Beziehen eines Zertifikats
Das ZTNA-Gateway benötigt ein Wildcard-Zertifikat. Es gibt verschiedene Möglichkeiten, das Zertifikat zu erhalten:
- Sie können ein Let's Encrypt-Zertifikat aus Sophos Central generieren. Der Prozess der Zertifikatserzeugung ist automatisiert und wir verwalten und erneuern das Zertifikat für Sie.
- Sie können ein Zertifikat manuell mit SSL oder Let's Encrypt generieren. Sie müssen das Zertifikat verwalten und erneuern. Siehe Ein Zertifikat mit SSL beziehen und Ein Zertifikat mit Let’s Encrypt beziehen.
Hinweis
Sie müssen die Domäne kennen, die Sie für Ihr Gateway verwenden.
Let's Encrypt-Zertifikat aus Sophos Central erstellen
Sie können ein Let's Encrypt-Zertifikat aus Sophos Central generieren.
Hinweis
Wenn Sie CAA-Einträge (Certificate Authority Authorization) auf Ihrem DNS-Server verwenden, müssen Sie einen spezifischen CAA-Eintrag für die Let's Encrypt-Zertifizierungsstelle hinzufügen. Dieser CAA-Eintrag autorisiert Let's Encrypt, Zertifikate für Ihre Domäne auszustellen.
Gehen Sie folgendermaßen vor, um ein Let's Encrypt-Zertifikat zu erzeugen:
- Gehen Sie in Sophos Central zu Meine Produkte > ZTNA und klicken Sie auf Einstellungen.
- Klicken Sie auf Domänen und Zertifikate.
-
Klicken Sie auf Domäne hinzufügen.
Hinweis
Sie können maximal 100 Domänen hinzufügen.
-
Geben Sie Ihren Domänennamen im folgenden Format ein:
example.com
. -
Klicken Sie auf Hinzufügen.
Wir erstellen einen CNAME-Eintrag für diese Domäne, der auf Domänen und Zertifikate neben Ihrem Domänennamen angezeigt wird.
-
Fügen Sie auf Ihrem DNS-Server den CNAME-Eintrag als DNS-Eintrag für Ihre Domäne hinzu.
Sie müssen das Eigentum an der Domäne anfordern, indem Sie den generierten CNAME-Eintrag für die entsprechende Domäne auf Ihrem DNS-Server eingeben.
Hinweis
Sie müssen Ihren Domänennamen im folgenden Format zum DNS-Eintrag hinzufügen:
_acme-challenge.<domain name>
.Hinweis
Angenommen, Sie haben bereits einen DNS-Eintrag für
_acme-challenge.<domain name>
auf Ihrem DNS-Server mit konfigurierten TXT-Einträgen (ggf. für andere Anwendungen). In diesem Fall müssen Sie diese Einträge entfernen, wenn das Let's Encrypt-Zertifikat für Sophos ZTNA generiert wird. -
Klicken Sie unter Domänen und Zertifikate auf Validieren.
-
Bestätigen Sie, dass Sie den CNAME-Eintrag zu Ihrem DNS-Server hinzugefügt haben, und klicken Sie auf Validieren.
Wir prüfen den Eigentümer der Domäne anhand des von Ihnen eingegebenen CNAME-Eintrags.
-
Klicken Sie auf LE-Zertifikat erzeugen.
-
Lesen und akzeptieren Sie die Let's Encrypt-Abonnentenvereinbarung.
Damit erhalten wir die Berechtigung, Ihre Let's Encrypt-Zertifikate zu verwalten.
-
Klicken Sie auf die Option zum Erstellen des Berichts.
Die Zertifikaterzeugung dauert etwa 60 Sekunden. Sie können die Seite verlassen, während das Zertifikat erzeugt wird.
Dadurch wird Ihre validierte Domäne zu Ihrem Let's Encrypt-Zertifikat hinzugefügt. Das Zertifikat wird für alle validierten Domänen erzeugt.
Hinweis
Wir erzeugen nur ein Let's Encrypt-Zertifikat pro Konto. Alle validierten Domänen sind Teil des erzeugten Zertifikats. Wenn Sie eine neue Domäne hinzufügen, müssen Sie das Let's Encrypt-Zertifikat neu erzeugen.
