証明書の取得
ZTNA ゲートウェイにはワイルドカード証明書が必要です。証明書を取得するには、次のような方法があります。
- Sophos Central から Let's Encrypt 証明書を生成できます。証明書の生成プロセスは自動化されており、ソフォスが証明書を管理および更新します。
- SSL または Let's Encrypt を使用して証明書を手動で生成できます。お客様側で証明書を管理および更新する必要があります。詳細は、SSL を使って証明書を取得するおよびLet's Encrypt を使用した証明書の取得を参照してください。
注
ゲートウェイに使用するドメインを確認する必要があります。
Sophos Central から Let's Encrypt 証明書を生成する
Sophos Central から Let's Encrypt 証明書を生成できます。
注
DNS サーバーで CAA (証明機関の認証) レコードを使用する場合は、Let's Encrypt 証明機関用の CAA レコードを追加する必要があります。この CAA レコードに基づき、Let's Encrypt がドメインの証明書を発行することが許可されます。
Let's Encrypt 証明書を生成するには、次の手順を実行します。
- Sophos Central で、「マイプロダクト > ZTNA」に移動し、「設定」をクリックします。
- 「ドメインと証明書」をクリックします。
-
「ドメインの追加」をクリックします。
注
最大 100個のドメインを追加できます。
-
次の形式でドメイン名を入力します:
example.com
。 -
「追加」をクリックします。
そのドメインの CNAME レコードが生成され、「ドメインと証明書」のドメイン名の横に表示されます。
-
DNS サーバーで、ドメインの DNS レコードとして CNAME レコードを追加します。
生成された CNAME レコードを DNS サーバー上の対応するドメインに対して入力して、ドメインの所有権を要求する必要があります。
注
DNS レコードにドメイン名を次の形式で追加する必要があります。
_acme-challenge.<domain name>
。注
DNS サーバー上に
_acme-challenge.<domain name>
の DNS レコードが既にあり、TXT レコードが設定されている場合 (他のアプリケーション用など)、Sophos ZTNA 用の Let's Encrypt 証明書を生成中に、その項目を削除する必要があります。 -
「ドメインと証明書」で「検証」をクリックします。
-
DNS サーバーに CNAME レコードを追加したことを確認し、「検証」をクリックします。
入力した CNAME レコードを使って、ドメインの所有権が検証されます。
-
「LE 証明書の生成」をクリックします。
-
Let's Encrypt の利用者規約を読んで同意します。
これで、ソフォスが Let's Encrypt 証明書を管理することを承認したことになります。
-
「生成」をクリックします。
証明書の生成には約 60秒かかります。生成中にページを離れても構いません。
これにより、検証済みドメインが Let's Encrypt 証明書に追加されます。証明書は、すべての検証済みドメイン用に生成されます。
注
アカウントごとに生成される Let's Encrypt 証明書は 1つだけです。検証されたドメインはすべて、生成された証明書に含まれる形になります。新しいドメインを追加するときは、Let's Encrypt 証明書を再生成する必要があります。
Let's Encrypt 証明書の管理・更新はソフォスが行います。
Let's Encrypt 証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。
Let's Encrypt 証明書をゲートウェイに関連付ける
- 「マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
- ゲートウェイの名前をクリックします。
- 「ドメインと証明書」で、「自動 (Let's Encrypt)」を選択します。
- 「保存」をクリックします。
既存のドメインは、DNS TXT レコードを使用して検証されています。これらのドメイン用の Let's Encrypt 証明書を生成するには、最初にドメインを新しい形式で DNS サーバーに追加する必要があります。
次の手順を実行します。
- Sophos Central で、「マイプロダクト > ZTNA」に移動し、「設定」をクリックします。
- 「ドメインと証明書」をクリックします。
- 「LE 証明書の生成」をクリックします。
- 「CNAME の追加」で、CNAME レコードをコピーします。
-
DNS サーバーで、ドメインの DNS レコードとして CNAME レコードを追加します。
注
DNS レコードにドメイン名を次の形式で追加する必要があります。
_acme-challenge.<domain name>
。注
DNS サーバー上に
_acme-challenge.<domain name>
の DNS レコードが既にあり、TXT レコードが設定されている場合 (他のアプリケーション用など)、Sophos ZTNA 用の Let's Encrypt 証明書を生成中に、その項目を削除する必要があります。 -
