Aller au contenu

Obtenir un certificat

La passerelle ZTNA nécessite un certificat générique. Vous pouvez obtenir ce certificat en utilisant l’une des options suivantes :

  • Let's Encrypt.
  • OpenSSL.

Remarque

Vous devez connaître le domaine que vous utiliserez pour votre passerelle.

Obtenir un certificat à l’aide de Let's Encrypt

Pour obtenir un certificat à l’aide de Let's Encrypt et du client Certbot, procédez comme suit :

  1. Connectez-vous au fournisseur DNS qui héberge votre domaine de passerelle.
  2. Installez Certbot sur votre appareil.

    Remarque

    Certbot ne valide pas le serveur Web. Au lieu de cela, il valide la propriété du domaine avec une entrée DNS TXT.

  3. Saisissez les commandes suivantes pour obtenir un certificat et modifier le domaine sur lequel ZTNA est déployé.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot renvoie l’enregistrement TXT dont vous avez besoin et se met en attente.

  4. Ajoutez l’enregistrement TXT au fournisseur DNS et attendez trois à cinq minutes.

  5. Retournez dans Certbot et appuyez sur Entrée pour valider la propriété de votre domaine.

Certbot génère un certificat et une clé à télécharger vers Sophos Central. Retrouvez plus de renseignements sur https://letsencrypt.org/getting-started/.

Obtenir un certificat depuis SSL

Pour obtenir un certificat en utilisant Open SSL avec l'autorité de certification (CA) de votre choix, procédez de la manière suivante :

  1. Accédez à un appareil avec une version en ligne de commande d’OpenSSL ou OpenSSL.
  2. Créez un modèle de demande de signature de certificats (CSR) sous format de fichier texte.

    Vous utiliserez ce modèle pour générer la CSR et la clé privée.

    Exemple
    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. Exécutez la commande ci-dessous. Dans cet exemple, ztna.key est le nom de la clé et ztna.csr le nom du CSR. mytemplate.txt est le nom du modèle CSR.

    Exemple
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. Faites signer votre ztna.csr par l’autorité de certification de votre choix et téléchargez une version Base64 chiffrée du certificat signé à partir de celle-ci.

    Les étapes à suivre dépendent de votre autorité de certification. Recherchez les instructions pertinentes en ligne.

  5. Placez votre nouvelle ztna.key et le certificat signé dans un endroit auquel vous pouvez accéder lorsque vous configurez votre passerelle dans Sophos Central.

Validaté du certificat

Pour vous assurer que votre certificat continue de fonctionner, procédez comme suit :

  • Surveillez la validité de votre certificat pour vérifier s’il est configuré correctement et vérifiez la date d’expiration.
  • Lorsque votre certificat arrive à expiration, renouvelez-le.