pfSense使用Let’s Encrypt (DNS-GoDaddy)

我们在pfSense下加密证书

当谷歌浏览器将HTTP页面标记为不安全时,运行没有HTTPS的网站被提示不安全看起来似乎不专业,所以,是时候为我们的Web服务器或反向代理配备HTTPS证书了。下面介绍在pfSense上设置免费Let’s Encrypt证书的过程。

安装ACME插件

导航到System > Package Manager > Available Packages,找到ACME插件,单击右侧的“Install”按钮进行安装。完成后在“Services > Acme”下找到该插件。

常规设置

在插件的常规设置中,激活“Cron Entry”复选框。确保在必要时每天定时更新证书。

帐户密钥

在“Account keys(帐户密钥)”选项卡,注册一个帐户密钥。

ACME服务器,选择Production ACME v2服务器(博主在这走了弯路),因为它可以创建通配符证书。

邮件地址,使用Let’s Encrypt来通知过期证书。

单击“Create new account key(创建新帐户密钥)”,帐户密钥字段会自动填充私钥。

单击“Register ACME account key(注册ACME帐户密钥)”,然后单击“保存”完成账户密钥的设置过程。

证书

创建所需的证书,最简单的方法是创建通配符证书。这也可以用于所有子域。但是,Let’s Encrypt需要通配符证书的DNS挑战方法,这需要域名提供商来支持。GoDaddy或Cloudflare的设置非常简单。这篇文章介绍了其中一种方法。然后,在域SAN列表中使用该API访问数据来创建证书所需的域。这与其他域提供商的工作方式类似。

证书创建完成后,点击下图右侧的Issue/Renew图标更新证书,更新证书需要1-2分钟的等待时间,最后会出现提示信息。

如果提示信息最后一行出现如下的信息,就表示证书申请成功。

update cert![Sun Mar 31 22:39:34 CST 2019] Reload success

pfSense上的HAProxy用户,还必须在ACME插件的设置中,添加一条命令,如下图所示:“/usr/local/etc/rc.d/haproxy.sh restart”。运行集群的设备还必须为第二个集群节点配置该命令。这适用于“haproxy”作为远程服务重启,如下图所示。这是必要的,因为 HAProxy 只能在重新启动时重新加载证书,该证书每 60 天更新一次。

如果你只想把HTTPS证书用于pfSense本身,以消除使用HTTPS协议登录pfSense时出现的不安全提醒,只需要在“System>AdvancedAdmin> Access”的SSL Certificate中,选中前面设置的证书就可以了。设置完成后,访问pfSense就再也不会出现安全警告了。

原文地址

发表评论

您的电子邮箱地址不会被公开。