[教學]如何在pfSense使用免費的Let's Encrypt 憑證[0217更正內容]

現在沒有SSL憑證的話，實在是有點不方便。
尤其是Chrome開始逐步增加對安全性的要求，現在會出現一堆不安全的警示。
有些路由器內建是就用SSL來進入管理頁面，沒有合法SSL憑證的話，那是很麻煩的事。

今天小弟發現pfSense居然也開始內建了Let's Encrypt certificates套件。
這樣一來使用Let's Encrypt certificates就方便多了。
Let's Encrypt還有一點很棒喔，它可以接受DDNS的網址，這真是令人感動流涕。
可以用DDNS的話，從此不用想辦法準備固I，也不用再花錢買網址了。
大家快來試試喔....

以下是簡單的步驟示範

1.到System->Package Manager->Available Packages安裝acme這套件。
安裝完畢以後可以到Installed Packages看是不是已經成功安裝。


2.到Services->Acme->Account keys新增一個Account keys
Name：自己隨便取，可以辨識就好。
Acme Server：我選擇Let's Encrypt Production，這似乎不管選哪一個都可以...
接著大家按著號碼順序按一按就完成了，先按產生key，再按註冊key，最後按save。


3.到Certificates標籤中，新增一個Certificates項目。
Name：自己取，這個名稱就是以後系統裡面憑證的名稱。
Acme Account：選剛剛的Account keys名稱。
Domain SAN list：這裡就是要輸入你路由器的網址(FQDN)
Domainname：輸入完整的網址，例如happy.ddns.net
Method：就是網址的認證方法，我覺得選擇standalone HTTP server會比較簡單一點。
（port設定的部分先前寫錯了，在20170217重新更正如下）
下面Port的地方輸入web port，一般是80。


4.到Firewall->NAT->Port Forward
設定剛剛第三步驟轉至pfsense的80port。
以小弟來說就是將連入的Port80轉到pfsense的Port80。


5.回到Services->Acme->Certificates
按下藍色的 Issue/Renew，過一會就會出現綠色的畫面顯示執行的過程。
如果成功的話，應該會看到一堆像無意義各種字母數字組合的字串。
這個時候不用理它，因為它會自動在pfSense裡面新增一個SSL憑證，我們等著用就可以了。
也可以看一下Last renewed最後更新的時間日期正不正確？


6.到System->Certificate->ManagerCertificates
可以看到pfSense裡已經出現一個新的SSL憑證了，憑證名稱就是我們剛剛第三步驟取的名稱。


7.最後一步，到System->AdvancedAdmin->Access
SSL Certificate下拉選擇剛剛新增的SSL憑證，收工！


以後登入就不會出現安全性警告的錯誤訊息了，在網址列可以看到綠色的鎖頭和安全的字樣，爽！