인증서 받기

ZTNA 게이트웨이에는 와일드카드 인증서가 필요합니다. 다음 중 하나를 사용하여 이 인증서를 얻을 수 있습니다.

• Let's Encrypt.
• OpenSSL.

Let's Encrypt를 사용하여 인증서 받기

Let's Encrypt 및 Certbot 클라이언트를 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

1. 게이트웨이 도메인을 호스팅하는 DNS 공급자에 로그인합니다.

2. 장치에 Certbot을 설치합니다.

   참고

   Certbot은 웹 서버의 유효성을 검사하지 않습니다. 대신 DNS TXT 항목으로 도메인 소유권을 확인합니다.

3. 인증서를 가져오고 ZTNA가 배포된 도메인으로 변경하려면 다음 명령을 입력합니다.

   sudo certbot certonly \
   --manual \
   --preferred-challenges=dns \
   --server https://acme-v02.api.letsencrypt.org/directory \
   --agree-tos \
   --domain *.domain.com
   

   Certbot은 필요한 TXT 레코드를 반환하고 기다립니다.

4. TXT 레코드를 DNS 공급자에 추가하고 3~5분 동안 기다립니다.

5. Certbot으로 돌아가 Enter 키를 눌러 도메인 소유권을 확인합니다.

Certbot은 Sophos Central에 업로드할 인증서와 키를 생성합니다. 자세한 내용은 https://letsencrypt.org/getting-started/를 참조하십시오.

SSL을 사용하여 인증서 받기

선택한 인증 기관(CA)에서 Open SSL을 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

1. OpenSSL의 명령줄 버전이 있는 장치로 이동하거나 이 버전을 설치합니다.

2. CSR(인증서 서명 요청) 템플릿 텍스트 파일을 만듭니다.

   이 템플릿을 사용하여 CSR 및 개인 키를 생성합니다.

   예

   [req]
   default_bits=4096
   prompt=no
   default_md=sha512
   req_extensions=req_ext
   distinguished_name=dn
   
   [dn]
   C=UK
   ST=Oxfordshire
   L=Oxford
   O=ExampleCo
   OU=Example
   emailAddress=admin@example.com
   CN=ztna.example.com
   
   [req_ext]
   subjectAltName=@alt_names
   
   [alt_names]
   DNS.1=*.example.com
   

3. 아래 명령어를 실행하십시오. 이 예에서 ztna.key은(는) 키의 이름이고 ztna.csr은(는) CSR의 이름입니다. mytemplate.txt은(는) CSR 템플릿의 이름입니다.

   예

   openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
   -config mytemplate.txt
   

4. ztna.csr이(가) 선택한 CA의 서명을 받도록 하고 서명된 인증서의 Base64 인코딩 버전을 다운로드합니다.

   이를 수행하는 단계는 CA에 따라 다릅니다. 온라인에서 지침을 찾으십시오.

5. Sophos Central을 사용하여 게이트웨이를 설정할 때 액세스할 수 있는 위치에 새 ztna.key과(와) 서명된 인증서를 넣으십시오.

인증서 유효성

인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.

• 인증서의 유효성을 모니터링하여 인증서가 올바르게 구성되었는지 확인하고 만료 날짜를 확인합니다.
• 인증서가 만료될 예정이면 갱신합니다.