当谷歌浏览器将HTTP页面标记为不安全时，运行没有HTTPS的网站被提示不安全看起来似乎不专业，所以，是时候为我们的Web服务器或反向代理配备HTTPS证书了。下面介绍在pfSense上设置免费Let’s Encrypt证书的过程。

安装ACME插件

导航到System > Package Manager > Available Packages，找到ACME插件，单击右侧的“Install”按钮进行安装。完成后在“Services > Acme”下找到该插件。

常规设置

在插件的常规设置中，激活“Cron Entry”复选框。确保在必要时每天定时更新证书。

帐户密钥

在“Account keys(帐户密钥)”选项卡，注册一个帐户密钥。

ACME服务器，选择Production ACME v2服务器(博主在这走了弯路)，因为它可以创建通配符证书。

邮件地址，使用Let’s Encrypt来通知过期证书。

单击“Create new account key(创建新帐户密钥)”，帐户密钥字段会自动填充私钥。

单击“Register ACME account key(注册ACME帐户密钥)”，然后单击“保存”完成账户密钥的设置过程。

证书

创建所需的证书，最简单的方法是创建通配符证书。这也可以用于所有子域。但是，Let’s Encrypt需要通配符证书的DNS挑战方法，这需要域名提供商来支持。GoDaddy或Cloudflare的设置非常简单。这篇文章介绍了其中一种方法。然后，在域SAN列表中使用该API访问数据来创建证书所需的域。这与其他域提供商的工作方式类似。

证书创建完成后，点击下图右侧的Issue/Renew图标更新证书，更新证书需要1-2分钟的等待时间，最后会出现提示信息。

如果提示信息最后一行出现如下的信息，就表示证书申请成功。

update cert![Sun Mar 31 22:39:34 CST 2019] Reload success

pfSense上的HAProxy用户，还必须在ACME插件的设置中，添加一条命令，如下图所示：“/usr/local/etc/rc.d/haproxy.sh restart”。运行集群的设备还必须为第二个集群节点配置该命令。这适用于“haproxy”作为远程服务重启，如下图所示。这是必要的，因为 HAProxy 只能在重新启动时重新加载证书，该证书每 60 天更新一次。

如果你只想把HTTPS证书用于pfSense本身，以消除使用HTTPS协议登录pfSense时出现的不安全提醒，只需要在“System>AdvancedAdmin> Access”的SSL Certificate中，选中前面设置的证书就可以了。设置完成后，访问pfSense就再也不会出现安全警告了。

原文地址。