默认情况下,pfSense从本地登录时没有采用安全连接,在我们第一次连接到pfSense时,会出现一个安全连接警告,如果希望以后登录不再出现红色警告,就需要在pfSense中开启SSL安全连接。
一、做好备份措施
在开始之前,要确保在进行设置后仍然能够正常访问防火墙,以防万一发生问题导致无法访问pfSense管理界面,下面是一些备份措施。
1、备份配置文件
导航至系统诊断>备份恢复,下载XML格式的备份文件。
2、启用SSH
导航至“系统/高级选项”并向下滚动,找到“ 安全SHELL”。选中启用SSH,并将SSH端口保留为默认值22,其他选项默认。
3、启用串行通讯
如果你的pfSense设备有串行端口,也可以启用该端口。
二、创建CA
首先,要在pfSense上创建一个新的SSL证书颁发机构。导航到系统/证书管理/ CA,然后单击添加。
输入需要的内容,如下图所示:
接下来,创建一个中间证书颁发机构。在“系统/证书管理/ CA”上,再次单击“ 添加”。
接下来创建一个新证书:现在点击证书选项卡,在系统/证书管理/证书。单击”添加/签署”来添加新证书。参照下图填写所有内容。确保在步骤2和6的字段中输入pfSense的FQDN。
可以在“系统/常规设置”中查看pfSense的 FQDN。FQDN是主机名和域的组合,用点分隔。如果主机名是pfsense1,域是localdomain,则你的FQDN是pfsense1.localdomain。
在下图的步骤1中选择服务器证书,步骤2中输入pfSense防火墙的IP地址,步骤4中输入防火墙的FQDN。
导出证书颁发机构。回到“系统/证书管理/CAS”。在两个CA上单击“导出”。
三、客户端安装证书
根据浏览器的不同使用不同的方法。Chrome需要将两个证书都导入Windows证书根目录;Firefox只需直接将Root-CA导入到Firefox中。
1、Google Chrome
将Root-CA导入我们的Windows 10证书根目录。打开Windows设置,然后搜索“证书”。打开“管理计算机证书”设置。
找到“受信任的根证书颁发机构/证书”,然后在空白处右侧的某个位置单击鼠标右键,然后选择“所有任务->导入”。选择从防火墙下载的Root-CA证书。
选择将所有证书放入以下位置:受信任的根证书颁发机构。单击下一步,然后单击完成。
现在,回到“中间证书颁发机构/证书”并重复上述步骤,这一次导入SUB-CA证书。
2、Firefox
在Firefox上,只需要手动导入Root-CA。打开Firefox并转到“选项/隐私和安全性/查看证书”。
单击授权,然后从“下载”文件夹中导入pfSense证书。 选中下图的两个标记,单击确定完成证书导入。
四、在pfSense上启用SSL
登录到pfSense,然后导航至“系统/高级/管理员访问”。选择HTTPS协议,然后将SSL证书更改为先前创建的SSL证书,单击保存。再次重新登录pfSense时,将采用SSL的HTTPS安全连接了。
在Chrome浏览器中通过FQDN访问:
在Firefox浏览器中通过IP访问:
原文地址。