pfSense动态域名配置SSL证书，实现安全访问

在配置了动态域名后，如果没有安装SSL证书，使用域名访问pfSense一般都会出现不安全的提示，如下图所示。

要解决不安全提示的问题，需要在防火墙上安装SSL证书。下面介绍在pfSense上配置动态域名、导入SSL实现安全访问的方法。本文使用的防火墙版本为pfSense plus 23.05。

配置动态域名

本文以ddns.org动态域名为例来进行设置，其他动态域名请参考提供商的使用说明。

注册帐号

访问ddns.org，注册一个帐号，激活后进入动态域名设置仪表面板。

购买订阅

点击左则的Subscription，购买一个订阅或选择试用。

添加主机

继续点击左则的Services，添加一个主机。

下载证书

在服务列表，单击添加的主机，进入域名详细状态页面。点击左则的证书项，分别下载证书私钥和证书备用。

防火墙配置

配置内容包括添加防火墙规则、配置动态域名、导入证书和修改登录设置等。

添加规则

使用动态域名访问防火墙，必须开放防火墙WAN接口对应端口。由于80和443端口一般都已被运营商阻断，在本示例中选择开放5678端口。

配置动态域名

导航至服务>DynDNS配置页面。按下图格式输入动态域名相关信息。

更新网址使用以下格式：

http://update.ddns.org/nic/update?hostname=YOURHOSTNAME&myip=%IP%

将YOURHOSTNAME替换为你的动态域名，例如myexamplehost.fixip.org，IP替换为WAN接口的IP。设置完成以后，如果解析正常，缓存IP将显示为绿色状态。

添加证书

将从域名提供商下载的证书数据解压缩后用文本软件打开，然后导航到系统>证书管理，将数据分别添加到CA和证书当中。

单击CAs选项卡，点击右下角的添加按钮，导入动态域名商提供的CA数字证书数据。

保存后如下图所示：

在证书选项卡，点击右下角的添加按钮，导入动态域名商提供的证书和私钥数据。

保存后如处图所示：

修改登录设置

导航到系统>高级选项，在管理员访问选项卡，将访问协议设置为https，证书选上一步导入的证书，端口输入5678。

检查测试

重启防火墙，使用“https://主机域名:端口号”进行访问，这时应该就有上锁的小标记了，不会再出现不安全提示。

其他

OPNsense的设置基本相同。由于要开放WAN端口，使用该方法远程访问防火墙存在一定的安全风险，生产环境不建议使用。