bg-tutorials

Come installare un certificato SSL ACME su pfSense

In questa guida scoprirai come installare un certificato SSL ACME su pfSense. Il firewall ora supporta il protocollo ACME in modo nativo attraverso il suo pacchetto integrato, che ti permette di automatizzare l’emissione e il rinnovo dei certificati SSL.

pfsense ACME SSL

Questo processo funziona con le autorità di certificazione (CA) commerciali che supportano ACME + External Account Binding (EAB).


Prima di iniziare

Avrai bisogno di:

  • Un firewall pfSense 2.7 o Plus 23.x con accesso a Internet.
  • Accesso di amministrazione SSH o WebGUI.
  • URL della directory ACME della tua CA, ID della chiave EAB e chiave HMAC.
  • Un dominio pubblico (ad esempio, vpn.example.com) che si risolve nell’IP della tua WAN pfSense.

Passo 1: Installare il pacchetto ACME

  1. Vai su System > Package Manager > Pacchetti disponibili.
  2. Cerca acme.
  3. Clicca su Installa, quindi conferma.
  4. Dopo l’installazione, troverai un nuovo menu alla voce Servizi > Certificati ACME.

Passo 2: Creare la chiave dell’account ACME

  1. Nel menu di pfSense, vai su Servizi > Certificati ACME > Chiavi account.
  2. Clicca su + Aggiungi per creare un nuovo account.
  3. Compila questi campi esattamente come segue:
    • Nome – Dai all’account un identificativo semplice (ad esempio Sectigo-EAB).
    • URL del server ACME – Incolla l’endpoint della directory della tua CA, ad esempio https://acme.sectigo.com/v2/DV.
    • Indirizzo e-mail – Inserisci il contatto di amministrazione utilizzato con il tuo CA.
    • EAB Key ID e EAB HMAC Key – Inserisci entrambi i valori forniti dalla tua CA. (Questi campi appaiono nella GUI solo se la tua CA richiede l’External Account Binding).
  4. Clicca su Crea nuova chiave account, quindi su Registra chiave account ACME.

Se i campi EAB non sono visibili nella tua build di pfSense, puoi comunque registrarti normalmente e poi utilizzare un client ACME esterno (come acme.sh) per emettere e importare manualmente i certificati. Entrambi i percorsi funzionano con le CA commerciali che supportano ACME + EAB.


Passo 3: Aggiungere una nuova voce di certificato

  1. Vai su Servizi > Certificati ACME > Certificati.
  2. Clicca su + Aggiungi e dai un nome alla voce (ad esempio, vpn-example).
  3. Alla voce Chiavi account, seleziona l’account che hai creato in precedenza.
  4. Nell’elenco Dominio SAN, aggiungi il tuo dominio (ad esempio, vpn.example.com).
  5. Per il Tipo di sfida, scegli HTTP-01 (consigliato).
  6. Nella sezione Metodo, scegli la cartella locale di webroot o quella standalone a seconda della tua configurazione.
  7. Clicca su Salva e Applica.

Passo 4: Impostare la convalida HTTP

La CA deve raggiungere il dispositivo pfSense sulla porta 80 per confermare la proprietà del dominio.

Se utilizzi già la porta 80 per un altro servizio, reindirizzala temporaneamente o inoltrala alla webroot interna di pfSense.

Assicurati che qualsiasi reindirizzamento HTTPS permetta al percorso
http://vpn.example.com/.well-known/acme-challenge/ di rimanere su HTTP semplice.

Per i casi limite che si trovano dietro NAT o reverse proxy, usa una regola di port-forward o di server virtuale per garantire l’accesso esterno a quel percorso di convalida.


Passo 5: Rilasciare il certificato

In Servizi > Certificati ACME, clicca sul pulsante Rilascia/Rinnova il tuo certificato.

Vedrai i log in tempo reale che mostrano ogni passaggio:

  • Verifica dell’account
  • Convalida del dominio
  • Rilascio del certificato

Una volta completato, il nuovo certificato apparirà in Sistema → Certificati.


Passo 6: Applicare il certificato

Usa il tuo nuovo certificato SSL per qualsiasi servizio su pfSense:

  • WebGUI: Sistema > Avanzato > Accesso amministratore > Certificato SSL
  • OpenVPN / IPsec / HAProxy: seleziona lo stesso certificato dai rispettivi menu a tendina.
  • Clicca su Salva e applica le modifiche

Il pacchetto ACME gestisce automaticamente i rinnovi. Per impostazione predefinita, pfSense rinnova i certificati 30 giorni prima della scadenza.

