Vai al contenuto

Come ottenere un certificato

Il gateway ZTNA richiede un certificato con caratteri jolly. È possibile ottenere questo certificato con una delle seguenti opzioni:

  • Let's Encrypt.
  • OpenSSL.

Nota

Occorrerà conoscere il dominio che si intende utilizzare per il gateway.

Come ottenere un certificato con Let's Encrypt

Per ottenere un certificato con Let's Encrypt e il client Certbot, procedere come segue:

  1. Accedere al provider DNS che ospita il dominio del proprio gateway.
  2. Installare Certbot sul dispositivo.

    Nota

    Certbot non convalida il server web. Convalida invece la proprietà del dominio con una voce TXT DNS.

  3. Immettere i seguenti comandi per ottenere un certificato e passare al dominio su cui viene distribuito ZTNA.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot restituirà il record TXT richiesto e rimarrà in attesa.

  4. Aggiungere il record TXT al provider DNS e attendere da tre a cinque minuti.

  5. Tornare a Certbot e premere Invio per convalidare la proprietà del dominio.

Certbot genererà un certificato e una chiave da caricare su Sophos Central. Per ulteriori informazioni, vedere https://letsencrypt.org/getting-started/.

Come ottenere un certificato utilizzando SSL

Per ottenere un certificato utilizzando OpenSSL con l'autorità di certificazione (CA) prescelta, procedere come segue:

  1. Accedere a un dispositivo con una versione da riga di comando di OpenSSL, oppure installarlo.
  2. Creare un file di testo modello per la richiesta di firma del certificato (CSR).

    Questo modello verrà utilizzato per generare la CSR e la chiave privata.

    Esempio
    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. Eseguire il comando riportato di seguito. In questo esempio ztna.key è il nome della chiave e ztna.csr è il nome della CSR. mytemplate.txt è il nome del modello per la CSR.

    Esempio
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. Accertarsi che ztna.csr venga firmata dalla CA selezionata e scaricare da quest'ultima una versione con codifica Base64 del certificato firmato.

    La procedura da seguire dipenderà dalla CA. Cercare le istruzioni online.

  5. Collocare la nuova ztna.key e il certificato firmato in un percorso a cui è possibile accedere quando si utilizza Sophos Central per configurare il gateway.

Validità del certificato

Per garantire il corretto funzionamento del certificato, procedere come segue:

  • Monitorare la validità del proprio certificato, per verificare se è stato configurato correttamente e controllare la data di scadenza.
  • Quando si avvicina la data di scadenza del certificato, rinnovarlo.