În acest ghid, veți învăța cum să instalați un certificat SSL ACME pe pfSense. Firewall-ul suportă acum protocolul ACME în mod nativ prin pachetul său încorporat, care vă permite să automatizați emiterea și reînnoirea certificatelor SSL.

Acest proces funcționează cu autorități de certificare (CA) comerciale care acceptă ACME + External Account Binding (EAB).
Înainte de a începe
Veți avea nevoie de:
- Un firewall pfSense 2.7 sau Plus 23.x cu acces la internet.
- SSH sau WebGUI acces admin.
- URL-ul directorului ACME al CA, EAB Key ID și cheia HMAC.
- Un domeniu public (de exemplu,
vpn.example.com) care se rezolvă la IP-ul WAN pfSense.
Pasul 1: Instalarea pachetului ACME
- Mergeți la System > Package Manager > Pachete disponibile.
- Căutați acme.
- Faceți clic pe Instalare, apoi confirmați.
- După instalare, veți găsi un meniu nou la Servicii > Certificate ACME.
Pasul 2: Crearea unei chei de cont ACME
- În meniul pfSense, mergeți la Servicii > Certificate ACME > Chei de cont.
- Faceți clic pe + Adaugă pentru a crea un cont nou.
- Completați aceste câmpuri exact după cum urmează:
- Nume – Dați contului un identificator simplu (de exemplu, Sectigo-EAB).
- ACME Server URL – Introduceți punctul final al directorului CA, de ex. https://acme. sectigo.com/v2/DV
- Adresă de e-mail – Introduceți adresa de contact a administratorului utilizată cu CA-ul dvs.
- EAB Key ID și EAB HMAC Key – Introduceți ambele valori furnizate de CA. (Aceste câmpuri apar în GUI numai dacă CA-ul dvs. necesită legarea contului extern).
- Faceți clic pe Creați o nouă cheie de cont, apoi Înregistrați cheia de cont ACME.
Dacă câmpurile EAB nu sunt vizibile în compilarea pfSense, vă puteți înregistra în mod normal, apoi puteți utiliza ulterior un client ACME extern (cum ar fi acme.sh) pentru a emite și importa certificate manual. Din punct de vedere funcțional, ambele căi funcționează cu CA comerciale care acceptă ACME + EAB.
Pasul 3: Adăugați o nouă intrare de certificat
- Accesați Servicii > Certificate ACME > Certificate.
- Faceți clic pe + Adaugă și denumiți intrarea (de exemplu, vpn-example).
- Sub Chei de cont, selectați contul creat anterior.
- În Domain SAN List, adăugați domeniul dvs. (de exemplu, vpn.example.com).
- Pentru Challenge Type, alegeți HTTP-01 (recomandat).
- În Metodă, alegeți folderul local webroot sau standalone, în funcție de configurația dvs.
- Faceți clic pe Salvare și aplicare.
Pasul 4: Configurați validarea HTTP
CA trebuie să ajungă la dispozitivul pfSense pe portul 80 pentru a confirma proprietatea asupra domeniului.
Dacă utilizați deja portul 80 pentru un alt serviciu, redirecționați-l temporar sau transmiteți-l către webroot-ul intern al pfSense.
Asigurați-vă că orice redirecționare HTTPS permite căiihttp://vpn.example.com/.well-known/acme-challenge/ să rămână pe HTTP simplu.
Pentru cazurile limită din spatele NAT sau proxy-urilor inverse, utilizați o regulă de redirecționare a porturilor sau de server virtual pentru a asigura accesul extern la calea de validare respectivă.
Pasul 5: Eliberarea certificatului
Înapoi în Servicii > Certificate ACME, faceți clic pe butonul Emitere/Renumire pentru certificatul dvs.
Veți vedea jurnalele live care prezintă fiecare pas:
- Verificarea contului
- Validarea domeniului
- Eliberarea certificatului
Odată finalizat, noul dvs. certificat va apărea în Sistem → Certificate.
Pasul 6: Aplicarea certificatului
Utilizați noul certificat SSL pentru orice serviciu pe pfSense:
- WebGUI: Sistem > Avansat > Acces Admin > Certificat SSL
- OpenVPN / IPsec / HAProxy: selectați același certificat din dropdown-urile respective
- Faceți clic pe Salvare și aplicare modificări
Pachetul ACME gestionează automat reînnoirile. În mod implicit, pfSense reînnoiește certificatele cu 30 de zile înainte de expirare.
