コンテンツにスキップ

証明書の取得

ZTNA ゲートウェイにはワイルドカード証明書が必要です。この証明書は、次のいずれかを使用して取得できます。

  • Let's Encrypt。
  • OpenSSL。

ゲートウェイに使用するドメインを確認する必要があります。

Let's Encrypt を使用した証明書の取得

Let's Encrypt と Certbot クライアントを使用して証明書を取得するには、次の手順を実行します。

  1. ゲートウェイドメインをホストする DNS プロバイダにサインインします。
  2. Certbot をデバイスにインストールします。

    Certbot は Web サーバーを検証しません。代わりに、DNS TXT のエントリを使用してドメインの所有権を検証します。

  3. 次のコマンドを入力して、証明書を取得し、ZTNA が導入されているドメインに移動します。

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot は、必要となる TXT レコードを返し、待機します。

  4. TXT レコードを DNS プロバイダに追加し、3~5分待ちます。

  5. Certbot に戻り、「Enter」キーを押してドメインの所有権を検証します。

Certbot は、Sophos Central にアップロードする証明書とキーを生成します。

SSL を使用した証明書の取得

選択した証明機関 (CA) で Open SSL を使用して証明書を取得するには、次の手順を実行します。

  1. コマンドラインバージョンの OpenSSL のあるデバイスを参照するか、それをインストールします。
  2. 証明書署名要求 (CSR) テンプレートのテキストファイルを作成します。

    このテンプレートは、CSR と秘密鍵を生成するために使用します。

    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. 次のコマンドを実行します。この例で、ztna.key は鍵の名前で、ztna.csr は CSR の名前です。mytemplate.txt は CSR テンプレートの名前です。

    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. ztna.csr を選択した CA で署名し、Base64 でエンコードされた署名済み証明書を、その CA からダウンロードします。

    この手順は、CA によって異なります。オンラインで操作手順を参照してください。

  5. 新しい ztna.key と署名済み証明書を、Sophos Central を使用してゲートウェイを設定する際にアクセスできる場所に保存します。

証明書の有効性

証明書が機能し続けることを確認するには、次の手順を実行します。

  • 証明書の有効性を監視して、証明書が正しく設定されているかどうかを確認し、有効期限を確認します。
  • 証明書の有効期限が切れた場合は、更新してください。

詳細情報

詳細は次のドキュメントを参照してください。