pfSense使用Let’s Encrypt (DNS-GoDaddy)

我们在pfSense下加密证书

当谷歌浏览器将HTTP页面标记为不安全时,运行没有HTTPS的网站并被提示不安全看起来似乎不那么专业。因此,每个人都应该为他们的Web服务器或反向代理配备HTTPS证书。在pfSense下如何设置免费的Let’s Encrypt证书,下面将进行详细介绍。

在pfSense通过安装ACME插件加密证书

在pfSense上安装ACME插件。可以在 System > Package Manager > Available Packages 下选择插件。单击“ Install(安装)”,完成后,在“Services > Acme”下找到该插件。

常规设置

在插件的常规设置中,激活“Cron Entry”复选框。这样可以确保在必要时每天凌晨3:16更新证书。

帐户密钥

然后在Let’s Encrypt中注册一个帐户密钥。这可以在“Account keys(帐户密钥)”选项卡中完成。在此处输入帐户密钥的名称和说明。
ACME服务器,一定要选择Production ACME v2服务器(我在这走了弯路),因为它可以创建通配符证书。
邮件地址使用Let’s Encrypt来通知过期证书。
通过单击“Create new account key(创建新帐户密钥)”,帐户密钥字段将填充私钥。
最后,使用“Register ACME account key(注册ACME帐户密钥)”,然后“保存”完成该过程。

证书

创建所需的证书,最简单的方法是创建通配符证书。这也可以用于所有子域。但是,Let’s Encrypt需要通配符证书的DNS查询方法。
这必须要域提供商来支持。GoDaddy或Cloudflare的设置就非常简单。这篇文章就介绍了其中一种方法。然后,在域SAN列表中使用此API访问数据来创建证书所需的域。这与其他域提供程序类似。

证书创建完成后,点击下图右侧的Issue/Renew图标更新证书,更新证书需要1-2分钟的等待时间,最后会出现提示信息。

如果提示信息最后一行出现如下的信息,就表示证书申请成功。

update cert![Sun Mar 31 22:39:34 CST 2019] Reload success

作为pfSense上HAProxy的用户,还必须在ACME插件的设置中,添加一条命令,如下图所示:“/usr/local/etc/rc.d/haproxy.sh restart”。运行群集的任何人还必须为第二个群集节点配置此命令。这可以通过“haproxy”作为远程服务重启,如下图所示。
这种设置是必要的,因为HAProxy每60天只能重新加载续订的证书。

如果你只想把HTTPS证书用于pfSense本身,以消除使用HTTPS协议登录pfSense时出现的不安全提醒,只需要在“System>AdvancedAdmin> Access”的SSL Certificate中,选中前面设置的证书就可以了。设置完成后,访问pfSense就再也不会出现安全警告了。

原文地址