bg-tutorials

Como instalar um certificado ACME SSL no firewall OPNsense

Se você estiver gerenciando SSL/TLS no firewall OPNsense, usar o plugin de cliente ACME integrado é uma forma segura e automatizada de emitir e renovar certificados de CAs confiáveis, como a Sectigo. Neste guia, você aprenderá como instalar um certificado ACME no OPNsense usando o plugin oficial, configurar sua conta ACME com credenciais EAB, validar a propriedade do domínio e implementar certificados automaticamente.

Esse método é ideal para quem usa o OPNsense como gateway, proxy reverso ou para proteger serviços por trás de NAT. Vamos examinar cada etapa.


O que você precisará

Antes de começar, verifique se você tem:

  • Acesso de administrador à interface da Web do OPNsense
  • Um nome de domínio válido apontando para sua instância do OPNsense
  • Porta 80 aberta (para validação do HTTP-01)
  • Credenciais ACME do seu provedor de certificados:
    • URL do diretório ACME (por exemplo, https://acme.sectigo.com/v2/DV)
    • Identificador de chave EAB (KID) e chave HMAC

Etapa 1 – Instalar e ativar o plug-in ACME

  1. Faça login na interface da Web do OPNsense.
  2. Navegue até System > Firmware > Plugins.
  3. Localize o plug-in chamado os-acme-client.
  4. Clique no botão + ao lado dele para instalar.
  5. Após a instalação, atualize a interface (pressione F5).
  6. Acesse Services > ACME Client > Settings e marque Enable Plugin (Ativar plug-in). Clique em Salvar.

Isso ativa o backend do cliente ACME e desbloqueia as opções de configuração.


Etapa 2 – Adicionar uma conta ACME

Para conectar o OPNsense à sua autoridade de certificação, você precisará criar uma conta ACME com External Account Binding (EAB).

  1. Acesse Services > ACME Client > Accounts. Clique em + Adicionar.
  2. Preencha o formulário:
  • Nome da conta: Escolha qualquer nome descritivo.
  • Endereço de e-mail: Para avisos de expiração ou erros.
  • ACME CA: selecione URL de CA personalizada.
  • URL personalizado da CA: Cole o URL do diretório ACME da sua CA (por exemplo, https://acme.sectigo.com/v2/DV)
  • Identificador de chave: Digite seu EAB KID.
  • Chave HMAC: Digite sua chave EAB HMAC.
  1. Clique em Salvar e, em seguida, clique em Registrar para criar a conta ACME.

Certifique-se de que o KID e o HMAC sejam copiados exatamente, sem espaços à esquerda ou à direita.


Etapa 3 – Configurar um método de validação (tipo de desafio)

Para provar a propriedade do domínio, a ACME usa tipos de desafio. Para o OPNsense, o mais comum é o HTTP-01.

  1. Vá para Serviços > Cliente ACME > Tipos de desafio. Clique em + Adicionar.
  2. Escolha HTTP-01 como o método de validação. Para isso, é necessário que a porta 80 esteja acessível na Internet pública.
  3. Salve e aplique as alterações.

Se o seu firewall bloquear a porta 80 ou se você estiver usando hospedagem baseada em DNS, considere um método de validação alternativo (não suportado nativamente em todas as versões).


Etapa 4 – Criar e emitir o certificado

Agora que sua conta e o método de validação estão prontos, você pode usar o método de validação:

  1. Vá para Services > ACME Client > Certificates. Clique em + Adicionar.
  2. Preencha as configurações do certificado:
    • Nome do domínio: Digite seu domínio completo (por exemplo, vpn.example.com)
    • Conta ACME: Selecione a conta criada na Etapa 2.
    • Método de validação: Escolha o desafio HTTP-01 que você definiu na Etapa 3.
    • Salve e aplique.

O cliente ACME agora tentará validar seu domínio e emitir o certificado.

Depois de concluído, o certificado será salvo e estará disponível para uso do sistema, incluindo GUI da Web, HAProxy, OpenVPN e outros plug-ins.


Etapa 5 – Automatizar a renovação e aplicar certificados

Após a configuração, os certificados são renovados automaticamente antes da expiração.

Você pode atribuir o certificado emitido aos serviços do OPNsense por meio de System > Settings > Administration ou configurações de plugin individuais.

Você também pode acionar manualmente a renovação em Services > ACME Client > Certificates, selecionando a entrada e clicando em Issue/Renew.


Perguntas comuns

Mesmo com uma configuração funcional, o gerenciamento de certificados ACME no OPNsense pode gerar algumas preocupações práticas, especialmente em relação à solução de problemas, à aplicação de certificados a serviços ou ao tratamento de problemas de renovação. Aqui estão as respostas para problemas reais que os usuários costumam encontrar após a configuração inicial:

Como faço para atribuir o certificado a serviços como o OpenVPN ou a interface do usuário da Web?

Depois que o certificado for emitido, acesse System > Trust > Certificates, localize o certificado emitido e clique no ícone de edição. Na parte inferior, você verá uma seção “Used by” (Usado por), na qual poderá atribuí-lo à GUI da Web, ao OpenVPN, ao IPsec ou a outros serviços.

Não se esqueça de reiniciar esses serviços para usar o novo certificado.

Meu certificado foi emitido, mas não aparece como ativo – o que está errado?

Certifique-se de que ele esteja selecionado no painel Trust > Certificates e ativamente vinculado ao serviço que você está tentando proteger. A emissão por si só não vincula automaticamente o certificado – você deve atribuí-lo manualmente a serviços como GUI ou VPN.

Além disso, verifique se o nome de domínio em seu certificado corresponde ao configurado no serviço (especialmente para acesso à interface do usuário da Web).

Por que o HTTP-01 é o único método compatível?

Atualmente, o cliente OPNsense ACME oferece suporte à validação HTTP-01 pronta para uso. O DNS-01 ou outras opções avançadas podem exigir scripts de terceiros ou automação externa e não são suportados nativamente.


Palavras finais

Agora você aprendeu a instalar um certificado ACME no OPNsense usando o plugin integrado e as credenciais EAB de uma CA comercial. Com renovação automatizada e integração simples com serviços de firewall, esse método mantém seu sistema seguro com o mínimo de esforço manual.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.