Pentru a verifica sau a declanșa manual, accesați Servicii > Certificate ACME > Emitere/Rinnoire
Metodă de rezervă: Generați certificatul extern și importați-l în pfSense
Dacă fluxul ACME al CA comercial nu se înregistrează direct în pfSense, puteți emite certificatul pe un alt server Linux sau BSD și îl puteți importa manual. Această metodă funcționează cu orice CA care acceptă ACME + External Account Binding (EAB) și este cea mai fiabilă soluție de rezervă pentru mediile complexe sau nesuportate.
Pasul 1: Configurați ACME.sh
Pe orice mașină Linux sau BSD cu acces la internet, instalați clientul ACME:
curl https://get.acme.sh | sh
source ~/.bashrc
Aceasta instalează acme.sh în directorul dvs. personal și îl pregătește pentru utilizarea cu puncte terminale ACME comerciale.
Pasul 2: Înregistrați-vă contul ACME la CA
Utilizați datele de identificare din portalul ACME al CA, URL-ul directorului, ID-ul cheii și cheia HMAC.
acme.sh --register-account \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--accountemail [email protected]
Acest pas vă autentifică sistemul cu serviciul ACME al AC. Se face o singură dată pentru fiecare cont.
Pasul 3: Solicitați certificatul
Emiteți un certificat pentru domeniul dvs. pfSense (de exemplu vpn.example.com).
acme.sh --issue \
-d vpn.example.com \
--server https://acme.yourca.com/v2/acme \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--standalone
În cazul în care CA sau configurația rețelei dvs. necesită validarea DNS, înlocuiți ultima linie cu --dns dns_cf (Utilizați pluginul DNS care corespunde furnizorului dvs.).
După finalizare, certificatele sunt stocate sub: ~/.acme.sh/vpn.example.com/
Pasul 4: Localizați fișierele
În interiorul acestui dosar, veți vedea:
- fullchain.cer – certificat și lanț intermediar
- vpn.example.com.key – cheie privată
- ca.cer – Certificat CA rădăcină/intermediar
Acestea sunt fișierele pe care le veți încărca în pfSense.
Pasul 5: Importați certificatul în pfSense
Conectați-vă la pfSense și mergeți la Sistem > Certificate.
- Faceți clic pe Adăugare/Import.
- Lipiți conținutul certificatului (
fullchain.cer) și al cheii private (vpn.example.com.key). - Opțional, adăugați lanțul CA (
ca.cer). - Faceți clic pe Salvare.
pfSense va recunoaște și va stoca acum acest certificat comercial ca fiind valid.
Etapa 6: Aplicare și automatizare
Acum puteți utiliza certificatul importat pentru:
- Sistem > Avansat > Acces Admin (WebGUI)
- Servere OpenVPN sau IPsec
- Pachete HAProxy sau Nginx
Pentru reînnoiri, automatizați procesul prin programarea unui cron job pe gazda dvs. externă pentru a reînnoi cu acme.sh, apoi reîncărcați fișierele în pfSense utilizând SCP sau API-ul pfSense.
Întrebări frecvente
Dacă configurați ACME cu un CA comercial pentru prima dată, consultați răspunsurile la cele mai frecvente întrebări:
Pot folosi acest produs cu orice CA?
Puteți utiliza acest lucru cu un CA care furnizează o adresă URL ACME Directory și acreditări EAB (cum ar fi Sectigo sau DigiCert).
Care port este necesar pentru validare?
Numai portul 80 (HTTP). Nu îl redirecționați către HTTPS până la finalizarea validării.
De ce validarea mea a început brusc să eșueze după ce a funcționat înainte?
Dacă configurația ACME funcționa și dintr-o dată nu mai funcționează, de obicei acest lucru este cauzat de o schimbare în rețea sau DNS. Verificați dacă IP-ul WAN sau regula NAT s-au schimbat sau dacă o nouă politică de firewall blochează intrarea HTTP (portul 80). De asemenea, asigurați-vă că domeniul dvs. se rezolvă în continuare la același IP public. Validarea ACME depinde de accesibilitatea externă. Chiar și o redirecționare sau un port blocat o poate întrerupe.
Pot partaja acreditările EAB între dispozitive?
Depinde de CA-ul dvs., unele necesită acreditări unice pentru fiecare domeniu sau dispozitiv.
Cuvinte finale
Cu această configurare, puteți instala un certificat SSL ACME pe pfSense de la autorități de certificare comerciale care acceptă EAB și puteți menține automatizarea completă a ciclului său de viață. Este o modalitate stabilă, de nivel enterprise, de a vă păstra VPN-urile, WebGUI și proxy-urile inverse în mod continuu, fără reînnoiri manuale, lanțuri rupte sau întreruperi ale serviciilor critice.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

