Obtenir un certificat
La passerelle ZTNA nécessite un certificat générique. Vous pouvez obtenir ce certificat en utilisant l’une des options suivantes :
- Let's Encrypt.
- OpenSSL.
Remarque
Vous devez connaître le domaine que vous utiliserez pour votre passerelle.
Obtenir un certificat à l’aide de Let's Encrypt
Pour obtenir un certificat à l’aide de Let's Encrypt et du client Certbot, procédez comme suit :
- Connectez-vous au fournisseur DNS qui héberge votre domaine de passerelle.
-
Installez Certbot sur votre appareil.
Remarque
Certbot ne valide pas le serveur Web. Au lieu de cela, il valide la propriété du domaine avec une entrée DNS TXT.
-
Saisissez les commandes suivantes pour obtenir un certificat et modifier le domaine sur lequel ZTNA est déployé.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot renvoie l’enregistrement TXT dont vous avez besoin et se met en attente.
-
Ajoutez l’enregistrement TXT au fournisseur DNS et attendez trois à cinq minutes.
- Retournez dans Certbot et appuyez sur Entrée pour valider la propriété de votre domaine.
Certbot génère un certificat et une clé à télécharger vers Sophos Central. Retrouvez plus de renseignements sur https://letsencrypt.org/getting-started/.
Obtenir un certificat depuis SSL
Pour obtenir un certificat en utilisant Open SSL avec l'autorité de certification (CA) de votre choix, procédez de la manière suivante :
- Accédez à un appareil avec une version en ligne de commande d’OpenSSL ou OpenSSL.
-
Créez un modèle de demande de signature de certificats (CSR) sous format de fichier texte.
Vous utiliserez ce modèle pour générer la CSR et la clé privée.
Exemple
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Exécutez la commande ci-dessous. Dans cet exemple,
ztna.key
est le nom de la clé etztna.csr
le nom du CSR.mytemplate.txt
est le nom du modèle CSR.Exemple
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Faites signer votre
ztna.csr
par l’autorité de certification de votre choix et téléchargez une version Base64 chiffrée du certificat signé à partir de celle-ci.Les étapes à suivre dépendent de votre autorité de certification. Recherchez les instructions pertinentes en ligne.
-
Placez votre nouvelle
ztna.key
et le certificat signé dans un endroit auquel vous pouvez accéder lorsque vous configurez votre passerelle dans Sophos Central.