本文介绍如何在 IPFire 防火墙上部署 SSL 证书，实现通过域名安全远程访问 Web 管理界面。

前提条件

开始之前，请确保满足以下条件：

• IPFire 的 WAN（红色）接口拥有公网 IP 地址；
• 已安装 Lucky for IPFire 插件；
• 已拥有可用的域名，并能正常解析到公网 IP；
• 本文以默认 Web 管理端口 444 为例进行演示。

放行端口

默认情况下，IPFire 的 Web 管理界面监听在 444 端口，需要先在防火墙中允许外部访问该端口。

进入：防火墙 → 规则策略，添加一条规则：

• 源：标准网络（红色）
• 目标：标准网络（绿色）
• 协议：TCP
• 源端口：444
• 目标端口：444

保存并应用更改。

配置完成后，可通过以下地址测试是否能够远程访问：

https://<WAN公网IP>:444

如果能够正常打开 IPFire 登录页面，说明端口放行成功。

域名解析

进入：服务 → Lucky，在 Lucky 的 DDNS 设置页面添加动态解析记录。以ipftest.pfchina.org 为例，将其解析至 Cloudflare DNS。

等待解析生效后，通过以下地址测试：

https://ipftest.pfchina.org:444

如果能够正常访问，则说明域名解析配置成功。

申请证书

进入：服务 → Lucky → 证书管理，申请 Cloudflare DNS 验证证书。

启用证书映射。

为了使证书更新后自动生效，可以在「证书变化后触发脚本」中填写：

/etc/init.d/apache restart

该脚本会在证书续期后自动重启 Apache 服务，加载最新证书。

替换证书

IPFire 默认仍然使用自签名证书，因此浏览器可能不会显示安全挂锁，需要将自签名证书替换为申请的域名证书。

编辑配置文件：

nano /etc/httpd/conf/vhosts.d/ipfire-interface-ssl.conf

找到：SSLEngine on

将证书配置修改为申请到的域名证书：

SSLEngine on
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite AESGCM+EECDH:CHACHA20+EECDH:@STRENGTH:+aRSA
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off
SSLCertificateFile /etc/httpd/cf.crt
SSLCertificateKeyFile /etc/httpd/cf.key

保存退出后，重启 Apache：

/etc/init.d/apache restart

检测验证

浏览器访问：

https://ipftest.pfchina.org:444

如果地址栏出现安全锁标识，并且证书信息显示为申请的域名证书，则说明配置已经成功。

完成以上配置后，即可安全地从互联网远程访问 IPFire 管理界面，并获得浏览器可信的 HTTPS 安全锁标识。