默认情况下,pfSense从本地登录时没有采用安全连接,在我们第一次连接到pfSense时,会出现一个安全连接警告。如果希望以后登录pfSense浏览器不再出现红色警告,我们需要在pfSense中开启SSL连接。

pfSense启用SSL访问_pfsense ssl

一、做好备份措施

在开始之前,我们要确保在进行设置后仍然能够正常访问防火墙,以防万一发生任何问题导致无法访问pfSense管理界面,下面我们来做一些备份措施。

1、创建一个pfSense备份:导航至系统诊断>备份恢复,下载格式为XML的备份文件。

pfSense启用SSL访问_pfsense ssl_02

2、在pfSense上启用SSH:导航至“ 系统/高级选项”并向下滚动,找到“ 安全SHELL”。选中启用SSH,并将SSH端口保留为默认值22,其他选项默认。

pfSense启用SSL访问_pfsense ssl_03

3、启用串行通讯:如果你的pfSense设备有串行端口,可以启用该端口。

pfSense启用SSL访问_pfsense ssl_04

二、为SSL创建新的证书颁发机构和证书

首先,我们要在pfSense上创建一个新的SSL证书颁发机构。导航到系统/证书管理/ CA,然后单击添加。

pfSense启用SSL访问_pfsense ssl_05

输入需要的内容,如下图所示:

pfSense启用SSL访问_pfsense ssl_06

接下来,我们需要创建一个中间证书颁发机构。在“ 系统/证书管理/ CA”上,再次单击“ 添加”。

pfSense启用SSL访问_pfsense ssl_07

下面我们创建一个新证书:现在点击证书选项卡,在系统/证书管理/证书。单击”添加/签署”来添加新证书。参照下图填写所有内容。确保在步骤2和6的字段中输入pfSense的FQDN。

可以在“ 系统”下的“ 系统/常规设置”中查看pfSense的 FQDN。FQDN是主机名和域的组合,用点分隔。如果主机名是pfsense1,域是localdomain,则你的FQDN是pfsense1.localdomain。

pfSense启用SSL访问_pfsense ssl_08

在下图的步骤1中选择服务器证书,步骤2中输入pfSense防火墙的IP地址,步骤4中输入防火墙的FQDN。。

pfSense启用SSL访问_pfsense ssl_09

导出证书颁发机构:回到系统/证书管理/CAS。在两个CA上单击“ 导出”。

pfSense启用SSL访问_pfsense ssl_10

客户端安装证书根据浏览器的不同,使用不同的方法。Chrome,我们需要将两个证书都导入Windows证书根目录;Firefox,我们只需要直接将Root-CA导入Firefox。

三、Google Chrome

将Root-CA导入我们的Windows 10证书根目录。打开Windows设置,然后搜索“证书”。打开“ 管理计算机证书”设置。

pfSense启用SSL访问_pfsense ssl_11

找到“ 受信任的根证书颁发机构/证书”,然后在空白处右侧的某个位置单击鼠标右键,然后选择“所有任务->导入”。选择从防火墙下载的Root-CA证书。

pfSense启用SSL访问_pfsense ssl_12

选择将所有证书放入以下位置:受信任的根证书颁发机构。单击下一步,然后单击完成。

pfSense启用SSL访问_pfsense ssl_13

现在,回到“ 中间证书颁发机构/证书”并重复上述步骤,这一次是导入SUB-CA证书。

四、Firefox

在Firefox上,只需要手动导入Root-CA。打开Firefox并转到“选项” /“隐私和安全性” /“查看证书”。

pfSense启用SSL访问_pfsense ssl_14

单击授权,然后从“下载”文件夹中导入pfSense证书。  选中下图的两个标记,单击确定完成证书导入。

pfSense启用SSL访问_pfsense ssl_15

五、在pfSense上启用SSL

登录到pfSense防火墙,然后导航至“ 系统/高级/管理员访问”。选择HTTPS协议,然后将SSL证书更改为先前创建的SSL证书,并单击保存。再重新登录pfSense时,将是采用SSL的HTTPS的安全连接了。

pfSense启用SSL访问_pfsense ssl_16

1、在Firefox浏览器中通过IP访问:

pfSense启用SSL访问_pfsense ssl_17

2、在Chrome浏览器中通过FQDN访问:

pfSense启用SSL访问_pfsense ssl_18