Se você estiver gerenciando SSL/TLS no firewall OPNsense, usar o plugin de cliente ACME integrado é uma forma segura e automatizada de emitir e renovar certificados de CAs confiáveis, como a Sectigo. Neste guia, você aprenderá como instalar um certificado ACME no OPNsense usando o plugin oficial, configurar sua conta ACME com credenciais EAB, validar a propriedade do domínio e implementar certificados automaticamente.

Esse método é ideal para quem usa o OPNsense como gateway, proxy reverso ou para proteger serviços por trás de NAT. Vamos examinar cada etapa.
O que você precisará
Antes de começar, verifique se você tem:
- Acesso de administrador à interface da Web do OPNsense
- Um nome de domínio válido apontando para sua instância do OPNsense
- Porta 80 aberta (para validação do HTTP-01)
- Credenciais ACME do seu provedor de certificados:
- URL do diretório ACME (por exemplo, https://acme.sectigo.com/v2/DV)
- Identificador de chave EAB (KID) e chave HMAC
Etapa 1 – Instalar e ativar o plug-in ACME
- Faça login na interface da Web do OPNsense.
- Navegue até System > Firmware > Plugins.
- Localize o plug-in chamado os-acme-client.
- Clique no botão + ao lado dele para instalar.
- Após a instalação, atualize a interface (pressione F5).
- Acesse Services > ACME Client > Settings e marque Enable Plugin (Ativar plug-in). Clique em Salvar.

Isso ativa o backend do cliente ACME e desbloqueia as opções de configuração.
Etapa 2 – Adicionar uma conta ACME
Para conectar o OPNsense à sua autoridade de certificação, você precisará criar uma conta ACME com External Account Binding (EAB).
- Acesse Services > ACME Client > Accounts. Clique em + Adicionar.
- Preencha o formulário:
- Nome da conta: Escolha qualquer nome descritivo.
- Endereço de e-mail: Para avisos de expiração ou erros.
- ACME CA: selecione URL de CA personalizada.
- URL personalizado da CA: Cole o URL do diretório ACME da sua CA (por exemplo, https://acme.sectigo.com/v2/DV)
- Identificador de chave: Digite seu EAB KID.
- Chave HMAC: Digite sua chave EAB HMAC.
- Clique em Salvar e, em seguida, clique em Registrar para criar a conta ACME.

Certifique-se de que o KID e o HMAC sejam copiados exatamente, sem espaços à esquerda ou à direita.
Etapa 3 – Configurar um método de validação (tipo de desafio)
Para provar a propriedade do domínio, a ACME usa tipos de desafio. Para o OPNsense, o mais comum é o HTTP-01.
- Vá para Serviços > Cliente ACME > Tipos de desafio. Clique em + Adicionar.
- Escolha HTTP-01 como o método de validação. Para isso, é necessário que a porta 80 esteja acessível na Internet pública.
- Salve e aplique as alterações.

Se o seu firewall bloquear a porta 80 ou se você estiver usando hospedagem baseada em DNS, considere um método de validação alternativo (não suportado nativamente em todas as versões).
Etapa 4 – Criar e emitir o certificado
Agora que sua conta e o método de validação estão prontos, você pode usar o método de validação:
- Vá para Services > ACME Client > Certificates. Clique em + Adicionar.
- Preencha as configurações do certificado:
- Nome do domínio: Digite seu domínio completo (por exemplo, vpn.example.com)
- Conta ACME: Selecione a conta criada na Etapa 2.
- Método de validação: Escolha o desafio HTTP-01 que você definiu na Etapa 3.
- Salve e aplique.

O cliente ACME agora tentará validar seu domínio e emitir o certificado.
Depois de concluído, o certificado será salvo e estará disponível para uso do sistema, incluindo GUI da Web, HAProxy, OpenVPN e outros plug-ins.
Etapa 5 – Automatizar a renovação e aplicar certificados
Após a configuração, os certificados são renovados automaticamente antes da expiração.
Você pode atribuir o certificado emitido aos serviços do OPNsense por meio de System > Settings > Administration ou configurações de plugin individuais.
Você também pode acionar manualmente a renovação em Services > ACME Client > Certificates, selecionando a entrada e clicando em Issue/Renew.
Perguntas comuns
Mesmo com uma configuração funcional, o gerenciamento de certificados ACME no OPNsense pode gerar algumas preocupações práticas, especialmente em relação à solução de problemas, à aplicação de certificados a serviços ou ao tratamento de problemas de renovação. Aqui estão as respostas para problemas reais que os usuários costumam encontrar após a configuração inicial:
Como faço para atribuir o certificado a serviços como o OpenVPN ou a interface do usuário da Web?
Depois que o certificado for emitido, acesse System > Trust > Certificates, localize o certificado emitido e clique no ícone de edição. Na parte inferior, você verá uma seção “Used by” (Usado por), na qual poderá atribuí-lo à GUI da Web, ao OpenVPN, ao IPsec ou a outros serviços.
Não se esqueça de reiniciar esses serviços para usar o novo certificado.
Meu certificado foi emitido, mas não aparece como ativo – o que está errado?
Certifique-se de que ele esteja selecionado no painel Trust > Certificates e ativamente vinculado ao serviço que você está tentando proteger. A emissão por si só não vincula automaticamente o certificado – você deve atribuí-lo manualmente a serviços como GUI ou VPN.
Além disso, verifique se o nome de domínio em seu certificado corresponde ao configurado no serviço (especialmente para acesso à interface do usuário da Web).
Por que o HTTP-01 é o único método compatível?
Atualmente, o cliente OPNsense ACME oferece suporte à validação HTTP-01 pronta para uso. O DNS-01 ou outras opções avançadas podem exigir scripts de terceiros ou automação externa e não são suportados nativamente.
Palavras finais
Agora você aprendeu a instalar um certificado ACME no OPNsense usando o plugin integrado e as credenciais EAB de uma CA comercial. Com renovação automatizada e integração simples com serviços de firewall, esse método mantém seu sistema seguro com o mínimo de esforço manual.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

