Dacă gestionați SSL/TLS pe firewall-ul OPNsense, utilizarea pluginului client ACME încorporat este o modalitate sigură și automată de a emite și reînnoi certificate de la CA-uri de încredere precum Sectigo. În acest ghid, veți afla cum să instalați un certificat ACME pe OPNsense utilizând pluginul oficial, să vă configurați contul ACME cu acreditările EAB, să validați proprietatea domeniului și să distribuiți automat certificate.

Această metodă este ideală pentru cei care utilizează OPNsense ca gateway, proxy invers sau pentru a securiza serviciile din spatele NAT. Să parcurgem fiecare pas.
De ce veți avea nevoie
Înainte de a începe, asigurați-vă că aveți:
- Acces de administrator la interfața web OPNsense
- Un nume de domeniu valid care indică instanța dvs. OPNsense
- Portul 80 deschis (pentru validarea HTTP-01)
- acreditări ACME de la furnizorul dvs. de certificate:
- ACME Directory URL (de exemplu, https://acme.sectigo.com/v2/DV)
- Identificatorul de cheie EAB (KID) și cheia HMAC
Pasul 1 – Instalarea și activarea pluginului ACME
- Conectați-vă la interfața web OPNsense.
- Navigați la Sistem > Firmware > Plugins.
- Localizați pluginul numit os-acme-client.
- Faceți clic pe butonul + de lângă acesta pentru a-l instala.
- După instalare, actualizați interfața (apăsați F5).
- Accesați Servicii > ACME Client > Settings și bifați Enable Plugin. Faceți clic pe Save (Salvare).

Aceasta activează backend-ul clientului ACME și deblochează opțiunile de configurare.
Pasul 2 – Adăugarea unui cont ACME
Pentru a conecta OPNsense la autoritatea dvs. de certificare, va trebui să creați un cont ACME cu EAB (External Account Binding).
- Mergeți la Servicii > ACME Client > Conturi. Faceți clic pe + Adăugare.
- Completați formularul:
- Nume cont: Alegeți orice nume descriptiv.
- Adresa de e-mail: Pentru notificări de expirare sau erori.
- ACME CA: Selectați URL CA personalizat.
- URL CA personalizat: Introduceți URL-ul directorului ACME al CA (de exemplu, https://acme.sectigo.com/v2/DV)
- Identificator cheie: Introduceți EAB KID.
- Cheie HMAC: Introduceți cheia EAB HMAC.
- Faceți clic pe Salvare, apoi faceți clic pe Înregistrare pentru a crea contul ACME.

Asigurați-vă că KID și HMAC sunt copiate exact, fără spații la început sau la sfârșit.
Pasul 3 – Configurați o metodă de validare (tip de provocare)
Pentru a dovedi proprietatea asupra domeniului, ACME utilizează tipuri de provocări. Pentru OPNsense, cea mai comună este HTTP-01.
- Mergeți la Servicii > ACME Client > Tipuri de provocări. Faceți clic pe + Adaugă.
- Alegeți HTTP-01 ca metodă de validare. Aceasta necesită ca portul 80 să fie accesibil de pe internetul public.
- Salvați și aplicați modificările.

Dacă firewall-ul dvs. blochează portul 80 sau dacă utilizați găzduire bazată pe DNS, luați în considerare o metodă alternativă de validare (care nu este suportată nativ în toate versiunile).
Pasul 4 – Crearea și emiterea certificatului
Acum că contul dvs. și metoda de validare sunt pregătite:
- Mergeți la Servicii > ACME Client > Certificate. Faceți clic pe + Add (Adăugare).
- Completați setările certificatului:
- Nume domeniu: Introduceți domeniul dvs. complet (de exemplu, vpn.example.com)
- Cont ACME: Selectați contul creat la pasul 2.
- Metoda de validare: Alegeți provocarea HTTP-01 pe care ați stabilit-o la pasul 3.
- Economisiți și aplicați.

Clientul ACME va încerca acum să vă valideze domeniul și să emită certificatul.
Odată finalizat, certificatul va fi salvat și disponibil pentru utilizarea sistemului, inclusiv GUI Web, HAProxy, OpenVPN și alte plugin-uri.
Pasul 5 – Automatizarea reînnoirii și aplicarea certificatelor
După configurare, certificatele sunt reînnoite automat înainte de expirare.
Puteți atribui certificatul emis serviciilor OPNsense prin intermediul Sistemului > Setări > Administrare sau prin setările plugin-urilor individuale.
De asemenea, puteți declanșa manual reînnoirea sub Servicii > ACME Client > Certificate, selectând intrarea și făcând clic pe Emitere/Renoire.
Întrebări frecvente
Chiar și cu o configurație funcțională, gestionarea certificatelor ACME în OPNsense poate ridica unele probleme practice, în special în ceea ce privește depanarea, aplicarea certificatelor la servicii sau rezolvarea problemelor de reînnoire. Iată răspunsuri la probleme reale cu care utilizatorii se confruntă adesea după configurarea inițială:
Cum atribui certificatul unor servicii precum OpenVPN sau interfața web?
Odată ce certificatul este emis, accesați System > Trust > Certificates, găsiți certificatul emis și faceți clic pe pictograma de editare. În partea de jos, veți vedea o secțiune „Utilizat de” în care îl puteți atribui GUI-ului Web, OpenVPN, IPsec sau altor servicii.
Nu uitați să reporniți aceste servicii pentru a utiliza noul certificat.
Certificatul meu este emis, dar nu apare ca activ – ce s-a întâmplat?
Asigurați-vă că este selectat în panoul Trust > Certificates și că este legat activ de serviciul pe care încercați să îl securizați. Emiterea singură nu leagă automat certificatul – trebuie să îl atribuiți manual unor servicii precum GUI sau VPN.
De asemenea, verificați dacă numele de domeniu din certificatul dvs. corespunde cu cel configurat în serviciu (în special pentru accesul la interfața web).
De ce HTTP-01 este singura metodă acceptată?
Clientul OPNsense ACME acceptă în prezent validarea HTTP-01 din fabrică. DNS-01 sau alte opțiuni avansate pot necesita scripturi terțe sau automatizare externă și nu sunt acceptate nativ.
Concluzie
Ați învățat acum cum să instalați un certificat ACME pe OPNsense utilizând pluginul încorporat și acreditările EAB de la un CA comercial. Cu o reînnoire automată și o integrare simplă cu serviciile firewall, această metodă vă menține sistemul securizat cu un efort manual minim.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