Wir verwalten und erneuern das Let's Encrypt-Zertifikat in Ihrem Namen.
Sie können das Let's Encrypt-Zertifikat mit einem vorhandenen Gateway verknüpfen. Wenn Sie noch kein Gateway hinzugefügt haben, können Sie dies später tun.
Let's Encrypt-Zertifikat mit Ihrem Gateway verknüpfen
- Gehen Sie zu Meine Produkte > ZTNA und klicken Sie auf Gateways.
- Klicken Sie auf den Namen Ihres Gateways.
- Wählen Sie unter Domäne und Zertifikat die Option Automatisch (Let's Encrypt) aus.
- Klicken Sie auf Speichern.
Vorhandene Domänen wurden mit DNS-TXT-Einträgen validiert. Um ein Let's Encrypt-Zertifikat für diese Domänen zu erzeugen, müssen Sie die Domänen zuerst im neuen Format zu Ihrem DNS-Server hinzufügen.
Gehen Sie folgendermaßen vor:
- Gehen Sie in Sophos Central zu Meine Produkte > ZTNA und klicken Sie auf Einstellungen.
- Klicken Sie auf Domänen und Zertifikate.
- Klicken Sie auf LE-Zertifikat erzeugen.
- Kopieren Sie unter CNAME hinzufügen den CNAME-Eintrag.
-
Fügen Sie auf Ihrem DNS-Server den CNAME-Eintrag als DNS-Eintrag für Ihre Domäne hinzu.
Hinweis
Sie müssen Ihren Domänennamen im folgenden Format zum DNS-Eintrag hinzufügen:
_acme-challenge.<domain name>
.Hinweis
Angenommen, Sie haben bereits einen DNS-Eintrag für
_acme-challenge.<domain name>
auf Ihrem DNS-Server mit konfigurierten TXT-Einträgen (ggf. für andere Anwendungen). In diesem Fall müssen Sie diese Einträge entfernen, wenn das Let's Encrypt-Zertifikat für Sophos ZTNA generiert wird. -
Bestätigen Sie, dass Sie den CNAME-Eintrag zu Ihrem DNS-Server hinzugefügt haben.
-
Lesen und akzeptieren Sie die Let's Encrypt-Abonnentenvereinbarung.
Damit erhalten wir die Berechtigung, Ihre Let's Encrypt-Zertifikate zu verwalten.
-
Klicken Sie auf Fortfahren.
- Bestätigen Sie, dass Sie den CNAME-Eintrag zu Ihrem DNS-Server hinzugefügt haben, und lesen und akzeptieren Sie die Let's Encrypt-Abonnentenvereinbarung.
-
Klicken Sie auf die Option zum Erstellen des Berichts.
Die Zertifikaterzeugung dauert etwa 60 Sekunden. Sie können die Seite verlassen, während das Zertifikat erzeugt wird.
Dadurch wird Ihre validierte Domäne zu Ihrem Let's Encrypt-Zertifikat hinzugefügt. Das Zertifikat wird für alle validierten Domänen erzeugt.
Die vorhandenen Domänen und die entsprechenden CNAME-Einträge werden im neuen Format in der Tabelle auf der Seite Domänen und Zertifikate angezeigt.
Hinweis
Wenn Sie über vorhandene Domänen verfügen, die nicht validiert wurden, müssen Sie diese entfernen und neu hinzufügen, validieren und das Let's Encrypt-Zertifikat neu erzeugen.
Wir verwalten und erneuern das Let's Encrypt-Zertifikat in Ihrem Namen.
Sie können das Let's Encrypt-Zertifikat mit einem vorhandenen Gateway verknüpfen. Wenn Sie noch kein Gateway hinzugefügt haben, können Sie dies später tun.
LE-Zertifikat mit Ihrem Gateway verknüpfen
- Gehen Sie zu Meine Produkte > ZTNA und klicken Sie auf Gateways.
- Klicken Sie auf den Namen Ihres Gateways.
- Wählen Sie unter Domäne und Zertifikat die Option Automatisch (Let's Encrypt) aus.
- Klicken Sie auf Speichern.
