• Se le porte sono forardate ad un host interno (esempio 192.168.253.253), occorre far depositare le challenge via SFTP su questo host interno.

• Preparare un accoutn sftp in chroot che permetta di scrivere nella cartella delel challenge raggiungibile dall'esterno come

http://pfsense.example.com/.well-know/acme-challenges

useradd -d /var/lib/dehydrated/ pfsense
passwd pfsense
cd /var/lib/dehydrated/acme-challenges/
chown :pfsense .
chmod g+w .

• Testare dalla shell ssh di pfsense

echo test > test.txt
sftp pfsense@192.168.253.253
cd /acme-challenges/
put test.txt

• Verificare che il file sia raggiungibile (darà un warning per il certificato, essendo di test):

 http://pfsense.example.com/.well-know/acme-challenges/test.txt

• Eliminare il file ed uscire:

del test.txt
quit

• Installare il package Acme

General settings  
 (X) Cron Entry 

Services/Acme Certificates
Staging key 	Staging 	letsencrypt-staging-2 

Certifcates / Add

Domain SAN list 
Enabled	pfsense.rvmgroup.it	Webroot FTP

Server: sftp://192.168.253.253
...
Folder: /acme-challenges/

Actions list
Enabled	/etc/rc.restart_webgui	Shell Command

• Salve e fare Renew. Leggere i log

• Impostare il certificato per l'accesso alla webgui

System / Advanced / Admin Access
Protocol: HTTPS
Certificate: pfsense.example.com

• Se tutto va bene, creare una key di production e rinnovare il certificato