인증서 받기
ZTNA 게이트웨이에는 와일드카드 인증서가 필요합니다. 다음 중 하나를 사용하여 이 인증서를 얻을 수 있습니다.
- Let's Encrypt.
- OpenSSL.
참고
게이트웨이에 사용할 도메인을 알아야 합니다.
Let's Encrypt를 사용하여 인증서 받기
Let's Encrypt 및 Certbot 클라이언트를 사용하여 인증서를 얻으려면 다음과 같이 하십시오.
- 게이트웨이 도메인을 호스팅하는 DNS 공급자에 로그인합니다.
-
장치에 Certbot을 설치합니다.
참고
Certbot은 웹 서버의 유효성을 검사하지 않습니다. 대신 DNS TXT 항목으로 도메인 소유권을 확인합니다.
-
인증서를 가져오고 ZTNA가 배포된 도메인으로 변경하려면 다음 명령을 입력합니다.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot은 필요한 TXT 레코드를 반환하고 기다립니다.
-
TXT 레코드를 DNS 공급자에 추가하고 3~5분 동안 기다립니다.
- Certbot으로 돌아가 Enter 키를 눌러 도메인 소유권을 확인합니다.
Certbot은 Sophos Central에 업로드할 인증서와 키를 생성합니다. 자세한 내용은 https://letsencrypt.org/getting-started/를 참조하십시오.
SSL을 사용하여 인증서 받기
선택한 인증 기관(CA)에서 Open SSL을 사용하여 인증서를 얻으려면 다음과 같이 하십시오.
- OpenSSL의 명령줄 버전이 있는 장치로 이동하거나 이 버전을 설치합니다.
-
CSR(인증서 서명 요청) 템플릿 텍스트 파일을 만듭니다.
이 템플릿을 사용하여 CSR 및 개인 키를 생성합니다.
예
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
아래 명령어를 실행하십시오. 이 예에서
ztna.key
은(는) 키의 이름이고ztna.csr
은(는) CSR의 이름입니다.mytemplate.txt
은(는) CSR 템플릿의 이름입니다.예
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
ztna.csr
이(가) 선택한 CA의 서명을 받도록 하고 서명된 인증서의 Base64 인코딩 버전을 다운로드합니다.이를 수행하는 단계는 CA에 따라 다릅니다. 온라인에서 지침을 찾으십시오.
-
Sophos Central을 사용하여 게이트웨이를 설정할 때 액세스할 수 있는 위치에 새
ztna.key
과(와) 서명된 인증서를 넣으십시오.
인증서 유효성
인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.
- 인증서의 유효성을 모니터링하여 인증서가 올바르게 구성되었는지 확인하고 만료 날짜를 확인합니다.
- 인증서가 만료될 예정이면 갱신합니다.