Ein Zertifikat mit SSL beziehen
Gehen Sie wie folgt vor, um ein Zertifikat mithilfe von OpenSSL von Ihrer ausgewählten Zertifizierungsstelle (CA) zu erhalten:
- Gehen Sie zu einem Gerät mit einer Befehlszeilenversion von OpenSSL, oder installieren Sie es.
-
Erstellen Sie eine CSR-Vorlagendatei (Certificate Signing Request).
Sie verwenden diese Vorlage, um die CSR und den privaten Schlüssel zu generieren.
Beispiel
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Führen Sie den folgenden Befehl aus. In diesem Beispiel ist
ztna.key
der Name des Schlüssels undztna.csr
der Name der CSR.mytemplate.txt
ist der Name der CSR-Vorlage.Beispiel
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Lassen Sie die
ztna.csr
von Ihrer ausgewählten Zertifizierungsstelle signieren und laden Sie eine Base64-codierte Version des signierten Zertifikats von dieser herunter.Die Schritte dazu hängen von der jeweiligen Zertifizierungsstelle ab. Suchen Sie online nach Anweisungen.
-
Legen Sie den neuen
ztna.key
und das signierte Zertifikat an einem Speicherort ab, auf den Sie zugreifen können, wenn Sie das Gateway mithilfe von Sophos Central einrichten.
Sie können das Zertifikat mit einem vorhandenen Gateway verknüpfen. Wenn Sie noch kein Gateway hinzugefügt haben, können Sie dies später tun.
Zertifikat mit Ihrem Gateway verknüpfen
- Gehen Sie zu Meine Produkte > ZTNA und klicken Sie auf Gateways.
- Klicken Sie auf den Namen Ihres Gateways.
- Wählen Sie unter Domäne und Zertifikat die Option Eigenes Zertifikat hochladen und laden Sie das soeben erzeugte Zertifikat hoch.
- Klicken Sie auf Speichern.
Zertifikatgültigkeit
Um sicherzustellen, dass Ihr Zertifikat weiterhin funktioniert, gehen Sie wie folgt vor:
- Überwachen Sie die Gültigkeit Ihres Zertifikats, um zu prüfen, ob es korrekt konfiguriert ist, und prüfen Sie das Ablaufdatum.
- Wenn Ihr Zertifikat bald abläuft, erneuern Sie es.
Ein Zertifikat mit Let’s Encrypt beziehen
Um ein Zertifikat mit Let’s Encrypt und dem Certbot-Client zu erhalten, gehen Sie wie folgt vor:
- Melden Sie sich beim DNS-Anbieter an, der Ihre Gateway-Domain hostet.
-
Installieren Sie Certbot auf Ihrem Gerät.
Hinweis
Certbot validiert den Webserver nicht. Stattdessen wird der Domänenbesitz mit einem DNS-TXT-Eintrag überprüft.
-
Geben Sie die folgenden Befehle ein, um ein Zertifikat zu erhalten und in die Domäne zu wechseln, auf der ZTNA bereitgestellt wird.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot gibt den benötigten TXT-Datensatz zurück und wartet.
-
Fügen Sie den TXT-Eintrag dem DNS-Anbieter hinzu, und warten Sie drei bis fünf Minuten.
- Kehren Sie zu Certbot zurück, und drücken Sie die Eingabetaste, um Ihren Domänenbesitz zu bestätigen.
Certbot generiert ein Zertifikat und einen Schlüssel, die in Sophos Central hochgeladen werden sollen.
Zertifikat mit Ihrem Gateway verknüpfen
- Gehen Sie zu Meine Produkte > ZTNA und klicken Sie auf Gateways.
- Klicken Sie auf den Namen Ihres Gateways.
- Wählen Sie unter Domäne und Zertifikat die Option Eigenes Zertifikat hochladen und laden Sie das soeben erzeugte Zertifikat hoch.
- Klicken Sie auf Speichern.
Zertifikatgültigkeit
Um sicherzustellen, dass Ihr Zertifikat weiterhin funktioniert, gehen Sie wie folgt vor:
- Prüfen Sie die Gültigkeit und das Ablaufdatum Ihres Zertifikats, um sicherzustellen, dass es korrekt konfiguriert ist.
- Wenn Ihr Zertifikat bald abläuft, erneuern Sie es.