DNS サーバーに CNAME レコードを追加したことを確認します。
-
Let's Encrypt の利用者規約を読んで同意します。
これで、ソフォスが Let's Encrypt 証明書を管理することを承認したことになります。
-
「続行」をクリックします。
- DNS サーバーに CNAME レコードを追加したことを確認し、Let's Encrypt の利用者規約を読んで同意します。
-
「生成」をクリックします。
証明書の生成には約 60秒かかります。生成中にページを離れても構いません。
これにより、検証済みドメインが Let's Encrypt 証明書に追加されます。証明書は、すべての検証済みドメイン用に生成されます。
既存のドメインおよび対応する CNAME レコードが、「ドメインと証明書」ページの表に新しい形式で表示されます。
注
検証されなかった既存のドメインがある場合は、削除してから再度追加し、検証してから Let's Encrypt 証明書を再生成する必要があります。
Let's Encrypt 証明書の管理・更新はソフォスが行います。
Let's Encrypt 証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。
LE 証明書をゲートウェイに関連付ける
- 「マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
- ゲートウェイの名前をクリックします。
- 「ドメインと証明書」で、「自動 (Let's Encrypt)」を選択します。
- 「保存」をクリックします。
SSL を使って証明書を取得する
選択した証明機関 (CA) で OpenSSL を使用して証明書を取得するには、次の手順を実行します。
- コマンドラインバージョンの OpenSSL のあるデバイスを参照するか、それをインストールします。
-
証明書署名要求 (CSR) テンプレートのテキストファイルを作成します。
このテンプレートは、CSR と秘密鍵を生成するために使用します。
例
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
次のコマンドを実行します。この例で、
ztna.key
は鍵の名前で、ztna.csr
は CSR の名前です。mytemplate.txt
は CSR テンプレートの名前です。例
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
ztna.csr
を選択した CA で署名し、Base64 でエンコードされた署名済み証明書を、その CA からダウンロードします。この手順は、CA によって異なります。オンラインで操作手順を参照してください。
-
新しい
ztna.key
と署名済み証明書を、Sophos Central を使用してゲートウェイを設定する際にアクセスできる場所に保存します。
証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。
証明書をゲートウェイに関連付ける
- 「マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
- ゲートウェイの名前をクリックします。
- 「ドメインと証明書」で、「独自の証明書のアップロード」を選択し、作成した証明書をアップロードします。
- 「保存」をクリックします。
証明書の有効性
証明書が機能し続けることを確認するには、次の手順を実行します。
- 証明書の有効性を監視して、証明書が正しく設定されているかどうかを確認し、有効期限を確認します。
- 証明書の有効期限が切れた場合は、更新してください。
Let's Encrypt を使用した証明書の取得
Let's Encrypt と Certbot クライアントを使用して証明書を取得するには、次の手順を実行します。
- ゲートウェイドメインをホストする DNS プロバイダにサインインします。
-
Certbot をデバイスにインストールします。
注
Certbot は Web サーバーを検証しません。代わりに、DNS TXT のエントリを使用してドメインの所有権を検証します。
-
次のコマンドを入力して、証明書を取得し、ZTNA が導入されているドメインに移動します。
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot は、必要となる TXT レコードを返し、待機します。
-
TXT レコードを DNS プロバイダに追加し、3~5分待ちます。
- Certbot に戻り、「Enter」キーを押してドメインの所有権を検証します。
Certbot は、Sophos Central にアップロードする証明書とキーを生成します。
証明書をゲートウェイに関連付ける
- 「マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
- ゲートウェイの名前をクリックします。
- 「ドメインと証明書」で、「独自の証明書のアップロード」を選択し、作成した証明書をアップロードします。
- 「保存」をクリックします。
証明書の有効性
証明書が機能し続けることを確認するには、次の手順を実行します。
- 証明書の有効性と有効期限をチェックして、正しく設定されていることを確認します。
- 証明書の有効期限が切れた場合は、更新してください。