コンテンツにスキップ

証明書の取得

ZTNA ゲートウェイにはワイルドカード証明書が必要です。証明書を取得するには、次のような方法があります。

  • Sophos Central から Let's Encrypt 証明書を生成できます。証明書の生成プロセスは自動化されており、ソフォスが証明書を管理および更新します。
  • SSL または Let's Encrypt を使用して証明書を手動で生成できます。お客様側で証明書を管理および更新する必要があります。詳細は、SSL を使って証明書を取得するおよびLet's Encrypt を使用した証明書の取得を参照してください。

ゲートウェイに使用するドメインを確認する必要があります。

Sophos Central から Let's Encrypt 証明書を生成する

Sophos Central から Let's Encrypt 証明書を生成できます。

DNS サーバーで CAA (証明機関の認証) レコードを使用する場合は、Let's Encrypt 証明機関用の CAA レコードを追加する必要があります。この CAA レコードに基づき、Let's Encrypt がドメインの証明書を発行することが許可されます。

Let's Encrypt 証明書を生成するには、次の手順を実行します。

  1. Sophos Central で、「マイプロダクト > ZTNA」に移動し、「設定」をクリックします。
  2. ドメインと証明書」をクリックします。

  3. ドメインの追加」をクリックします。

    最大 100個のドメインを追加できます。

  4. 次の形式でドメイン名を入力します: example.com

  5. 追加」をクリックします。

    そのドメインの CNAME レコードが生成され、「ドメインと証明書」のドメイン名の横に表示されます。

  6. DNS サーバーで、ドメインの DNS レコードとして CNAME レコードを追加します。

    生成された CNAME レコードを DNS サーバー上の対応するドメインに対して入力して、ドメインの所有権を要求する必要があります。

    DNS レコードにドメイン名を次の形式で追加する必要があります。_acme-challenge.<domain name>

    DNS サーバー上に _acme-challenge.<domain name> の DNS レコードが既にあり、TXT レコードが設定されている場合 (他のアプリケーション用など)、Sophos ZTNA 用の Let's Encrypt 証明書を生成中に、その項目を削除する必要があります。

  7. ドメインと証明書」で「検証」をクリックします。

  8. DNS サーバーに CNAME レコードを追加したことを確認し、「検証」をクリックします。

    入力した CNAME レコードを使って、ドメインの所有権が検証されます。

  9. LE 証明書の生成」をクリックします。

  10. Let's Encrypt の利用者規約を読んで同意します。

    これで、ソフォスが Let's Encrypt 証明書を管理することを承認したことになります。

  11. 生成」をクリックします。

    証明書の生成には約 60秒かかります。生成中にページを離れても構いません。

    これにより、検証済みドメインが Let's Encrypt 証明書に追加されます。証明書は、すべての検証済みドメイン用に生成されます。

アカウントごとに生成される Let's Encrypt 証明書は 1つだけです。検証されたドメインはすべて、生成された証明書に含まれる形になります。新しいドメインを追加するときは、Let's Encrypt 証明書を再生成する必要があります。

Let's Encrypt 証明書の管理・更新はソフォスが行います。

Let's Encrypt 証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。

Let's Encrypt 証明書をゲートウェイに関連付ける

  1. マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
  2. ゲートウェイの名前をクリックします。
  3. ドメインと証明書」で、「自動 (Let's Encrypt)」を選択します。
  4. 保存」をクリックします。

既存のドメインは、DNS TXT レコードを使用して検証されています。これらのドメイン用の Let's Encrypt 証明書を生成するには、最初にドメインを新しい形式で DNS サーバーに追加する必要があります。

次の手順を実行します。

  1. Sophos Central で、「マイプロダクト > ZTNA」に移動し、「設定」をクリックします。
  2. ドメインと証明書」をクリックします。
  3. LE 証明書の生成」をクリックします。
  4. CNAME の追加」で、CNAME レコードをコピーします。

  5. DNS サーバーで、ドメインの DNS レコードとして CNAME レコードを追加します。

    DNS レコードにドメイン名を次の形式で追加する必要があります。_acme-challenge.<domain name>

    DNS サーバー上に _acme-challenge.<domain name> の DNS レコードが既にあり、TXT レコードが設定されている場合 (他のアプリケーション用など)、Sophos ZTNA 用の Let's Encrypt 証明書を生成中に、その項目を削除する必要があります。

