Obtenir un certificat

La passerelle ZTNA nécessite un certificat générique. Il existe différentes façons d’obtenir le certificat, comme suit :

Vous pouvez générer un certificat Let’s Encrypt à partir de Sophos Central. Le processus de génération du certificat est automatisé, et nous gérons et renouvelons le certificat pour vous.
Vous pouvez générer manuellement un certificat en utilisant SSL ou Let’s Encrypt. Vous devez gérer et renouveler le certificat. Voir Obtenir un certificat en utilisant SSL et Obtenir un certificat à l’aide de Let’s Encrypt.

Remarque

Vous devez connaître le domaine que vous utiliserez pour votre passerelle.

Générer un certificat Let’s Encrypt à partir de Sophos Central.

Vous pouvez générer un certificat Let’s Encrypt à partir de Sophos Central.

Remarque

Si vous utilisez des enregistrements d’autorisation d’autorité de certification (CAA) sur votre serveur DNS, vous devez ajouter un enregistrement CAA spécifique pour l’autorité de certification Let’s Encrypt. Cet enregistrement CAA autorisera Let’s Encrypt à émettre des certificats pour votre domaine.

Nouveaux domainesDomaines existants

Pour générer un certificat Let’s Encrypt, procédez comme suit :

Dans Sophos Central, allez dans Mes produits > ZTNA et cliquez sur Paramètres.
Cliquez sur Domaines et certificats.
Cliquez sur Ajouter un domaine.

Remarque

Vous pouvez ajouter un maximum de 100 domaines.
Saisissez votre nom de domaine au format suivant : example.com.
Cliquez sur Ajouter.

Nous générerons un enregistrement CNAME pour ce domaine, qui s’affichera à côté de votre nom de domaine sous Domaines et certificats.
Sur votre serveur DNS, ajoutez l’enregistrement CNAME comme enregistrement DNS pour votre domaine.

Vous devez revendiquer la propriété du domaine en entrant l’enregistrement CNAME généré en regard du domaine correspondant sur votre serveur DNS.

Remarque

Vous devez ajouter votre nom de domaine à l’enregistrement DNS au format suivant : _acme-challenge.<domain name>.

Remarque

Supposons que vous ayez déjà un enregistrement DNS pour _acme-challenge.<domain name> sur votre serveur DNS avec des enregistrements TXT configurés (cela peut être pour d’autres applications). Dans ce cas, vous devez supprimer ces entrées lorsque la génération du certificat Let’s Encrypt est en cours pour Sophos ZTNA.
Dans Domaines et certificats, cliquez sur Valider.
Confirmez que vous avez ajouté l’enregistrement CNAME à votre serveur DNS, puis cliquez sur Valider.

Nous validons la propriété du domaine à l’aide de l’enregistrement CNAME saisi.
Cliquez sur Générer un certificat LE.
Lisez et acceptez le contrat d’abonnement Let’s Encrypt.

Cela nous autorise à gérer vos certificats Let’s Encrypt.
Cliquez sur Générer.

La génération de certificat prend environ 60 secondes. Vous pouvez quitter la page pendant la génération.

Cela ajoute votre domaine validé à votre certificat Let’s Encrypt. Le certificat est généré pour tous les domaines validés.

Remarque

Nous ne générons qu’un seul certificat Let’s Encrypt par compte. Tous les domaines validés font partie du certificat généré. Lorsque vous ajoutez un nouveau domaine, vous devez générer à nouveau le certificat Let’s Encrypt.

Nous gérons et renouvelons le certificat Let’s Encrypt en votre nom.

Vous pouvez associer le certificat Let’s Encrypt à une passerelle existante. Si vous n’avez pas encore ajouté de passerelle, vous pouvez le faire ultérieurement.

Associer le certificat Let’s Encrypt à votre passerelle

Allez dans Mes produits > ZTNA et cliquez sur Passerelles.
Cliquez sur le nom de votre passerelle.
Sous Domaine et certificat, sélectionnez Automatique (Let’s Encrypt).
Cliquez sur Enregistrer.

Les domaines existants ont été validés à l’aide d’enregistrements DNS TXT. Pour générer un certificat Let’s Encrypt pour ces domaines, vous devez d’abord ajouter les domaines à votre serveur DNS dans le nouveau format.

Procédez comme suit :

Dans Sophos Central, allez dans Mes produits > ZTNA et cliquez sur Paramètres.
Cliquez sur Domaines et certificats.
Cliquez sur Générer un certificat LE.
Sous Ajouter CNAME, copiez l’enregistrement CNAME.
Sur votre serveur DNS, ajoutez l’enregistrement CNAME comme enregistrement DNS pour votre domaine.

Remarque

Vous devez ajouter votre nom de domaine à l’enregistrement DNS au format suivant : _acme-challenge.<domain name>.

