Die OPNsense ist bei sehr vielen Nutzern als Firewall sehr beliebt und bringt mit Erweiterungen und Plugins sehr viele nützliche Funktionen mit. Ein sehr nützliches Plugin ist die Erweiterung mit ACME (Let’s Encrypt). Mit diesem lassen sich gültige und signierte Zertifikate schnell ausstellen.

Tipp: Firewall Hardware für OPNsense / pfSense

Wer einen kompakten und Stromsparenden Barebone für eine OPNsense oder pfSense sucht, der wird mit den kleinen Barebones von Protectli genau das richtige haben.

Protectli Vault FW4C – 4 Port, Firewall Micro Appliance/Mini PC – Intel J3710, 2.5G Ports, AES-NI, 4GB DDR3 RAM, 32GB SSD
  • CPU: Intel J3710 Celeron Quad Core / 4 Thread bei 1,6 GHz (Burst auf 2,6 GHz), Intel AES-NI Hardwareunterstützung
  • Anschlüsse: 4 Intel 2.5 Gigabit Ethernet NIC Ports, 2x USB 3.0, 2x HDMI, 1x RJ45 COM-Port
  • Komponenten: 4 GB RAM, 32 GB SSD

Ausgangslage zur Einrichtung

Ich möchte meine bereits installierte OPNsense über einen Namen mit einem signierten Zertifikat erreichen. Als Namen habe ich mir einen kostenlosen Domainnamen bei IPv64.net registriert.

Domainnamen: opnsense.ipv64.net

Aktuell ist die Firewall über diesen Namen erreichbar, allerdings nur mit einem nicht vertrauenswürdigen Zertifikat.

Schritt für Schritt Anleitung – OPNsense ACME (Let’s Encrypt) Zertifikate

Benötigte Zeit: 5 Minuten

  1. OPNsense ACME Plugin installieren

    Menü: System -> Firmware -> Plugins

    Dort installiert Ihr das Paket „os-acme-client

  2. ACME Client aktivieren

    Menü: Services -> ACME Client -> Settings

    Nach der Installation ist der Menüpunkt ACME Client in den Services erreichbar. Dort müssen wir nun den ACME Service zunächst aktivieren.
    Gleichzeitig aktiviert Ihr schon mal das Häckchen „Auto Renewal„.
    OPNsense Lets Encrypt

  3. ACME Account anlegen

    Menü: Services -> ACME Client -> Accounts

    Damit Ihr beim auslaufen oder Problemen mit euren Zertifikaten kontaktiert werden könnt, verlangt Let’s Encrypt das man eine Kontaktmöglichkeit hinterlegt. Somit wird ein Account angelegt. (Auf das kleine + drücken)

    OPNsense Lets Encrypt

  4. ACME Challenge Type definieren

    Menü: Services -> ACME Client -> Challenge Types

    Hier wird die Methode ausgewählt wie die Zertifikate auf „Echtheit“ kontrolliert werden, damit diese ausgestellt werden können. Es gibt 2 gute Wege dies zu erfüllen. Einmal die DNS-Challenge und einmal die HTTP Challenge. Ich selber finde die HTTP Variante in diesem Scenario sehr gut.
    Challenge Type: HTTP-01
    Interface: WAN

    OPNsense Lets Encrypt ACME

  5. ACME Zertifikate erstellen

    Menü: Services -> ACME Client -> Certificates

    In diesem Schritt wird das Zertifikat erstellt und mit den vorher gesetzten Optionen belegt.

    Common Name: opnsense.ipv64.net (Eurer gewählter Domainname)
    ACME Account: Den erstellten Account auswählen
    Challenge Type: Den erstellten Challenge Type wählen
    Auto Renewal: Aktivieren

    OPNsense Lets Encrypt ACME

  6. ACME Zertifikat mit Let’s Encrypt signieren und ausstellen lassen

    Menü: Services -> ACME Client -> Certificates

    Aktuell steht euer Zertifikat noch im Status „Pending..“. Mit dem Klick auf Issue wird das Zertifikat nun ausgestellt und über Let’s Encrypt signiert.
    Info: Das dauert auch mal 30 Sekunden, ein bisschen warten ist hier angesagt.

    OPNsense Lets Encrypt ACME

  7. ACME Zertifikat für die OPNsense nutzen

    Menü: System -> Settings -> Administration

    Das nun fertige Zertifikat muss nun noch in den Einstellen der Firewall ausgewählt werden. Danach ist die Firewall über ein gültiges Zertifikat erreichbar.

    OPNsense Lets Encrypt ACME

Fazit

Die Einrichtung der Zertifikate ist wirklich einfach mit OPNsense und dem ACME Plugin. Als nächsten Schritt könnte man jetzt noch einen HAProxy dazu einrichten.