Obtenir un certificat
La passerelle ZTNA nécessite un certificat générique. Vous pouvez obtenir ce certificat en utilisant l’une des options suivantes :
- Let's Encrypt.
- OpenSSL.
Remarque
Vous devez connaître le domaine que vous utiliserez pour votre passerelle.
Obtenir un certificat à l’aide de Let's Encrypt
Pour obtenir un certificat à l’aide de Let's Encrypt et du client Certbot, procédez comme suit :
- Connectez-vous au fournisseur DNS qui héberge votre domaine de passerelle.
-
Installez Certbot sur votre appareil.
Remarque
Certbot ne valide pas le serveur Web. Au lieu de cela, il valide la propriété du domaine avec une entrée DNS TXT.
-
Saisissez les commandes suivantes pour obtenir un certificat et modifier le domaine sur lequel ZTNA est déployé.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot renvoie l’enregistrement TXT dont vous avez besoin et se met en attente.
-
Ajoutez l’enregistrement TXT au fournisseur DNS et attendez trois à cinq minutes.
- Retournez dans Certbot et appuyez sur Entrée pour valider la propriété de votre domaine.
Certbot génère un certificat et une clé à télécharger vers Sophos Central. Retrouvez plus de renseignements sur https://letsencrypt.org/getting-started/.
Obtenir un certificat depuis SSL
Pour obtenir un certificat en utilisant Open SSL avec l'autorité de certification (CA) de votre choix, procédez de la manière suivante :
- Accédez à un appareil avec une version en ligne de commande d’OpenSSL ou OpenSSL.
-
Créez un modèle de demande de signature de certificats (CSR) sous format de fichier texte.
Vous utiliserez ce modèle pour générer la CSR et la clé privée.
Exemple
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Exécutez la commande ci-dessous. Dans cet exemple,
ztna.key
est le nom de la clé etztna.csr
le nom du CSR.mytemplate.txt
est le nom du modèle CSR.Exemple
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Faites signer votre
ztna.csr
par l’autorité de certification de votre choix et téléchargez une version Base64 chiffrée du certificat signé à partir de celle-ci.Les étapes à suivre dépendent de votre autorité de certification. Recherchez les instructions pertinentes en ligne.
-
Placez votre nouvelle
ztna.key
et le certificat signé dans un endroit auquel vous pouvez accéder lorsque vous configurez votre passerelle dans Sophos Central.
Validaté du certificat
Pour vous assurer que votre certificat continue de fonctionner, procédez comme suit :
- Surveillez la validité de votre certificat pour vérifier s’il est configuré correctement et vérifiez la date d’expiration.
- Lorsque votre certificat arrive à expiration, renouvelez-le.