인증서 받기
ZTNA 게이트웨이에는 와일드카드 인증서가 필요합니다. 인증서를 얻으려는 경우 다음과 같은 방법이 있습니다.
- Sophos Central에서 Let's Encrypt 인증서를 생성할 수 있습니다. 인증서 생성 프로세스가 자동화되어 인증서가 관리되고 갱신됩니다.
- SSL 또는 Let's Encrypt를 사용하여 인증서를 수동으로 생성할 수 있습니다. 사용자가 인증서를 관리하고 갱신해야 합니다. SSL을 사용하여 인증서 받기 및 Let's Encrypt를 사용하여 인증서 받기을 참조하십시오.
참고
게이트웨이에 사용할 도메인을 알아야 합니다.
Sophos Central에서 Let's Encrypt 인증서 생성
Sophos Central에서 Let's Encrypt 인증서를 생성할 수 있습니다.
참고
DNS 서버에서 CAA(인증 기관 인증) 레코드를 사용하는 경우 Let's Encrypt 인증 기관에 대한 특정 CAA 레코드를 추가해야 합니다. 이 CAA 레코드는 Let's Encrypt가 도메인에 대한 인증서를 발급하도록 승인합니다.
Let's Encrypt 인증서를 생성하려면 다음과 같이 하십시오.
- Sophos Central에서 나의 제품 > ZTNA로 이동하고 설정을 클릭합니다.
- 도메인 및 인증서를 클릭합니다.
-
도메인 추가를 클릭합니다.
참고
최대 100개의 도메인을 추가할 수 있습니다.
-
다음 형식으로 도메인 이름을 입력합니다.
example.com
. -
추가를 클릭합니다.
해당 도메인에 대한 CNAME 레코드가 생성되며, 이 레코드는 도메인 및 인증서에서 도메인 이름 옆에 표시됩니다.
-
DNS 서버에서 CNAME 레코드를 도메인의 DNS 레코드로 추가합니다.
DNS 서버의 해당 도메인에 대해 생성된 CNAME 레코드를 입력하여 도메인의 소유권을 주장해야 합니다.
참고
도메인 이름을 DNS 레코드에 다음 형식으로 추가해야 합니다.
_acme-challenge.<domain name>
.참고
TXT 레코드가 구성된 DNS 서버에
_acme-challenge.<domain name>
에 대한 DNS 레코드가 이미 있다고 가정해 보겠습니다(다른 응용 프로그램용일 수 있음). 이 경우 Sophos ZTNA에 대한 Let's Encrypt 인증서 생성이 진행 중일 때 이러한 항목을 제거해야 합니다. -
도메인 및 인증서에서 유효성 검사를 클릭합니다.
-
DNS 서버에 CNAME 레코드를 추가했는지 확인하고 유효성 검사를 클릭합니다.
입력한 CNAME 레코드를 사용하여 도메인 소유권의 유효성이 검사됩니다.
-
LE 인증서 생성을 클릭합니다.
-
Let's Encrypt 구독자 계약을 읽고 동의합니다.
이를 통해 Let's Encrypt 인증서가 관리될 수 있습니다.
-
생성을 클릭합니다.
인증서 생성에는 약 60초가 소요됩니다. 생성이 진행되는 동안 페이지를 나갈 수 있습니다.
이렇게 하면 Let's Encrypt 인증서에 유효성이 검증된 도메인이 추가됩니다. 인증서는 검증된 모든 도메인에 대해 생성됩니다.
참고
계정당 하나의 Let's Encrypt 인증서만 생성됩니다. 검증된 모든 도메인은 생성된 인증서의 일부입니다. 새 도메인을 추가할 때 Let's Encrypt 인증서를 다시 생성해야 합니다.
당사에서 사용자를 대신하여 Let's Encrypt 인증서를 관리하고 갱신합니다.
Let's Encrypt 인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.
Let's Encrypt 인증서를 게이트웨이에 연결
- 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
- 게이트웨이의 이름을 클릭합니다.
- 도메인 및 인증서에서 자동(Let's Encrypt)을 선택합니다.
- 저장을 클릭합니다.
기존 도메인의 유효성은 DNS TXT 레코드를 사용하여 검증되었습니다. 이러한 도메인에 대한 Let's Encrypt 인증서를 생성하려면 먼저 도메인을 새 형식으로 DNS 서버에 추가해야 합니다.
다음 단계에 따릅니다.
- Sophos Central에서 나의 제품 > ZTNA로 이동하고 설정을 클릭합니다.
- 도메인 및 인증서를 클릭합니다.
- LE 인증서 생성을 클릭합니다.
- CNAME 추가에서 CNAME 레코드를 복사합니다.
-
DNS 서버에서 CNAME 레코드를 도메인의 DNS 레코드로 추가합니다.
참고
도메인 이름을 DNS 레코드에 다음 형식으로 추가해야 합니다.
