Neste guia, você aprenderá a instalar um certificado ACME SSL no pfSense. O firewall agora oferece suporte nativo ao protocolo ACME por meio de seu pacote integrado, que permite que você automatize a emissão e a renovação de certificados SSL.

Esse processo funciona com autoridades de certificação (CAs) comerciais que oferecem suporte ao ACME + External Account Binding (EAB).
Antes de você começar
Você precisará de:
- Um firewall pfSense 2.7 ou Plus 23.x com acesso à Internet.
- Acesso de administrador SSH ou WebGUI.
- O URL do diretório ACME da sua CA, o ID da chave EAB e a chave HMAC.
- Um domínio público (por exemplo,
vpn.example.com) que é resolvido para o IP da WAN do pfSense.
Etapa 1: Instalar o pacote ACME
- Acesse System > Package Manager > Available Packages.
- Procure por acme.
- Clique em Instalar e, em seguida, confirme.
- Após a instalação, você encontrará um novo menu em Services > ACME Certificates.
Etapa 2: criar uma chave de conta ACME
- No menu do pfSense, acesse Services (Serviços )> ACME Certificates (Certificados ACME ) > Account Keys (Chaves de conta).
- Clique em + Add para criar uma nova conta.
- Preencha esses campos exatamente da seguinte forma:
- Nome – Dê à conta um identificador fácil (por exemplo, Sectigo-EAB).
- URL do servidor ACME – Cole o ponto de extremidade do diretório de sua CA, por exemplo, https://acme.sectigo.com/v2/DV
- Endereço de e-mail – Digite o contato do administrador usado com a sua CA.
- EAB Key ID e EAB HMAC Key – Insira os dois valores fornecidos pela sua CA. (Esses campos aparecem na GUI somente se a sua CA exigir a vinculação de conta externa).
- Clique em Criar nova chave de conta e, em seguida, em Registrar chave de conta ACME.
Se os campos EAB não estiverem visíveis na compilação do pfSense, você ainda poderá se registrar normalmente e, posteriormente, usar um cliente ACME externo (como acme.sh) para emitir e importar certificados manualmente. Funcionalmente, ambos os caminhos funcionam com CAs comerciais que oferecem suporte a ACME + EAB.
Etapa 3: Adicionar uma nova entrada de certificado
- Acesse Services (Serviços )> ACME Certificates (Certificados ACME ) > Certificates (Certificados ACME ).
- Clique em + Add e nomeie a entrada (por exemplo, vpn-example).
- Em Account Keys (Chaves da conta), selecione a conta que você criou anteriormente.
- Na lista Domain SAN, adicione seu domínio (por exemplo, vpn.example.com).
- Para Tipo de desafio, escolha HTTP-01 (recomendado).
- Em Method (Método), escolha webroot local folder (pasta local) ou standalone (autônomo), dependendo da configuração que você tiver.
- Clique em Salvar e aplicar.
Etapa 4: Configurar a validação HTTP
A CA deve acessar o dispositivo pfSense na porta 80 para confirmar a propriedade do domínio.
Se você já usa a porta 80 para outro serviço, redirecione ou encaminhe-a temporariamente para o webroot interno do pfSense.
Certifique-se de que qualquer redirecionamento de HTTPS permita que o caminhohttp://vpn.example.com/.well-known/acme-challenge/ permaneça em HTTP simples.
Para casos extremos atrás de NAT ou proxies reversos, use uma regra de encaminhamento de porta ou de servidor virtual para garantir o acesso externo a esse caminho de validação.
Etapa 5: Emitir o certificado
De volta a Services > ACME Certificates, clique no botão Issue/Renew (Emitir/Renovar ) do seu certificado.
Você verá logs em tempo real mostrando cada etapa:
- Verificação de conta
- Validação de domínio
- Emissão de certificados
Depois de concluído, seu novo certificado aparecerá em System → Certificates (Sistema → Certificados).
Etapa 6: Aplicar o certificado
Use seu novo certificado SSL para qualquer serviço no pfSense:
- WebGUI: Sistema > Avançado > Acesso do administrador > Certificado SSL
- OpenVPN / IPsec / HAProxy: selecione o mesmo certificado em seus respectivos menus suspensos
- Clique em Salvar e aplicar alterações
O pacote ACME lida com as renovações automaticamente. Por padrão, o pfSense renova os certificados 30 dias antes da expiração.
