Zum Inhalt

Beziehen eines Zertifikats

Das ZTNA-Gateway benötigt ein Wildcard-Zertifikat. Sie können dieses Zertifikat mit folgenden Methoden beziehen:

  • Let’s Encrypt.
  • OpenSSL.

Hinweis

Sie müssen die Domäne kennen, die Sie für Ihr Gateway verwenden.

Ein Zertifikat mit Let’s Encrypt beziehen

Um ein Zertifikat mit Let’s Encrypt und dem Certbot-Client zu erhalten, gehen Sie wie folgt vor:

  1. Melden Sie sich beim DNS-Anbieter an, der Ihre Gateway-Domain hostet.
  2. Installieren Sie Certbot auf Ihrem Gerät.

    Hinweis

    Certbot validiert den Webserver nicht. Stattdessen wird der Domänenbesitz mit einem DNS-TXT-Eintrag überprüft.

  3. Geben Sie die folgenden Befehle ein, um ein Zertifikat zu erhalten und in die Domäne zu wechseln, auf der ZTNA bereitgestellt wird.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot gibt den benötigten TXT-Datensatz zurück und wartet.

  4. Fügen Sie den TXT-Eintrag dem DNS-Anbieter hinzu, und warten Sie drei bis fünf Minuten.

  5. Kehren Sie zu Certbot zurück, und drücken Sie die Eingabetaste, um Ihren Domänenbesitz zu bestätigen.

Certbot generiert ein Zertifikat und einen Schlüssel, die in Sophos Central hochgeladen werden sollen. Weitere Informationen finden Sie unter https://letsencrypt.org/getting-started/

Ein Zertifikat mit SSL beziehen

Gehen Sie wie folgt vor, um ein Zertifikat mithilfe von OpenSSL von Ihrer ausgewählten Zertifizierungsstelle (CA) zu erhalten:

  1. Gehen Sie zu einem Gerät mit einer Befehlszeilenversion von OpenSSL, oder installieren Sie es.
  2. Erstellen Sie eine CSR-Vorlagendatei (Certificate Signing Request).

    Sie verwenden diese Vorlage, um die CSR und den privaten Schlüssel zu generieren.

    Beispiel
    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. Führen Sie den folgenden Befehl aus. In diesem Beispiel ist ztna.key der Name des Schlüssels und ztna.csr der Name der CSR. mytemplate.txt ist der Name der CSR-Vorlage.

    Beispiel
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. Lassen Sie die ztna.csr von Ihrer ausgewählten Zertifizierungsstelle signieren und laden Sie eine Base64-codierte Version des signierten Zertifikats von dieser herunter.

    Die Schritte dazu hängen von der jeweiligen Zertifizierungsstelle ab. Suchen Sie online nach Anweisungen.

  5. Legen Sie den neuen ztna.key und das signierte Zertifikat an einem Speicherort ab, auf den Sie zugreifen können, wenn Sie das Gateway mithilfe von Sophos Central einrichten.

Zertifikatgültigkeit

Um sicherzustellen, dass Ihr Zertifikat weiterhin funktioniert, gehen Sie wie folgt vor:

  • Überwachen Sie die Gültigkeit Ihres Zertifikats, um zu prüfen, ob es korrekt konfiguriert ist, und prüfen Sie das Ablaufdatum.
  • Wenn Ihr Zertifikat bald abläuft, erneuern Sie es.