默认情况下,pfSense从本地登录时没有采用安全连接,在我们第一次连接到pfSense时,会出现一个安全连接警告。如果希望以后登录pfSense浏览器不再出现红色警告,我们需要在pfSense中开启SSL连接。
一、做好备份措施在开始之前,我们要确保在进行设置后仍然能够正常访问防火墙,以防万一发生任何问题导致无法访问pfSense管理界面,下面我们来做一些备份措施。
1、创建一个pfSense备份:导航至系统诊断>备份恢复,下载格式为XML的备份文件。
2、在pfSense上启用SSH:导航至“ 系统/高级选项”并向下滚动,找到“ 安全SHELL”。选中启用SSH,并将SSH端口保留为默认值22,其他选项默认。
3、启用串行通讯:如果你的pfSense设备有串行端口,可以启用该端口。
二、为SSL创建新的证书颁发机构和证书首先,我们要在pfSense上创建一个新的SSL证书颁发机构。导航到系统/证书管理/ CA,然后单击添加。
输入需要的内容,如下图所示:
接下来,我们需要创建一个中间证书颁发机构。在“ 系统/证书管理/ CA”上,再次单击“ 添加”。
下面我们创建一个新证书:现在点击证书选项卡,在系统/证书管理/证书。单击”添加/签署”来添加新证书。参照下图填写所有内容。确保在步骤2和6的字段中输入pfSense的FQDN。
可以在“ 系统”下的“ 系统/常规设置”中查看pfSense的 FQDN。FQDN是主机名和域的组合,用点分隔。如果主机名是pfsense1,域是localdomain,则你的FQDN是pfsense1.localdomain。
在下图的步骤1中选择服务器证书,步骤2中输入pfSense防火墙的IP地址,步骤4中输入防火墙的FQDN。。
导出证书颁发机构:回到系统/证书管理/CAS。在两个CA上单击“ 导出”。
客户端安装证书根据浏览器的不同,使用不同的方法。Chrome,我们需要将两个证书都导入Windows证书根目录;Firefox,我们只需要直接将Root-CA导入Firefox。
三、Google Chrome将Root-CA导入我们的Windows 10证书根目录。打开Windows设置,然后搜索“证书”。打开“ 管理计算机证书”设置。
找到“ 受信任的根证书颁发机构/证书”,然后在空白处右侧的某个位置单击鼠标右键,然后选择“所有任务->导入”。选择从防火墙下载的Root-CA证书。
选择将所有证书放入以下位置:受信任的根证书颁发机构。单击下一步,然后单击完成。
现在,回到“ 中间证书颁发机构/证书”并重复上述步骤,这一次是导入SUB-CA证书。
四、Firefox在Firefox上,只需要手动导入Root-CA。打开Firefox并转到“选项” /“隐私和安全性” /“查看证书”。
单击授权,然后从“下载”文件夹中导入pfSense证书。 选中下图的两个标记,单击确定完成证书导入。
五、在pfSense上启用SSL登录到pfSense防火墙,然后导航至“ 系统/高级/管理员访问”。选择HTTPS协议,然后将SSL证书更改为先前创建的SSL证书,并单击保存。再重新登录pfSense时,将是采用SSL的HTTPS的安全连接了。
1、在Firefox浏览器中通过IP访问:
2、在Chrome浏览器中通过FQDN访问: