콘텐츠로 이동

인증서 받기

ZTNA 게이트웨이에는 와일드카드 인증서가 필요합니다. 다음 중 하나를 사용하여 이 인증서를 얻을 수 있습니다.

  • Let's Encrypt.
  • OpenSSL.

참고

게이트웨이에 사용할 도메인을 알아야 합니다.

Let's Encrypt를 사용하여 인증서 받기

Let's Encrypt 및 Certbot 클라이언트를 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

  1. 게이트웨이 도메인을 호스팅하는 DNS 공급자에 로그인합니다.
  2. 장치에 Certbot을 설치합니다.

    참고

    Certbot은 웹 서버의 유효성을 검사하지 않습니다. 대신 DNS TXT 항목으로 도메인 소유권을 확인합니다.

  3. 인증서를 가져오고 ZTNA가 배포된 도메인으로 변경하려면 다음 명령을 입력합니다.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot은 필요한 TXT 레코드를 반환하고 기다립니다.

  4. TXT 레코드를 DNS 공급자에 추가하고 3~5분 동안 기다립니다.

  5. Certbot으로 돌아가 Enter 키를 눌러 도메인 소유권을 확인합니다.

Certbot은 Sophos Central에 업로드할 인증서와 키를 생성합니다. 자세한 내용은 https://letsencrypt.org/getting-started/를 참조하십시오.

SSL을 사용하여 인증서 받기

선택한 인증 기관(CA)에서 Open SSL을 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

  1. OpenSSL의 명령줄 버전이 있는 장치로 이동하거나 이 버전을 설치합니다.
  2. CSR(인증서 서명 요청) 템플릿 텍스트 파일을 만듭니다.

    이 템플릿을 사용하여 CSR 및 개인 키를 생성합니다.

    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. 아래 명령어를 실행하십시오. 이 예에서 ztna.key은(는) 키의 이름이고 ztna.csr은(는) CSR의 이름입니다. mytemplate.txt은(는) CSR 템플릿의 이름입니다.

    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. ztna.csr이(가) 선택한 CA의 서명을 받도록 하고 서명된 인증서의 Base64 인코딩 버전을 다운로드합니다.

    이를 수행하는 단계는 CA에 따라 다릅니다. 온라인에서 지침을 찾으십시오.

  5. Sophos Central을 사용하여 게이트웨이를 설정할 때 액세스할 수 있는 위치에 새 ztna.key과(와) 서명된 인증서를 넣으십시오.