주요 콘텐츠로 건너뛰기

인증서 받기

ZTNA 게이트웨이에는 와일드카드 인증서가 필요합니다. 인증서를 얻으려는 경우 다음과 같은 방법이 있습니다.

  • Sophos Central에서 Let's Encrypt 인증서를 생성할 수 있습니다. 인증서 생성 프로세스가 자동화되어 인증서가 관리되고 갱신됩니다.
  • SSL 또는 Let's Encrypt를 사용하여 인증서를 수동으로 생성할 수 있습니다. 사용자가 인증서를 관리하고 갱신해야 합니다. SSL을 사용하여 인증서 받기Let's Encrypt를 사용하여 인증서 받기을 참조하십시오.

참고

게이트웨이에 사용할 도메인을 알아야 합니다.

Sophos Central에서 Let's Encrypt 인증서 생성

Sophos Central에서 Let's Encrypt 인증서를 생성할 수 있습니다.

참고

DNS 서버에서 CAA(인증 기관 인증) 레코드를 사용하는 경우 Let's Encrypt 인증 기관에 대한 특정 CAA 레코드를 추가해야 합니다. 이 CAA 레코드는 Let's Encrypt가 도메인에 대한 인증서를 발급하도록 승인합니다.

Let's Encrypt 인증서를 생성하려면 다음과 같이 하십시오.

  1. Sophos Central에서 나의 제품 > ZTNA로 이동하고 설정을 클릭합니다.
  2. 도메인 및 인증서를 클릭합니다.
  3. 도메인 추가를 클릭합니다.

    참고

    최대 100개의 도메인을 추가할 수 있습니다.

  4. 다음 형식으로 도메인 이름을 입력합니다. example.com.

  5. 추가를 클릭합니다.

    해당 도메인에 대한 CNAME 레코드가 생성되며, 이 레코드는 도메인 및 인증서에서 도메인 이름 옆에 표시됩니다.

  6. DNS 서버에서 CNAME 레코드를 도메인의 DNS 레코드로 추가합니다.

    DNS 서버의 해당 도메인에 대해 생성된 CNAME 레코드를 입력하여 도메인의 소유권을 주장해야 합니다.

    참고

    도메인 이름을 DNS 레코드에 다음 형식으로 추가해야 합니다. _acme-challenge.<domain name>.

    참고

    TXT 레코드가 구성된 DNS 서버에 _acme-challenge.<domain name>에 대한 DNS 레코드가 이미 있다고 가정해 보겠습니다(다른 응용 프로그램용일 수 있음). 이 경우 Sophos ZTNA에 대한 Let's Encrypt 인증서 생성이 진행 중일 때 이러한 항목을 제거해야 합니다.

  7. 도메인 및 인증서에서 유효성 검사를 클릭합니다.

  8. DNS 서버에 CNAME 레코드를 추가했는지 확인하고 유효성 검사를 클릭합니다.

    입력한 CNAME 레코드를 사용하여 도메인 소유권의 유효성이 검사됩니다.

  9. LE 인증서 생성을 클릭합니다.

  10. Let's Encrypt 구독자 계약을 읽고 동의합니다.

    이를 통해 Let's Encrypt 인증서가 관리될 수 있습니다.

  11. 생성을 클릭합니다.

    인증서 생성에는 약 60초가 소요됩니다. 생성이 진행되는 동안 페이지를 나갈 수 있습니다.

    이렇게 하면 Let's Encrypt 인증서에 유효성이 검증된 도메인이 추가됩니다. 인증서는 검증된 모든 도메인에 대해 생성됩니다.

참고

계정당 하나의 Let's Encrypt 인증서만 생성됩니다. 검증된 모든 도메인은 생성된 인증서의 일부입니다. 새 도메인을 추가할 때 Let's Encrypt 인증서를 다시 생성해야 합니다.

당사에서 사용자를 대신하여 Let's Encrypt 인증서를 관리하고 갱신합니다.

Let's Encrypt 인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.

Let's Encrypt 인증서를 게이트웨이에 연결

  1. 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
  2. 게이트웨이의 이름을 클릭합니다.
  3. 도메인 및 인증서에서 자동(Let's Encrypt)을 선택합니다.
  4. 저장을 클릭합니다.

기존 도메인의 유효성은 DNS TXT 레코드를 사용하여 검증되었습니다. 이러한 도메인에 대한 Let's Encrypt 인증서를 생성하려면 먼저 도메인을 새 형식으로 DNS 서버에 추가해야 합니다.

다음 단계에 따릅니다.

  1. Sophos Central에서 나의 제품 > ZTNA로 이동하고 설정을 클릭합니다.
  2. 도메인 및 인증서를 클릭합니다.
  3. LE 인증서 생성을 클릭합니다.
  4. CNAME 추가에서 CNAME 레코드를 복사합니다.
  5. DNS 서버에서 CNAME 레코드를 도메인의 DNS 레코드로 추가합니다.

    참고

    도메인 이름을 DNS 레코드에 다음 형식으로 추가해야 합니다. _acme-challenge.<domain name>.

