pfSense使用Let’s Encrypt(Standalone HTTP server)

pfSense可以使用Let’s Encrypt自动安全地生成完全认可的TLS证书。虽然使用自签名证书可以解决本地访问不安全的问题,但是通过ACME插件使用Let’s Encrypt,你仍然可以完全控制你的私钥,并不会导致安全性下降。

一、安装acme插件

导航到System / Package Manager / Available Packages,安装acme插件。

二、添加帐户

安装完成后,导航到“ Services/Acme Certificates ” 。

在“Account keys(帐户密钥)”选项卡中注册一个Let’s Encrypt帐户密钥,输入帐户密钥的名称和说明。ACME服务器,选择Production ACME v2服务器,因为它可以创建通配符证书。邮件地址使用Let’s Encrypt来通知过期证书。通过单击“Create new account key(创建新帐户密钥)”,帐户密钥字段将填充私钥。最后,使用“Register ACME account key(注册ACME帐户密钥)”,然后“保存”完成该过程。

二、创建证书

下一步是创建证书。在“ Certificates”选项卡下,单击“ADD”按钮。输入名称等详细信息。如下图所示选择“standalone HTTP server”,并在选项中将侦听端口设置为8082,因为ACME服务器需要在80端口上访问此独立HTTP服务器。

同时如下图所示在防火墙中添加端口转发规则,将端口80 转发到pfSense LAN IP地址,默认情况下为192.168.1.1。

当然你可以使用其他方法。

三、发布更新证书

现在回到Acme Certificates,然后单击Issue / Renew按钮。在更新之前,确保你的域名已经在DNS中进行了正确配置。如果提示信息最后一行出现如下的信息,就表示证书申请成功。

update cert![Sun Mar 31 22:39:34 CST 2019] Reload success

四、选择证书

然后转到System / Advanced / Admin Acces,在SSL Certificate下拉菜单中选择刚才申请的新证书。保存设置后,通过域名访问pfSense就不会出现安全警告了。