証明書の取得
ZTNA ゲートウェイにはワイルドカード証明書が必要です。この証明書は、次のいずれかを使用して取得できます。
- Let's Encrypt。
- OpenSSL。
注
ゲートウェイに使用するドメインを確認する必要があります。
Let's Encrypt を使用した証明書の取得
Let's Encrypt と Certbot クライアントを使用して証明書を取得するには、次の手順を実行します。
- ゲートウェイドメインをホストする DNS プロバイダにサインインします。
-
Certbot をデバイスにインストールします。
注
Certbot は Web サーバーを検証しません。代わりに、DNS TXT のエントリを使用してドメインの所有権を検証します。
-
次のコマンドを入力して、証明書を取得し、ZTNA が導入されているドメインに移動します。
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot は、必要となる TXT レコードを返し、待機します。
-
TXT レコードを DNS プロバイダに追加し、3~5分待ちます。
- Certbot に戻り、「Enter」キーを押してドメインの所有権を検証します。
Certbot は、Sophos Central にアップロードする証明書とキーを生成します。
SSL を使用した証明書の取得
選択した証明機関 (CA) で Open SSL を使用して証明書を取得するには、次の手順を実行します。
- コマンドラインバージョンの OpenSSL のあるデバイスを参照するか、それをインストールします。
-
証明書署名要求 (CSR) テンプレートのテキストファイルを作成します。
このテンプレートは、CSR と秘密鍵を生成するために使用します。
例
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
次のコマンドを実行します。この例で、
ztna.key
は鍵の名前で、ztna.csr
は CSR の名前です。mytemplate.txt
は CSR テンプレートの名前です。例
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
ztna.csr
を選択した CA で署名し、Base64 でエンコードされた署名済み証明書を、その CA からダウンロードします。この手順は、CA によって異なります。オンラインで操作手順を参照してください。
-
新しい
ztna.key
と署名済み証明書を、Sophos Central を使用してゲートウェイを設定する際にアクセスできる場所に保存します。
証明書の有効性
証明書が機能し続けることを確認するには、次の手順を実行します。
- 証明書の有効性を監視して、証明書が正しく設定されているかどうかを確認し、有効期限を確認します。
- 証明書の有効期限が切れた場合は、更新してください。
詳細情報
詳細は次のドキュメントを参照してください。