配置 pfSense 使用 Let’s Encrypt 证书

pfSense 可以通过 Let’s Encrypt 自动安全地生成获得完全认可的 TLS 证书。虽然使用自签名证书可以解决本地访问的不安全问题，但借助 ACME 插件使用 Let’s Encrypt 后，你仍然可以完全控制自己的私钥，并不会导致安全性下降。

一、安装 ACME 插件

导航到 System / Package Manager / Available Packages，安装 acme 插件。

二、添加帐户

安装完成后，导航到 Services / Acme Certificates。

在“Account keys（帐户密钥）”选项卡中注册一个 Let’s Encrypt 帐户密钥。输入帐户密钥的名称和说明。ACME 服务器选择 Production ACME v2，因为它可以创建通配符证书。邮件地址用于 Let’s Encrypt 发送证书到期通知。通过单击“Create new account key（创建新帐户密钥）”，帐户密钥字段将自动填充私钥。最后，点击“Register ACME account key（注册 ACME 帐户密钥）”并保存。

三、创建证书

在“Certificates”选项卡下，单击“Add”按钮。输入名称等详细信息。如图所示，选择“standalone HTTP server”，并在选项中将侦听端口设置为 8082，因为 ACME 服务器需要通过 80 端口访问该独立 HTTP 服务器。

同时，在防火墙上添加一条端口转发规则，将外部 80 端口转发到 pfSense 的 LAN IP 地址（默认 192.168.1.1）。

当然你也可以使用其他验证方式。

四、发布 / 更新证书

回到 Acme Certificates，单击 Issue / Renew 按钮。操作前请确保域名已在 DNS 中正确配置。如果提示信息的最后一行出现类似下面的输出，就表示证书申请成功。

update cert![Sun Mar 31 22:39:34 CST 2019] Reload success

五、选择证书

转到 System / Advanced / Admin Access，在 SSL Certificate 下拉菜单中选择刚刚申请的新证书。保存设置后，通过域名访问 pfSense 就不会再出现安全警告了。