  6. DNS サーバーに CNAME レコードを追加したことを確認します。

  7. Let's Encrypt の利用者規約を読んで同意します。

    これで、ソフォスが Let's Encrypt 証明書を管理することを承認したことになります。

  8. 続行」をクリックします。

  9. DNS サーバーに CNAME レコードを追加したことを確認し、Let's Encrypt の利用者規約を読んで同意します。

  10. 生成」をクリックします。

    証明書の生成には約 60秒かかります。生成中にページを離れても構いません。

    これにより、検証済みドメインが Let's Encrypt 証明書に追加されます。証明書は、すべての検証済みドメイン用に生成されます。

    既存のドメインおよび対応する CNAME レコードが、「ドメインと証明書」ページの表に新しい形式で表示されます。

    検証されなかった既存のドメインがある場合は、削除してから再度追加し、検証してから Let's Encrypt 証明書を再生成する必要があります。

Let's Encrypt 証明書の管理・更新はソフォスが行います。

Let's Encrypt 証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。

LE 証明書をゲートウェイに関連付ける

  1. マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
  2. ゲートウェイの名前をクリックします。
  3. ドメインと証明書」で、「自動 (Let's Encrypt)」を選択します。
  4. 保存」をクリックします。

SSL を使って証明書を取得する

選択した証明機関 (CA) で OpenSSL を使用して証明書を取得するには、次の手順を実行します。

  1. コマンドラインバージョンの OpenSSL のあるデバイスを参照するか、それをインストールします。

  2. 証明書署名要求 (CSR) テンプレートのテキストファイルを作成します。

    このテンプレートは、CSR と秘密鍵を生成するために使用します。

    [req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

  3. 次のコマンドを実行します。この例で、ztna.key は鍵の名前で、ztna.csr は CSR の名前です。mytemplate.txt は CSR テンプレートの名前です。

    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt

  4. ztna.csr を選択した CA で署名し、Base64 でエンコードされた署名済み証明書を、その CA からダウンロードします。

    この手順は、CA によって異なります。オンラインで操作手順を参照してください。

  5. 新しい ztna.key と署名済み証明書を、Sophos Central を使用してゲートウェイを設定する際にアクセスできる場所に保存します。

証明書を既存のゲートウェイに関連付けることができます。ゲートウェイをまだ追加していない場合は、後で関連付けられます。

証明書をゲートウェイに関連付ける

  1. マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
  2. ゲートウェイの名前をクリックします。
  3. ドメインと証明書」で、「独自の証明書のアップロード」を選択し、作成した証明書をアップロードします。
  4. 保存」をクリックします。

証明書の有効性

証明書が機能し続けることを確認するには、次の手順を実行します。

  • 証明書の有効性を監視して、証明書が正しく設定されているかどうかを確認し、有効期限を確認します。
  • 証明書の有効期限が切れた場合は、更新してください。

Let's Encrypt を使用した証明書の取得

Let's Encrypt と Certbot クライアントを使用して証明書を取得するには、次の手順を実行します。

  1. ゲートウェイドメインをホストする DNS プロバイダにサインインします。

  2. Certbot をデバイスにインストールします。

    Certbot は Web サーバーを検証しません。代わりに、DNS TXT のエントリを使用してドメインの所有権を検証します。

  3. 次のコマンドを入力して、証明書を取得し、ZTNA が導入されているドメインに移動します。

    sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

    Certbot は、必要となる TXT レコードを返し、待機します。

  4. TXT レコードを DNS プロバイダに追加し、3~5分待ちます。

  5. Certbot に戻り、「Enter」キーを押してドメインの所有権を検証します。

Certbot は、Sophos Central にアップロードする証明書とキーを生成します。

証明書をゲートウェイに関連付ける

  1. マイプロダクト > ZTNA」に移動し、「ゲートウェイ」をクリックします。
  2. ゲートウェイの名前をクリックします。
  3. ドメインと証明書」で、「独自の証明書のアップロード」を選択し、作成した証明書をアップロードします。
  4. 保存」をクリックします。

証明書の有効性

証明書が機能し続けることを確認するには、次の手順を実行します。

  • 証明書の有効性と有効期限をチェックして、正しく設定されていることを確認します。
  • 証明書の有効期限が切れた場合は、更新してください。