Saltar al contenido

Obtener un certificado

La puerta de enlace ZTNA necesita un certificado comodín. Hay diferentes maneras de obtener el certificado, como se indica a continuación:

Nota

Necesita saber el dominio que utilizará para su puerta de enlace.

Generar un certificado de Let's Encrypt desde Sophos Central

Puede generar un certificado de Let's Encrypt desde Sophos Central.

Nota

Si utiliza registros de autorización de autoridad de certificación (CAA) en su servidor DNS, debe añadir un registro CAA específico para la autoridad de certificación Let's Encrypt. Este registro CAA autorizará a Let's Encrypt a emitir certificados para su dominio.

Para generar un certificado de Let's Encrypt, haga lo siguiente:

  1. En Sophos Central, vaya a Mis productos > ZTNA y pulse Configuración.
  2. Haga clic en Dominios y certificados.

  3. Haga clic en Añadir dominio.

    Nota

    Puede añadir un máximo de 100 dominios.

  4. Escriba su nombre de dominio en el siguiente formato: example.com.

  5. Haga clic en Añadir.

    Generaremos un registro CNAME para ese dominio, que se mostrará junto a su nombre de dominio en Dominios y certificados.

  6. En su servidor DNS, añada el registro CNAME como registro DNS para su dominio.

    Debe reclamar la propiedad del dominio introduciendo el registro CNAME generado en el dominio correspondiente en su servidor DNS.

    Nota

    Debe añadir su nombre de dominio al registro DNS en el siguiente formato: _acme-challenge.<domain name>.

    Nota

    Supongamos que ya tiene un registro DNS para _acme-challenge.<domain name> en su servidor DNS con registros TXT configurados (esto podría ser para otras aplicaciones). En ese caso, debe eliminar esas entradas cuando la generación del certificado de Let's Encrypt esté en curso para Sophos ZTNA.

  7. En Dominios y certificados, haga clic en Validar.

  8. Confirme que ha añadido el registro CNAME a su servidor DNS y haga clic en Validar.

    Validamos la propiedad del dominio utilizando el registro CNAME que ha introducido.

  9. Haga clic en Generar certificado de LE.

  10. Lea y acepte el acuerdo de suscripción de Let's Encrypt.

    Esto nos autoriza a gestionar sus certificados de Let's Encrypt.

  11. Haga clic en Generar.

    La generación del certificado tarda unos 60 segundos. Puede salir de la página mientras se está generando.

    Esto añade su dominio validado a su certificado de Let's Encrypt. El certificado se genera para todos los dominios validados.

Nota

Solo generamos un certificado de Let's Encrypt por cuenta. Todos los dominios validados forman parte del certificado generado. Al añadir un nuevo dominio, debe volver a generar el certificado de Let's Encrypt.

Gestionamos y renovamos el certificado de Let's Encrypt en su nombre.

Puede asociar el certificado de Let's Encrypt a una puerta de enlace existente. Si aún no ha añadido una puerta de enlace, puede hacerlo más tarde.

Asociar el certificado de Let's Encrypt con su puerta de enlace

  1. Vaya a Mis productos > ZTNA y pulse Puertas de enlace.
  2. Haga clic en el nombre de la puerta de enlace.
  3. En Dominio y certificado, seleccione Automático (Let's Encrypt).
  4. Haga clic en Guardar.

Los dominios existentes se han validado mediante registros TXT de DNS. Para generar un certificado de Let's Encrypt para estos dominios, primero debe añadir los dominios a su servidor DNS en el nuevo formato.

Haga lo siguiente:

  1. En Sophos Central, vaya a Mis productos > ZTNA y pulse Configuración.
  2. Haga clic en Dominios y certificados.
  3. Haga clic en Generar certificado de LE.
  4. En Añadir CNAME, copie el registro CNAME.

  5. En su servidor DNS, añada el registro CNAME como registro DNS para su dominio.

    Nota

    Debe añadir su nombre de dominio al registro DNS en el siguiente formato: _acme-challenge.<domain name>.

    Nota

    Supongamos que ya tiene un registro DNS para _acme-challenge.<domain name> en su servidor DNS con registros TXT configurados (esto podría ser para otras aplicaciones). En ese caso, debe eliminar esas entradas cuando la generación del certificado de Let's Encrypt esté en curso para Sophos ZTNA.

  6. Confirme que ha añadido el registro CNAME a su servidor DNS.

  7. Lea y acepte el acuerdo de suscripción de Let's Encrypt.

    Esto nos autoriza a gestionar sus certificados de Let's Encrypt.

