Obtener un certificado
La puerta de enlace ZTNA necesita un certificado comodín. Puede obtener este certificado utilizando una de las siguientes opciones:
- Let's Encrypt.
- OpenSSL.
Nota
Necesita saber el dominio que utilizará para su puerta de enlace.
Obtener un certificado mediante Let's Encrypt
Para obtener un certificado con Let's Encrypt y el cliente Certbot, haga lo siguiente:
- Inicie sesión en el proveedor DNS que aloja el dominio de la puerta de enlace.
-
Instale Certbot en el dispositivo.
Nota
Certbot no valida el servidor web. En su lugar, valida la propiedad del dominio con una entrada TXT de DNS.
-
Introduzca los siguientes comandos para obtener un certificado y cambiar al dominio en el que está desplegado ZTNA.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot devuelve el registro TXT que usted necesita y espera.
-
Añada el registro TXT al proveedor DNS y espere de tres a cinco minutos.
- Vuelva a Certbot y pulse Intro para validar la propiedad del dominio.
Certbot genera un certificado y una clave para cargar en Sophos Central. Para obtener más información, consulte https://letsencrypt.org/getting-started/.
Obtener un certificado mediante SSL
Para obtener un certificado mediante OpenSSL con la autoridad de certificación (CA) de su elección, haga lo siguiente:
- Vaya a un dispositivo con una versión de línea de comandos de OpenSSL o instálelo.
-
Cree un archivo de texto de plantilla de solicitud de firma de certificado (CSR).
Utilizará esta plantilla para generar la CSR y la clave privada.
Ejemplo
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Ejecute el siguiente comando. En este ejemplo,
ztna.key
es el nombre de la clave yztna.csr
es el nombre de la CSR.mytemplate.txt
es el nombre de la plantilla CSR.Ejemplo
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Pida a la CA de su elección que firme su
ztna.csr
y descargue una versión codificada en Base64 del certificado firmado.Los pasos para hacerlo dependen de su CA. Busque las instrucciones en línea.
-
Coloque la nueva
ztna.key
y el certificado firmado en una ubicación a la que pueda acceder cuando utilice Sophos Central para configurar la puerta de enlace.
Validez del certificado
Para asegurarse de que el certificado siga funcionando, haga lo siguiente:
- Supervise la validez del certificado para comprobar si está configurado correctamente y revise la fecha de vencimiento.
- Cuando el certificado venza, renuévelo.