証明書の取得

ZTNA ゲートウェイにはワイルドカード証明書が必要です。この証明書は、次のいずれかを使用して取得できます。

• Let's Encrypt。
• OpenSSL。

Let's Encrypt を使用した証明書の取得

Let's Encrypt と Certbot クライアントを使用して証明書を取得するには、次の手順を実行します。

1. ゲートウェイドメインをホストする DNS プロバイダにサインインします。

2. Certbot をデバイスにインストールします。

   注

   Certbot は Web サーバーを検証しません。代わりに、DNS TXT のエントリを使用してドメインの所有権を検証します。

3. 次のコマンドを入力して、証明書を取得し、ZTNA が導入されているドメインに移動します。

   sudo certbot certonly \
   --manual \
   --preferred-challenges=dns \
   --server https://acme-v02.api.letsencrypt.org/directory \
   --agree-tos \
   --domain *.domain.com
   

   Certbot は、必要となる TXT レコードを返し、待機します。

4. TXT レコードを DNS プロバイダに追加し、3～5分待ちます。

5. Certbot に戻り、「Enter」キーを押してドメインの所有権を検証します。

Certbot は、Sophos Central にアップロードする証明書とキーを生成します。詳細は、https://letsencrypt.org/getting-started/ を参照してください。

SSL を使用した証明書の取得

選択した証明機関 (CA) で Open SSL を使用して証明書を取得するには、次の手順を実行します。

1. コマンドラインバージョンの OpenSSL のあるデバイスを参照するか、それをインストールします。

2. 証明書署名要求 (CSR) テンプレートのテキストファイルを作成します。

   このテンプレートは、CSR と秘密鍵を生成するために使用します。

   例

   [req]
   default_bits=4096
   prompt=no
   default_md=sha512
   req_extensions=req_ext
   distinguished_name=dn
   
   [dn]
   C=UK
   ST=Oxfordshire
   L=Oxford
   O=ExampleCo
   OU=Example
   emailAddress=admin@example.com
   CN=ztna.example.com
   
   [req_ext]
   subjectAltName=@alt_names
   
   [alt_names]
   DNS.1=*.example.com
   

3. 次のコマンドを実行します。この例で、ztna.key は鍵の名前で、ztna.csr は CSR の名前です。mytemplate.txt は CSR テンプレートの名前です。

   例

   openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
   -config mytemplate.txt
   

4. ztna.csr を選択した CA で署名し、Base64 でエンコードされた署名済み証明書を、その CA からダウンロードします。

   この手順は、CA によって異なります。オンラインで操作手順を参照してください。

5. 新しい ztna.key と署名済み証明書を、Sophos Central を使用してゲートウェイを設定する際にアクセスできる場所に保存します。

証明書の有効性

証明書が機能し続けることを確認するには、次の手順を実行します。

• 証明書の有効性を監視して、証明書が正しく設定されているかどうかを確認し、有効期限を確認します。
• 証明書の有効期限が切れた場合は、更新してください。