在配置了动态域名后,如果没有安装SSL证书,使用域名访问pfSense一般都会出现不安全的提示,如下图所示。
要解决不安全提示的问题,需要在防火墙上安装SSL证书。下面介绍在pfSense上配置动态域名、导入SSL实现安全访问的方法。本文使用的防火墙版本为pfSense plus 23.05。
配置动态域名
本文以ddns.org动态域名为例来进行设置,其他动态域名请参考提供商的使用说明。
注册帐号
访问ddns.org,注册一个帐号,激活后进入动态域名设置仪表面板。
购买订阅
点击左侧的 Subscription,购买一个订阅或选择试用。
添加主机
继续点击左侧的 Services,添加一个主机。
下载证书
在服务列表,单击添加的主机,进入域名详细状态页面。点击左侧的证书项,分别下载证书私钥和证书备用。
防火墙配置
配置内容包括添加防火墙规则、配置动态域名、导入证书和修改登录设置等。
添加规则
使用动态域名访问防火墙,必须开放防火墙WAN接口对应端口。由于80和443端口一般都已被运营商阻断,在本示例中选择开放5678端口。
配置动态域名
导航至 服务 > DynDNS 配置页面。按下图格式输入动态域名相关信息。
更新网址使用以下格式:
http://update.ddns.org/nic/update?hostname=YOURHOSTNAME&myip=%IP%将 YOURHOSTNAME 替换为你的动态域名,例如 myexamplehost.fixip.org,IP替换为WAN接口的IP。设置完成以后,如果解析正常,缓存IP将显示为绿色状态。
添加证书
将从域名提供商下载的证书数据解压缩后用文本软件打开,然后导航到系统 > 证书管理,将数据分别添加到CA和证书当中。
单击 CAs 选项卡,点击右下角的添加按钮,导入动态域名商提供的CA数字证书数据。
保存后如下图所示:
在证书选项卡,点击右下角的添加按钮,导入动态域名商提供的证书和私钥数据。
保存后如下图所示:
修改登录设置
导航到系统 > 高级选项,在管理员访问选项卡,将访问协议设置为HTTPS,证书选上一步导入的证书,端口输入5678。
检查测试
重启防火墙,使用“https://主机域名:端口号”进行访问,这时应该就有上锁的小标记了,不会再出现不安全提示。
其他
OPNsense的设置基本相同。由于要开放WAN端口,使用该方法远程访问防火墙存在一定的安全风险,生产环境不建议使用。
相关下载
觉得内容不错?我要