Per controllare o attivare manualmente, vai su Servizi > Certificati ACME > Rilascia/Rinnova


Metodo di ripiego: Generare il certificato esternamente e importarlo in pfSense

Se il flusso ACME della tua CA commerciale non si registra direttamente all’interno di pfSense, puoi comunque emettere il certificato su un altro server Linux o BSD e importarlo manualmente. Questo metodo funziona con qualsiasi CA che supporti ACME + External Account Binding (EAB) ed è il ripiego più affidabile per ambienti complessi o non supportati.

Passo 1: Configurare ACME.sh

Su qualsiasi computer Linux o BSD con accesso a internet, installa il client ACME:


curl https://get.acme.sh | sh
source ~/.bashrc

Questo installa acme.sh nella tua home directory e lo prepara per l’uso con gli endpoint ACME commerciali.

Fase 2: Registra il tuo account ACME con la tua CA

Usa le credenziali del portale ACME della tua CA, l’URL della directory, l’ID chiave e la chiave HMAC.

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

Questo passaggio autentica il tuo sistema con il servizio ACME della CA. Si esegue una sola volta per ogni account.

Passo 3: Richiedere il certificato

Rilascia un certificato per il tuo dominio pfSense (ad esempio vpn.example.com).

acme.sh --issue \
  -d vpn.example.com \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --standalone

Se la tua CA o la tua configurazione di rete richiede invece la convalida DNS, sostituisci l’ultima riga con --dns dns_cf (usa il plugin DNS che corrisponde al tuo provider).

Al termine, i certificati vengono memorizzati in: ~/.acme.sh/vpn.example.com/

Passo 4: Individuare i file

All’interno di questa cartella, vedrai:

  • fullchain.cer – certificato e catena intermedia
  • vpn.example.com.key – chiave privata
  • ca.cer – Certificato della CA root/intermediata

Questi sono i file che caricherai su pfSense.

Passo 5: Importare il certificato in pfSense

Accedi a pfSense e vai su System > Certificates.

  1. Clicca su Aggiungi/Importa.
  2. Incolla il contenuto del tuo certificato (fullchain.cer) e della chiave privata (vpn.example.com.key).
  3. Opzionalmente, aggiungi la catena CA (ca.cer).
  4. Clicca su Salva.

pfSense riconoscerà e memorizzerà questo certificato commerciale come valido.

Passo 6: Applicare e automatizzare

Ora puoi utilizzare il certificato importato per:

  • Sistema > Avanzato > Accesso amministrativo (WebGUI)
  • Server OpenVPN o IPsec
  • Pacchetti HAProxy o Nginx

Per i rinnovi, automatizza il processo pianificando un cron job sul tuo host esterno per il rinnovo con acme.sh, quindi carica nuovamente i file su pfSense utilizzando SCP o l’API di pfSense.


Domande comuni

Se stai configurando ACME con un CA commerciale per la prima volta, consulta le risposte alle domande più frequenti:

Posso utilizzarlo con qualsiasi CA?

Puoi utilizzarlo con una CA che fornisce un URL ACME Directory e credenziali EAB (come Sectigo o DigiCert).

Quale porta è necessaria per la convalida?

Solo la porta 80 (HTTP). Non reindirizzarla a HTTPS fino al completamento della convalida.

Perché la mia convalida ha improvvisamente iniziato a fallire dopo che prima funzionava?

Se la tua configurazione di ACME funzionava e all’improvviso non funziona, di solito il problema è causato da una modifica della rete o del DNS. Controlla se il tuo IP WAN o la regola NAT sono cambiati, oppure se un nuovo criterio del firewall blocca l’HTTP in entrata (porta 80). Assicurati anche che il tuo dominio si risolva sempre allo stesso IP pubblico. La convalida di ACME dipende dalla raggiungibilità esterna. Anche un solo reindirizzamento o una porta bloccata possono interromperla.

Posso condividere le credenziali EAB tra i vari dispositivi?

Dipende dal CA, alcuni richiedono credenziali uniche per ogni dominio o appliance.


Parole finali

Con questa configurazione, puoi installare su pfSense un certificato SSL ACME proveniente da CA commerciali che supportano l’EAB e mantenere la completa automazione del suo ciclo di vita. Si tratta di un modo stabile e di livello aziendale per mantenere l’affidabilità di VPN, WebGUI e reverse proxy senza rinnovi manuali, catene interrotte o tempi di inattività che interrompono i servizi critici.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.