai perantara
  • vpn.example.com.key – kunci pribadi
  • ca.cer – Sertifikat root/perantara CA

Ini adalah file yang akan Anda unggah ke pfSense.

Langkah 5: Impor sertifikat ke dalam pfSense

Masuk ke pfSense dan buka Sistem > Sertifikat.

  1. Klik Tambah/Impor.
  2. Rekatkan isi sertifikat Anda (fullchain.cer) dan kunci privat (vpn.example.com.key).
  3. Secara opsional, tambahkan rantai CA (ca.cer).
  4. Klik Simpan.

pfSense sekarang akan mengenali dan menyimpan sertifikat komersial ini sebagai sertifikat yang valid.

Langkah 6: Menerapkan dan mengotomatiskan

Anda sekarang dapat menggunakan sertifikat yang diimpor untuk:

  • Sistem > Lanjutan > Akses Admin (WebGUI)
  • Server OpenVPN atau IPsec
  • Paket HAProxy atau Nginx

Untuk pembaruan, otomatiskan prosesnya dengan menjadwalkan pekerjaan cron pada host eksternal Anda untuk memperbarui dengan acme.sh, lalu unggah ulang file ke pfSense menggunakan SCP atau API pfSense.


Pertanyaan Umum

Jika Anda menyiapkan ACME dengan CA komersial untuk pertama kalinya, periksa jawaban atas pertanyaan yang paling sering diajukan:

Dapatkah saya menggunakan ini dengan CA apa pun?

Anda dapat menggunakan ini dengan CA yang menyediakan URL Direktori ACME dan kredensial EAB (seperti Sectigo atau DigiCert).

Port mana yang diperlukan untuk validasi?

Hanya port 80 (HTTP). Jangan alihkan ke HTTPS sampai validasi selesai.

Mengapa validasi saya tiba-tiba mulai gagal setelah sebelumnya berhasil?

Jika pengaturan ACME Anda berfungsi dan tiba-tiba gagal, biasanya disebabkan oleh perubahan jaringan atau DNS. Periksa apakah IP WAN atau aturan NAT Anda berubah, atau apakah kebijakan firewall baru memblokir HTTP masuk (port 80). Pastikan juga domain Anda masih tersambung ke IP publik yang sama. Validasi ACME bergantung pada daya jangkau eksternal. Bahkan satu pengalihan atau pemblokiran port bisa merusaknya.

Dapatkah saya berbagi kredensial EAB di seluruh perangkat?

Tergantung pada CA Anda, beberapa memerlukan kredensial unik per domain atau alat.


Kata Penutup

Dengan pengaturan ini, Anda dapat menginstal Sertifikat SSL ACME pada pfSense dari CA komersial yang mendukung EAB dan mempertahankan otomatisasi penuh selama siklus hidupnya. Ini adalah cara yang stabil, kelas perusahaan untuk menjaga VPN, WebGUI, dan proksi balik Anda tetap tepercaya secara terus-menerus tanpa pembaruan manual, rantai yang terputus, atau waktu henti yang mengganggu layanan-layanan penting.

Hemat 10% untuk Sertifikat SSL saat memesan hari ini!

Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10

Ditulis oleh

Penulis konten berpengalaman yang berspesialisasi dalam Sertifikat SSL. Mengubah topik keamanan siber yang rumit menjadi konten yang jelas dan menarik. Berkontribusi untuk meningkatkan keamanan digital melalui narasi yang berdampak.