pfSense启用SSL访问

默认情况下，pfSense从本地登录时没有采用安全连接，在我们第一次连接到pfSense时，会出现一个安全连接警告。如果希望以后登录pfSense浏览器不再出现红色警告，我们需要在pfSense中开启SSL连接。

一、做好备份措施

在开始之前，我们要确保在进行设置后仍然能够正常访问防火墙，以防万一发生任何问题导致无法访问pfSense管理界面，下面我们来做一些备份措施。

1、创建一个pfSense备份：导航至系统诊断>备份恢复，下载格式为XML的备份文件。

2、在pfSense上启用SSH：导航至“ 系统/高级选项”并向下滚动，找到“ 安全SHELL”。选中启用SSH，并将SSH端口保留为默认值22，其他选项默认。

3、启用串行通讯：如果你的pfSense设备有串行端口，可以启用该端口。

二、为SSL创建新的证书颁发机构和证书

首先，我们要在pfSense上创建一个新的SSL证书颁发机构。导航到系统/证书管理/ CA，然后单击添加。

输入需要的内容，如下图所示：

接下来，我们需要创建一个中间证书颁发机构。在“ 系统/证书管理/ CA”上，再次单击“ 添加”。

下面我们创建一个新证书：现在点击证书选项卡，在系统/证书管理/证书。单击”添加/签署”来添加新证书。参照下图填写所有内容。确保在步骤2和6的字段中输入pfSense的FQDN。

可以在“ 系统”下的“ 系统/常规设置”中查看pfSense的 FQDN。FQDN是主机名和域的组合，用点分隔。如果主机名是pfsense1，域是localdomain，则你的FQDN是pfsense1.localdomain。

在下图的步骤1中选择服务器证书，步骤2中输入pfSense防火墙的IP地址，步骤4中输入防火墙的FQDN。。

导出证书颁发机构：回到系统/证书管理/CAS。在两个CA上单击“ 导出”。

客户端安装证书根据浏览器的不同，使用不同的方法。Chrome，我们需要将两个证书都导入Windows证书根目录；Firefox，我们只需要直接将Root-CA导入Firefox。

三、Google Chrome

将Root-CA导入我们的Windows 10证书根目录。打开Windows设置，然后搜索“证书”。打开“ 管理计算机证书”设置。

找到“ 受信任的根证书颁发机构/证书”，然后在空白处右侧的某个位置单击鼠标右键，然后选择“所有任务->导入”。选择从防火墙下载的Root-CA证书。

选择将所有证书放入以下位置：受信任的根证书颁发机构。单击下一步，然后单击完成。

现在，回到“ 中间证书颁发机构/证书”并重复上述步骤，这一次是导入SUB-CA证书。

四、Firefox

在Firefox上，只需要手动导入Root-CA。打开Firefox并转到“选项” /“隐私和安全性” /“查看证书”。

单击授权，然后从“下载”文件夹中导入pfSense证书。  选中下图的两个标记，单击确定完成证书导入。

五、在pfSense上启用SSL

登录到pfSense防火墙，然后导航至“ 系统/高级/管理员访问”。选择HTTPS协议，然后将SSL证书更改为先前创建的SSL证书，并单击保存。再重新登录pfSense时，将是采用SSL的HTTPS的安全连接了。

1、在Firefox浏览器中通过IP访问：

2、在Chrome浏览器中通过FQDN访问：