_acme-challenge.<domain name>
.참고
TXT 레코드가 구성된 DNS 서버에
_acme-challenge.<domain name>
에 대한 DNS 레코드가 이미 있다고 가정해 보겠습니다(다른 응용 프로그램용일 수 있음). 이 경우 Sophos ZTNA에 대한 Let's Encrypt 인증서 생성이 진행 중일 때 이러한 항목을 제거해야 합니다. -
DNS 서버에 CNAME 레코드를 추가했는지 확인합니다.
-
Let's Encrypt 구독자 계약을 읽고 동의합니다.
이를 통해 Let's Encrypt 인증서가 관리될 수 있습니다.
-
계속를 클릭합니다.
- DNS 서버에 CNAME 레코드를 추가했는지 확인하고 Let's Encrypt 구독자 계약을 읽고 동의합니다.
-
생성을 클릭합니다.
인증서 생성에는 약 60초가 소요됩니다. 생성이 진행되는 동안 페이지를 나갈 수 있습니다.
이렇게 하면 Let's Encrypt 인증서에 유효성이 검증된 도메인이 추가됩니다. 인증서는 검증된 모든 도메인에 대해 생성됩니다.
기존 도메인과 해당 CNAME 레코드가 도메인 및 인증서 페이지의 표에 새 형식으로 표시됩니다.
참고
유효성이 검사되지 않은 기존 도메인이 있는 경우 이를 제거했다가 다시 추가하고 유효성을 검사한 후 Let's Encrypt 인증서를 다시 생성해야 합니다.
당사에서 사용자를 대신하여 Let's Encrypt 인증서를 관리하고 갱신합니다.
Let's Encrypt 인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.
LE 인증서를 게이트웨이에 연결
- 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
- 게이트웨이의 이름을 클릭합니다.
- 도메인 및 인증서에서 자동(Let's Encrypt)을 선택합니다.
- 저장을 클릭합니다.
SSL을 사용하여 인증서 받기
선택한 인증 기관(CA)에서 OpenSSL을 사용하여 인증서를 얻으려면 다음과 같이 하십시오.
- OpenSSL의 명령줄 버전이 있는 장치로 이동하거나 이 버전을 설치합니다.
-
CSR(인증서 서명 요청) 템플릿 텍스트 파일을 만듭니다.
이 템플릿을 사용하여 CSR 및 개인 키를 생성합니다.
예
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
아래 명령어를 실행하십시오. 이 예에서
ztna.key
은(는) 키의 이름이고ztna.csr
은(는) CSR의 이름입니다.mytemplate.txt
은(는) CSR 템플릿의 이름입니다.예
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
ztna.csr
이(가) 선택한 CA의 서명을 받도록 하고 서명된 인증서의 Base64 인코딩 버전을 다운로드합니다.이를 수행하는 단계는 CA에 따라 다릅니다. 온라인에서 지침을 찾으십시오.
-
Sophos Central을 사용하여 게이트웨이를 설정할 때 액세스할 수 있는 위치에 새
ztna.key
과(와) 서명된 인증서를 넣으십시오.
인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.
인증서를 게이트웨이에 연결
- 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
- 게이트웨이의 이름을 클릭합니다.
- 도메인 및 인증서에서 자체 인증서 업로드를 선택하고 방금 생성한 인증서를 업로드합니다.
- 저장을 클릭합니다.
인증서 유효성
인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.
- 인증서의 유효성을 모니터링하여 인증서가 올바르게 구성되었는지 확인하고 만료 날짜를 확인합니다.
- 인증서가 만료될 예정이면 갱신합니다.
Let's Encrypt를 사용하여 인증서 받기
Let's Encrypt 및 Certbot 클라이언트를 사용하여 인증서를 얻으려면 다음과 같이 하십시오.
- 게이트웨이 도메인을 호스팅하는 DNS 공급자에 로그인합니다.
-
장치에 Certbot을 설치합니다.
참고
Certbot은 웹 서버의 유효성을 검사하지 않습니다. 대신 DNS TXT 항목으로 도메인 소유권을 확인합니다.
-
인증서를 가져오고 ZTNA가 배포된 도메인으로 변경하려면 다음 명령을 입력합니다.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot은 필요한 TXT 레코드를 반환하고 기다립니다.
-
TXT 레코드를 DNS 공급자에 추가하고 3~5분 동안 기다립니다.
- Certbot으로 돌아가 Enter 키를 눌러 도메인 소유권을 확인합니다.
Certbot은 Sophos Central에 업로드할 인증서와 키를 생성합니다.
인증서를 게이트웨이에 연결
- 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
- 게이트웨이의 이름을 클릭합니다.
- 도메인 및 인증서에서 자체 인증서 업로드를 선택하고 방금 생성한 인증서를 업로드합니다.
- 저장을 클릭합니다.
인증서 유효성
인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.
- 인증서의 유효성 및 만료 날짜를 확인하여 인증서가 올바르게 구성되었는지 확인하십시오.
- 인증서가 만료될 예정이면 갱신합니다.