Come ottenere un certificato

Il gateway ZTNA richiede un certificato con caratteri jolly. Esistono diversi modi per ottenere il certificato:

È possibile generare un certificato Let’s Encrypt (LE) da Sophos Central. Il processo di generazione del certificato è automatizzato e siamo noi a gestire e rinnovare il certificato.
È possibile generare manualmente un certificato utilizzando SSL o Let’s Encrypt. Il certificato deve essere gestito e rinnovato in maniera autonoma. Vedere Come ottenere un certificato utilizzando SSL e Come ottenere un certificato con Let’s Encrypt.

Nota

Occorrerà conoscere il dominio che si intende utilizzare per il gateway.

Generazione di un certificato Let’s Encrypt da Sophos Central

È possibile generare un certificato Let’s Encrypt (LE) da Sophos Central.

Nota

Se si utilizzano record CAA (Certificate Authority Authorization) sul proprio server DNS, occorre aggiungere un record CAA specifico per l’autorità di certificazione Let’s Encrypt. Questo record CAA autorizza Let’s Encrypt a emettere certificati per il proprio dominio.

Nuovi dominiDomini esistenti

Per generare un certificato Let’s Encrypt, procedere come segue:

In Sophos Central, selezionare Prodotti > ZTNA e cliccare su Impostazioni.
Cliccare su Domini e certificati.
Cliccare su Aggiungi dominio.

Nota

Puoi aggiungere fino a 100 domini.
Digitare il nome del proprio dominio nel seguente formato: example.com.
Cliccare su Aggiungi.

Genereremo un record CNAME per quel dominio, che verrà visualizzato accanto al nome del dominio in Domini e certificati.
Sul proprio server DNS, aggiungere il record CNAME come record DNS per il proprio dominio.

Occorre richiedere la proprietà del dominio, specificando il record CNAME generato per il dominio corrispondente sul proprio server DNS.

Nota

Il nome del proprio dominio deve essere aggiunto al record DNS utilizzando il seguente formato: _acme-challenge.<domain name>.

Nota

Sul proprio server DNS potrebbe già esistere un record DNS per _acme-challenge.<domain name> con record TXT configurati (potrebbe essere per altre applicazioni). In tale eventualità, occorrerà rimuovere tali voci quando è in corso la generazione del certificato Let’s Encrypt per Sophos ZTNA.
In Domini e certificati, cliccare su Convalida.
Confermare di aver aggiunto il record CNAME al proprio server DNS e cliccare su Convalida.

Convalideremo la proprietà del dominio utilizzando il record CNAME specificato.
Cliccare su Genera certificato LE.
Leggere e accettare il Let’s Encrypt Subscriber Agreement (Accordo per gli abbonati di Let’s Encrypt).

Con questa azione, si concede a Sophos l’autorizzazione di gestire i certificati Let’s Encrypt.
Cliccare su Genera.

La generazione del certificato richiede circa 60 secondi. È possibile uscire dalla pagina mentre è in corso la generazione.

Il dominio convalidato verrà così aggiunto al proprio certificato Let’s Encrypt. Il certificato verrà generato per tutti i domini convalidati.

Nota

Generiamo un solo certificato Let’s Encrypt per ogni account. Tutti i domini convalidati fanno parte del certificato generato. Quando si aggiunge un nuovo dominio, il certificato Let’s Encrypt deve essere generato di nuovo.

Il certificato Let’s Encrypt sarà gestito e rinnovato da noi.

È possibile associare il certificato Let’s Encrypt a un gateway esistente. Se non è stato ancora aggiunto un gateway, è possibile farlo in un secondo momento.

Associazione del certificato Let’s Encrypt al proprio gateway

Aprire Prodotti > ZTNA e cliccare su Gateway.
Cliccare sul Nome del proprio gateway.
In Dominio e certificato, selezionare Automatico (Let’s Encrypt).
Cliccare su Salva.

I domini esistenti sono stati convalidati utilizzando record TXT DNS. Per generare un certificato Let’s Encrypt per questi domini, occorre prima aggiungere i domini al server DNS nel nuovo formato.

Procedere come segue:

In Sophos Central, selezionare Prodotti > ZTNA e cliccare su Impostazioni.
Cliccare su Domini e certificati.
Cliccare su Genera certificato LE.
In Aggiungi CNAME, copiare il record CNAME.
Sul proprio server DNS, aggiungere il record CNAME come record DNS per il proprio dominio.

Nota

Il nome del proprio dominio deve essere aggiunto al record DNS utilizzando il seguente formato: _acme-challenge.<domain name>.