    참고

    TXT 레코드가 구성된 DNS 서버에 _acme-challenge.<domain name>에 대한 DNS 레코드가 이미 있다고 가정해 보겠습니다(다른 응용 프로그램용일 수 있음). 이 경우 Sophos ZTNA에 대한 Let's Encrypt 인증서 생성이 진행 중일 때 이러한 항목을 제거해야 합니다.

  6. DNS 서버에 CNAME 레코드를 추가했는지 확인합니다.

  7. Let's Encrypt 구독자 계약을 읽고 동의합니다.

    이를 통해 Let's Encrypt 인증서가 관리될 수 있습니다.

  8. 계속를 클릭합니다.

  9. DNS 서버에 CNAME 레코드를 추가했는지 확인하고 Let's Encrypt 구독자 계약을 읽고 동의합니다.
  10. 생성을 클릭합니다.

    인증서 생성에는 약 60초가 소요됩니다. 생성이 진행되는 동안 페이지를 나갈 수 있습니다.

    이렇게 하면 Let's Encrypt 인증서에 유효성이 검증된 도메인이 추가됩니다. 인증서는 검증된 모든 도메인에 대해 생성됩니다.

    기존 도메인과 해당 CNAME 레코드가 도메인 및 인증서 페이지의 표에 새 형식으로 표시됩니다.

    참고

    유효성이 검사되지 않은 기존 도메인이 있는 경우 이를 제거했다가 다시 추가하고 유효성을 검사한 후 Let's Encrypt 인증서를 다시 생성해야 합니다.

당사에서 사용자를 대신하여 Let's Encrypt 인증서를 관리하고 갱신합니다.

Let's Encrypt 인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.

LE 인증서를 게이트웨이에 연결

  1. 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
  2. 게이트웨이의 이름을 클릭합니다.
  3. 도메인 및 인증서에서 자동(Let's Encrypt)을 선택합니다.
  4. 저장을 클릭합니다.

SSL을 사용하여 인증서 받기

선택한 인증 기관(CA)에서 OpenSSL을 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

  1. OpenSSL의 명령줄 버전이 있는 장치로 이동하거나 이 버전을 설치합니다.
  2. CSR(인증서 서명 요청) 템플릿 텍스트 파일을 만듭니다.

    이 템플릿을 사용하여 CSR 및 개인 키를 생성합니다.

    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. 아래 명령어를 실행하십시오. 이 예에서 ztna.key은(는) 키의 이름이고 ztna.csr은(는) CSR의 이름입니다. mytemplate.txt은(는) CSR 템플릿의 이름입니다.

    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. ztna.csr이(가) 선택한 CA의 서명을 받도록 하고 서명된 인증서의 Base64 인코딩 버전을 다운로드합니다.

    이를 수행하는 단계는 CA에 따라 다릅니다. 온라인에서 지침을 찾으십시오.

  5. Sophos Central을 사용하여 게이트웨이를 설정할 때 액세스할 수 있는 위치에 새 ztna.key과(와) 서명된 인증서를 넣으십시오.

인증서를 기존 게이트웨이에 연결할 수 있습니다. 아직 게이트웨이를 추가하지 않은 경우 나중에 추가할 수 있습니다.

인증서를 게이트웨이에 연결

  1. 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
  2. 게이트웨이의 이름을 클릭합니다.
  3. 도메인 및 인증서에서 자체 인증서 업로드를 선택하고 방금 생성한 인증서를 업로드합니다.
  4. 저장을 클릭합니다.

인증서 유효성

인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.

  • 인증서의 유효성을 모니터링하여 인증서가 올바르게 구성되었는지 확인하고 만료 날짜를 확인합니다.
  • 인증서가 만료될 예정이면 갱신합니다.

Let's Encrypt를 사용하여 인증서 받기

Let's Encrypt 및 Certbot 클라이언트를 사용하여 인증서를 얻으려면 다음과 같이 하십시오.

  1. 게이트웨이 도메인을 호스팅하는 DNS 공급자에 로그인합니다.
  2. 장치에 Certbot을 설치합니다.

    참고

    Certbot은 웹 서버의 유효성을 검사하지 않습니다. 대신 DNS TXT 항목으로 도메인 소유권을 확인합니다.

  3. 인증서를 가져오고 ZTNA가 배포된 도메인으로 변경하려면 다음 명령을 입력합니다.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot은 필요한 TXT 레코드를 반환하고 기다립니다.

  4. TXT 레코드를 DNS 공급자에 추가하고 3~5분 동안 기다립니다.

  5. Certbot으로 돌아가 Enter 키를 눌러 도메인 소유권을 확인합니다.

Certbot은 Sophos Central에 업로드할 인증서와 키를 생성합니다.

인증서를 게이트웨이에 연결

  1. 나의 제품 > ZTNA로 이동하고 게이트웨이를 클릭합니다.
  2. 게이트웨이의 이름을 클릭합니다.
  3. 도메인 및 인증서에서 자체 인증서 업로드를 선택하고 방금 생성한 인증서를 업로드합니다.
  4. 저장을 클릭합니다.

인증서 유효성

인증서가 계속 작동하는지 확인하려면 다음을 수행합니다.

  • 인증서의 유효성 및 만료 날짜를 확인하여 인증서가 올바르게 구성되었는지 확인하십시오.
  • 인증서가 만료될 예정이면 갱신합니다.