Saltar al contenido

Obtener un certificado

La puerta de enlace ZTNA necesita un certificado comodín. Puede obtener este certificado utilizando una de las siguientes opciones:

  • Let's Encrypt.
  • OpenSSL.

Nota

Necesita saber el dominio que utilizará para su puerta de enlace.

Obtener un certificado mediante Let's Encrypt

Para obtener un certificado con Let's Encrypt y el cliente Certbot, haga lo siguiente:

  1. Inicie sesión en el proveedor DNS que aloja el dominio de la puerta de enlace.

  2. Instale Certbot en el dispositivo.

    Nota

    Certbot no valida el servidor web. En su lugar, valida la propiedad del dominio con una entrada TXT de DNS.

  3. Introduzca los siguientes comandos para obtener un certificado y cambiar al dominio en el que está desplegado ZTNA.

    sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

    Certbot devuelve el registro TXT que usted necesita y espera.

  4. Añada el registro TXT al proveedor DNS y espere de tres a cinco minutos.

  5. Vuelva a Certbot y pulse Intro para validar la propiedad del dominio.

Certbot genera un certificado y una clave para cargar en Sophos Central. Para obtener más información, consulte https://letsencrypt.org/getting-started/.

Obtener un certificado mediante SSL

Para obtener un certificado mediante OpenSSL con la autoridad de certificación (CA) de su elección, haga lo siguiente:

  1. Vaya a un dispositivo con una versión de línea de comandos de OpenSSL o instálelo.

  2. Cree un archivo de texto de plantilla de solicitud de firma de certificado (CSR).

    Utilizará esta plantilla para generar la CSR y la clave privada.

    Ejemplo 
    [req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

  3. Ejecute el siguiente comando. En este ejemplo, ztna.key es el nombre de la clave y ztna.csr es el nombre de la CSR. mytemplate.txt es el nombre de la plantilla CSR.

    Ejemplo 
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt

  4. Pida a la CA de su elección que firme su ztna.csr y descargue una versión codificada en Base64 del certificado firmado.

    Los pasos para hacerlo dependen de su CA. Busque las instrucciones en línea.

  5. Coloque la nueva ztna.key y el certificado firmado en una ubicación a la que pueda acceder cuando utilice Sophos Central para configurar la puerta de enlace.

Validez del certificado

Para asegurarse de que el certificado siga funcionando, haga lo siguiente:

  • Supervise la validez del certificado para comprobar si está configurado correctamente y revise la fecha de vencimiento.
  • Cuando el certificado venza, renuévelo.