  8. Haga clic en Continuar.

  9. Confirme que ha añadido el registro CNAME a su servidor DNS, y lea y acepte el acuerdo de suscriptor de Let's Encrypt.

  10. Haga clic en Generar.

    La generación del certificado tarda unos 60 segundos. Puede salir de la página mientras se está generando.

    Esto añade su dominio validado a su certificado de Let's Encrypt. El certificado se genera para todos los dominios validados.

    Los dominios existentes y los registros CNAME correspondientes se muestran en el nuevo formato en la tabla de la página Dominios y certificados.

    Nota

    Si tiene dominios existentes que no se han validado, debe eliminarlos y volver a añadirlos, validarlos y volver a generar el certificado de Let's Encrypt.

Gestionamos y renovamos el certificado de Let's Encrypt en su nombre.

Puede asociar el certificado de Let's Encrypt a una puerta de enlace existente. Si aún no ha añadido una puerta de enlace, puede hacerlo más tarde.

Asociar el certificado de LE con su puerta de enlace

  1. Vaya a Mis productos > ZTNA y pulse Puertas de enlace.
  2. Haga clic en el nombre de la puerta de enlace.
  3. En Dominio y certificado, seleccione Automático (Let's Encrypt).
  4. Haga clic en Guardar.

Obtener un certificado mediante SSL

Para obtener un certificado mediante OpenSSL con la autoridad de certificación (CA) de su elección, haga lo siguiente:

  1. Vaya a un dispositivo con una versión de línea de comandos de OpenSSL o instálelo.

  2. Cree un archivo de texto de plantilla de solicitud de firma de certificado (CSR).

    Utilizará esta plantilla para generar la CSR y la clave privada.

    Ejemplo 
    [req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

  3. Ejecute el siguiente comando. En este ejemplo, ztna.key es el nombre de la clave y ztna.csr es el nombre de la CSR. mytemplate.txt es el nombre de la plantilla CSR.

    Ejemplo 
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt

  4. Pida a la CA de su elección que firme su ztna.csr y descargue una versión codificada en Base64 del certificado firmado.

    Los pasos para hacerlo dependen de su CA. Busque las instrucciones en línea.

  5. Coloque la nueva ztna.key y el certificado firmado en una ubicación a la que pueda acceder cuando utilice Sophos Central para configurar la puerta de enlace.

Puede asociar el certificado con una puerta de enlace existente. Si aún no ha añadido una puerta de enlace, puede hacerlo más tarde.

Asociar el certificado con su puerta de enlace

  1. Vaya a Mis productos > ZTNA y pulse Puertas de enlace.
  2. Haga clic en el nombre de la puerta de enlace.
  3. En Dominio y certificado, seleccione Cargar su propio certificado y cargue el certificado que acaba de crear.
  4. Haga clic en Guardar.

Validez del certificado

Para asegurarse de que el certificado siga funcionando, haga lo siguiente:

  • Supervise la validez del certificado para comprobar si está configurado correctamente y revise la fecha de vencimiento.
  • Cuando el certificado venza, renuévelo.

Obtener un certificado mediante Let's Encrypt

Para obtener un certificado con Let's Encrypt y el cliente Certbot, haga lo siguiente:

  1. Inicie sesión en el proveedor DNS que aloja el dominio de la puerta de enlace.

  2. Instale Certbot en el dispositivo.

    Nota

    Certbot no valida el servidor web. En su lugar, valida la propiedad del dominio con una entrada TXT de DNS.

  3. Introduzca los siguientes comandos para obtener un certificado y cambiar al dominio en el que está desplegado ZTNA.

    sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

    Certbot devuelve el registro TXT que usted necesita y espera.

  4. Añada el registro TXT al proveedor DNS y espere de tres a cinco minutos.

  5. Vuelva a Certbot y pulse Intro para validar la propiedad del dominio.

Certbot genera un certificado y una clave para cargar en Sophos Central.

Asociar el certificado con su puerta de enlace

  1. Vaya a Mis productos > ZTNA y pulse Puertas de enlace.
  2. Haga clic en el nombre de la puerta de enlace.
  3. En Dominio y certificado, seleccione Cargar su propio certificado y cargue el certificado que acaba de crear.
  4. Haga clic en Guardar.

Validez del certificado

Para asegurarse de que el certificado siga funcionando, haga lo siguiente:

  • Compruebe la validez y la fecha de caducidad de su certificado para asegurarse de que está configurado correctamente.
  • Cuando el certificado venza, renuévelo.