Nota

Sul proprio server DNS potrebbe già esistere un record DNS per _acme-challenge.<domain name> con record TXT configurati (potrebbe essere per altre applicazioni). In tale eventualità, occorrerà rimuovere tali voci quando è in corso la generazione del certificato Let’s Encrypt per Sophos ZTNA.
Confermare di aver aggiunto il record CNAME al proprio server DNS.
Leggere e accettare il Let’s Encrypt Subscriber Agreement (Accordo per gli abbonati di Let’s Encrypt).

Con questa azione, si concede a Sophos l’autorizzazione di gestire i certificati Let’s Encrypt.
Cliccare su Continua.
Confermare di aver aggiunto il record CNAME al proprio server DNS, e di aver letto e accettato il Let’s Encrypt Subscriber Agreement (Accordo per gli abbonati di Let’s Encrypt).
Cliccare su Genera.

La generazione del certificato richiede circa 60 secondi. È possibile uscire dalla pagina mentre è in corso la generazione.

Il dominio convalidato verrà così aggiunto al proprio certificato Let’s Encrypt. Il certificato verrà generato per tutti i domini convalidati.

I domini esistenti e i record CNAME corrispondenti saranno visualizzati nel nuovo formato nella tabella della pagina Domini e certificati.

Nota

Se sono presenti domini esistenti che non sono stati convalidati, occorrerà rimuoverli e successivamente riaggiungerli, convalidarli e generare di nuovo il certificato Let’s Encrypt.

Il certificato Let’s Encrypt sarà gestito e rinnovato da noi.

È possibile associare il certificato Let’s Encrypt a un gateway esistente. Se non è stato ancora aggiunto un gateway, è possibile farlo in un secondo momento.

Associazione del certificato LE al proprio gateway

Aprire Prodotti > ZTNA e cliccare su Gateway.
Cliccare sul Nome del proprio gateway.
In Dominio e certificato, selezionare Automatico (Let’s Encrypt).
Cliccare su Salva.

Come ottenere un certificato utilizzando SSL

Per ottenere un certificato utilizzando OpenSSL con l’autorità di certificazione (CA) selezionata, procedere come segue:

Accedere a un dispositivo con una versione da riga di comando di OpenSSL, oppure installarlo.

Creare un file di testo modello per la richiesta di firma del certificato (CSR).

Questo modello verrà utilizzato per generare la CSR e la chiave privata.

Esempio

[req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

Eseguire il comando riportato di seguito. In questo esempio ztna.key è il nome della chiave e ztna.csr è il nome della CSR. mytemplate.txt è il nome del modello per la CSR.
Esempio
```
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt
```
Accertarsi che ztna.csr venga firmata dalla CA selezionata e scaricare da quest'ultima una versione con codifica Base64 del certificato firmato.

La procedura da seguire dipenderà dalla CA. Cercare le istruzioni online.
Collocare la nuova ztna.key e il certificato firmato in un percorso a cui è possibile accedere quando si utilizza Sophos Central per configurare il gateway.

È possibile associare il certificato a un gateway esistente. Se non è stato ancora aggiunto un gateway, è possibile farlo in un secondo momento.

Associazione del certificato al proprio gateway

Aprire Prodotti > ZTNA e cliccare su Gateway.
Cliccare sul Nome del proprio gateway.
In Dominio e certificato, selezionare Carica il tuo certificato e caricare il certificato appena creato.
Cliccare su Salva.

Validità del certificato

Per garantire il corretto funzionamento del certificato, procedere come segue:

Monitorare la validità del proprio certificato, per verificare se è stato configurato correttamente e controllare la data di scadenza.
Quando si avvicina la data di scadenza del certificato, rinnovarlo.

Come ottenere un certificato con Let’s Encrypt

Per ottenere un certificato con Let's Encrypt e il client Certbot, procedere come segue:

Accedere al provider DNS che ospita il dominio del proprio gateway.
Installare Certbot sul dispositivo.

Nota

Certbot non convalida il server web. Convalida invece la proprietà del dominio con una voce TXT DNS.

Immettere i seguenti comandi per ottenere un certificato e passare al dominio su cui viene distribuito ZTNA.

sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

Certbot restituirà il record TXT richiesto e rimarrà in attesa.

Aggiungere il record TXT al provider DNS e attendere da tre a cinque minuti.
Tornare a Certbot e premere Invio per convalidare la proprietà del dominio.

Certbot genererà un certificato e una chiave da caricare su Sophos Central.

Associazione del certificato al proprio gateway

Aprire Prodotti > ZTNA e cliccare su Gateway.
Cliccare sul Nome del proprio gateway.
In Dominio e certificato, selezionare Carica il tuo certificato e caricare il certificato appena creato.
Cliccare su Salva.

Validità del certificato

Per garantire il corretto funzionamento del certificato, procedere come segue:

Verificare la validità e la data di scadenza del proprio certificato, per assicurarsi che sia configurato correttamente.
Quando si avvicina la data di scadenza del certificato, rinnovarlo.