Come ottenere un certificato
Il gateway ZTNA richiede un certificato con caratteri jolly. È possibile ottenere questo certificato con una delle seguenti opzioni:
- Let's Encrypt.
- OpenSSL.
Nota
Occorrerà conoscere il dominio che si intende utilizzare per il gateway.
Come ottenere un certificato con Let's Encrypt
Per ottenere un certificato con Let's Encrypt e il client Certbot, procedere come segue:
- Accedere al provider DNS che ospita il dominio del proprio gateway.
-
Installare Certbot sul dispositivo.
Nota
Certbot non convalida il server web. Convalida invece la proprietà del dominio con una voce TXT DNS.
-
Immettere i seguenti comandi per ottenere un certificato e passare al dominio su cui viene distribuito ZTNA.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot restituirà il record TXT richiesto e rimarrà in attesa.
-
Aggiungere il record TXT al provider DNS e attendere da tre a cinque minuti.
- Tornare a Certbot e premere Invio per convalidare la proprietà del dominio.
Certbot genererà un certificato e una chiave da caricare su Sophos Central. Per ulteriori informazioni, vedere https://letsencrypt.org/getting-started/.
Come ottenere un certificato utilizzando SSL
Per ottenere un certificato utilizzando OpenSSL con l'autorità di certificazione (CA) prescelta, procedere come segue:
- Accedere a un dispositivo con una versione da riga di comando di OpenSSL, oppure installarlo.
-
Creare un file di testo modello per la richiesta di firma del certificato (CSR).
Questo modello verrà utilizzato per generare la CSR e la chiave privata.
Esempio
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Eseguire il comando riportato di seguito. In questo esempio
ztna.key
è il nome della chiave eztna.csr
è il nome della CSR.mytemplate.txt
è il nome del modello per la CSR.Esempio
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Accertarsi che
ztna.csr
venga firmata dalla CA selezionata e scaricare da quest'ultima una versione con codifica Base64 del certificato firmato.La procedura da seguire dipenderà dalla CA. Cercare le istruzioni online.
-
Collocare la nuova
ztna.key
e il certificato firmato in un percorso a cui è possibile accedere quando si utilizza Sophos Central per configurare il gateway.
Validità del certificato
Per garantire il corretto funzionamento del certificato, procedere come segue:
- Monitorare la validità del proprio certificato, per verificare se è stato configurato correttamente e controllare la data di scadenza.
- Quando si avvicina la data di scadenza del certificato, rinnovarlo.