Remarque

Supposons que vous ayez déjà un enregistrement DNS pour _acme-challenge.<domain name> sur votre serveur DNS avec des enregistrements TXT configurés (cela peut être pour d’autres applications). Dans ce cas, vous devez supprimer ces entrées lorsque la génération du certificat Let’s Encrypt est en cours pour Sophos ZTNA.
Confirmez que vous avez ajouté l’enregistrement CNAME à votre serveur DNS.
Lisez et acceptez le contrat d’abonnement Let’s Encrypt.

Cela nous autorise à gérer vos certificats Let’s Encrypt.
Cliquez sur Continuer.
Confirmez que vous avez ajouté l’enregistrement CNAME à votre serveur DNS, lisez et acceptez le contrat d’abonnement Let’s Encrypt.
Cliquez sur Générer.

La génération de certificat prend environ 60 secondes. Vous pouvez quitter la page pendant la génération.

Cela ajoute votre domaine validé à votre certificat Let’s Encrypt. Le certificat est généré pour tous les domaines validés.

Les domaines existants et les enregistrements CNAME correspondants sont affichés dans le nouveau format dans le tableau de la page Domaines et certificats.

Remarque

Si vous avez des domaines existants qui n’ont pas été validés, vous devez les supprimer et les ajouter à nouveau, les valider et générer à nouveau le certificat Let’s Encrypt.

Nous gérons et renouvelons le certificat Let’s Encrypt en votre nom.

Vous pouvez associer le certificat Let’s Encrypt à une passerelle existante. Si vous n’avez pas encore ajouté de passerelle, vous pouvez le faire ultérieurement.

Associer le certificat LE à votre passerelle

Allez dans Mes produits > ZTNA et cliquez sur Passerelles.
Cliquez sur le nom de votre passerelle.
Sous Domaine et certificat, sélectionnez Automatique (Let’s Encrypt).
Cliquez sur Enregistrer.

Obtenir un certificat en utilisant SSL

Pour obtenir un certificat en utilisant OpenSSL avec l’autorité de certification (CA) de votre choix, procédez de la manière suivante :

Accédez à un appareil avec une version en ligne de commande d’OpenSSL ou OpenSSL.

Créez un modèle de demande de signature de certificats (CSR) sous format de fichier texte.

Vous utiliserez ce modèle pour générer la CSR et la clé privée.

Exemple

[req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

Exécutez la commande ci-dessous. Dans cet exemple, ztna.key est le nom de la clé et ztna.csr le nom du CSR. mytemplate.txt est le nom du modèle CSR.
Exemple
```
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt
```
Faites signer votre ztna.csr par l’autorité de certification de votre choix et téléchargez une version Base64 chiffrée du certificat signé à partir de celle-ci.

Les étapes à suivre dépendent de votre autorité de certification. Recherchez les instructions pertinentes en ligne.
Placez votre nouvelle ztna.key et le certificat signé dans un endroit auquel vous pouvez accéder lorsque vous configurez votre passerelle dans Sophos Central.

Vous pouvez associer le certificat à une passerelle existante. Si vous n’avez pas encore ajouté de passerelle, vous pouvez le faire ultérieurement.

Associer le certificat à votre passerelle

Allez dans Mes produits > ZTNA et cliquez sur Passerelles.
Cliquez sur le nom de votre passerelle.
Sous Domaine et certificat, sélectionnez Télécharger votre propre certificat, puis téléchargez le certificat que vous venez de créer.
Cliquez sur Enregistrer.

Validité du certificat

Pour vous assurer que votre certificat continue de fonctionner, procédez comme suit :

Surveillez la validité de votre certificat pour vérifier s’il est configuré correctement et vérifiez la date d’expiration.
Lorsque votre certificat arrive à expiration, renouvelez-le.

Obtenir un certificat à l’aide de Let’s Encrypt

Pour obtenir un certificat à l’aide de Let's Encrypt et du client Certbot, procédez comme suit :

Connectez-vous au fournisseur DNS qui héberge votre domaine de passerelle.
Installez Certbot sur votre appareil.

Remarque

Certbot ne valide pas le serveur Web. Au lieu de cela, il valide la propriété du domaine avec une entrée DNS TXT.
Saisissez les commandes suivantes pour obtenir un certificat et modifier le domaine sur lequel ZTNA est déployé.
```
sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com
```
Certbot renvoie l’enregistrement TXT dont vous avez besoin et se met en attente.
Ajoutez l’enregistrement TXT au fournisseur DNS et attendez trois à cinq minutes.
Retournez dans Certbot et appuyez sur Entrée pour valider la propriété de votre domaine.

Certbot génère un certificat et une clé à télécharger vers Sophos Central.

Associer le certificat à votre passerelle

Allez dans Mes produits > ZTNA et cliquez sur Passerelles.
Cliquez sur le nom de votre passerelle.
Sous Domaine et certificat, sélectionnez Télécharger votre propre certificat, puis téléchargez le certificat que vous venez de créer.
Cliquez sur Enregistrer.

Validité du certificat

Pour vous assurer que votre certificat continue de fonctionner, procédez comme suit :

Vérifiez la date de validité et d’expiration de votre certificat pour vous assurer qu’il est configuré correctement.
Lorsque votre certificat arrive à expiration, renouvelez-le.