Para verificar ou acionar manualmente, acesse Services > ACME Certificates > Issue/Renew
Método alternativo: Gerar o certificado externamente e importá-lo para o pfSense
Se o fluxo ACME da CA comercial não for registrado diretamente no pfSense, você ainda poderá emitir o certificado em outro servidor Linux ou BSD e importá-lo manualmente. Esse método funciona com qualquer CA que ofereça suporte a ACME + External Account Binding (EAB) e é o fallback mais confiável para ambientes complexos ou sem suporte.
Etapa 1: Configurar o ACME.sh
Em qualquer máquina Linux ou BSD com acesso à Internet, instale o cliente ACME:
curl https://get.acme.sh | sh
source ~/.bashrc
Isso instala o acme.sh em seu diretório pessoal e o prepara para ser usado com endpoints ACME comerciais.
Etapa 2: Registre sua conta ACME com sua CA
Use as credenciais do portal ACME da sua CA, o URL do diretório, o ID da chave e a chave HMAC.
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Esta etapa autentica seu sistema com o serviço ACME da CA. Você só deve fazer isso uma vez por conta.
Etapa 3: Solicitar o certificado
Emita um certificado para o domínio do pfSense (por exemplo, vpn.example.com).
acme.sh --issue \
-d vpn.example.com \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--standalone
Se, em vez disso, sua CA ou configuração de rede exigir validação de DNS, substitua a última linha por --dns dns_cf (Use o plug-in de DNS que corresponda ao seu provedor).
Quando concluído, os certificados são armazenados em: ~/.acme.sh/vpn.example.com/
Etapa 4: Localize os arquivos
Dentro dessa pasta, você verá:
- fullchain.cer – certificado e cadeia intermediária
- vpn.example.com.key – chave privada
- ca.cer – certificado raiz/intermediário da CA
Esses são os arquivos que você carregará no pfSense.
Etapa 5: Importar o certificado para o pfSense
Faça login no pfSense e acesse System > Certificates.
- Clique em Add/Import.
- Cole o conteúdo do seu certificado (
fullchain.cer) e da chave privada (vpn.example.com.key). - Opcionalmente, adicione a cadeia de CA (
ca.cer). - Clique em Salvar.
O pfSense agora reconhecerá e armazenará esse certificado comercial como válido.
Etapa 6: Aplicar e automatizar
Agora você pode usar o certificado importado para:
- Sistema > Avançado > Acesso de administrador (WebGUI)
- Servidores OpenVPN ou IPsec
- Pacotes HAProxy ou Nginx
Para renovações, automatize o processo agendando um trabalho cron em seu host externo para renovar com acme.sh e, em seguida, carregue novamente os arquivos no pfSense usando SCP ou a API do pfSense.
Perguntas comuns
Se você estiver configurando o ACME com uma CA comercial pela primeira vez, verifique as respostas para as perguntas mais frequentes:
Posso usar isso com qualquer CA?
Você pode usar isso com uma CA que forneça um URL do ACME Directory e credenciais EAB (como Sectigo ou DigiCert).
Qual porta é necessária para a validação?
Somente a porta 80 (HTTP). Não o redirecione para HTTPS até que a validação seja concluída.
Por que minha validação começou a falhar repentinamente depois de ter funcionado antes?
Se a sua configuração do ACME estava funcionando e de repente falhou, isso geralmente é causado por uma alteração na rede ou no DNS. Verifique se o IP da WAN ou a regra NAT mudou ou se uma nova política de firewall está bloqueando a entrada de HTTP (porta 80). Verifique também se o seu domínio ainda está sendo resolvido para o mesmo IP público. A validação do ACME depende da capacidade de alcance externo. Até mesmo um redirecionamento ou uma porta bloqueada pode interrompê-la.
Posso compartilhar credenciais do EAB entre dispositivos?
Isso depende da CA que você possui, pois algumas exigem credenciais exclusivas por domínio ou dispositivo.
Palavras finais
Com essa configuração, você pode instalar um certificado ACME SSL no pfSense a partir de CAs comerciais compatíveis com EAB e manter a automação total durante seu ciclo de vida. É uma forma estável e de nível empresarial de manter suas VPNs, WebGUI e proxies reversos continuamente confiáveis, sem renovações manuais, cadeias quebradas ou tempo de inatividade que interrompa serviços essenciais.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

