Pular para o conteúdo

Obter um certificado

O ZTNA gateway precisa de um certificado curinga. Existem diferentes maneiras de obter o certificado, como segue:

  • Você pode gerar um certificado Let's Encrypt no Sophos Central. O processo de geração do certificado é automatizado e gerenciamos e renovamos o certificado para você.
  • Você pode gerar um certificado manualmente usando SSL ou Let's Encrypt. Você deve gerenciar e renovar o certificado. Consulte Obter um certificado usando SSL e Obter um certificado usando Let's Encrypt.

Nota

Você precisa saber o domínio que usará para o seu gateway.

Gerar um certificado Let's Encrypt no Sophos Central

Você pode gerar um certificado Let's Encrypt no Sophos Central.

Nota

Se você usa registros de autorização de autoridade de certificação (CAA) no seu servidor DNS, terá de adicionar um registro CAA específico para a autoridade de certificação Let's Encrypt. Esse registro CAA autorizará a Let's Encrypt a emitir certificados para o seu domínio.

Para gerar um certificado Let's Encrypt, faça o seguinte:

  1. No Sophos Central, vá para Meus produtos > ZTNA e clique em Configurações.
  2. Clique em Domínios e certificados.

  3. Clique em Adicionar domínio.

    Nota

    Você pode adicionar um máximo de 100 domínios.

  4. Digite o nome do seu domínio no seguinte formato: example.com.

  5. Clique em Adicionar.

    Geraremos um registro CNAME para esse domínio, que será exibido ao lado do nome do seu domínio em Domínios e certificados.

  6. No seu servidor DNS, adicione o registro CNAME como o registro DNS do seu domínio.

    Você deve requisitar a propriedade do domínio inserindo o registro CNAME gerado para o domínio correspondente em seu servidor DNS.

    Nota

    Você deve adicionar o nome do seu domínio ao registro DNS no seguinte formato: _acme-challenge.<domain name>.

    Nota

    Suponha que você já tenha um registro DNS para _acme-challenge.<domain name> no seu servidor DNS com registros TXT configurados (que poderiam ser para outros aplicativos). Nesse caso, você deve remover essas entradas quando a geração dos certificados Let's Encrypt estiver em andamento para o Sophos ZTNA.

  7. Em Domínios e certificados, clique em Validar.

  8. Confirme que adicionou o registro CNAME ao servidor DNS e clique em Validar.

    Validamos a propriedade do domínio usando o registro CNAME que você inseriu.

  9. Clique em Gerar certificado Let’s Encrypt.

  10. Leia e aceite o contrato de assinante da Let's Encrypt.

    Isso nos autoriza a gerenciar seus certificados Let's Encrypt.

  11. Clique em Gerar.

    A geração de certificados leva cerca de 60 segundos. Você pode sair da página enquanto a geração está em andamento.

    Isso adiciona seu domínio validado ao seu certificado Let's Encrypt. O certificado é gerado para todos os domínios validados.

Nota

Geramos apenas um certificado Let's Encrypt por conta. Todos os domínios validados fazem parte do certificado gerado. Ao adicionar um novo domínio, você deve gerar novamente o certificado Let's Encrypt.

Gerenciamos e renovamos o certificado Let's Encrypt em seu nome.

Você pode associar o certificado Let's Encrypt a um gateway existente. Se você ainda não adicionou um gateway, poderá fazer isso mais tarde.

Associar o certificado Let's Encrypt ao seu gateway

  1. Vá para Meus produtos > ZTNA e clique em Gateways.
  2. Clique no nome do seu gateway.
  3. Em Domínio e certificado, selecione Automático (Let's Encrypt).
  4. Clique em Salvar.

Domínios existentes foram validados usando registros DNS TXT. Para gerar um certificado Let's Encrypt para esses domínios, você deve primeiro adicionar os domínios ao seu servidor DNS no novo formato.

Siga este procedimento:

  1. No Sophos Central, vá para Meus produtos > ZTNA e clique em Configurações.
  2. Clique em Domínios e certificados.
  3. Clique em Gerar certificado Let’s Encrypt.
  4. Em Adicionar CNAME, copie o registro CNAME.

  5. No seu servidor DNS, adicione o registro CNAME como o registro DNS do seu domínio.

    Nota

    Você deve adicionar o nome do seu domínio ao registro DNS no seguinte formato: _acme-challenge.<domain name>.

    Nota

    Suponha que você já tenha um registro DNS para _acme-challenge.<domain name> no seu servidor DNS com registros TXT configurados (que poderiam ser para outros aplicativos). Nesse caso, você deve remover essas entradas quando a geração dos certificados Let's Encrypt estiver em andamento para o Sophos ZTNA.

  6. Confirme que adicionou o registro CNAME ao seu servidor DNS.

  7. Leia e aceite o contrato de assinante da Let's Encrypt.

    Isso nos autoriza a gerenciar seus certificados Let's Encrypt.

  8. Clique em Continuar.

  9. Confirme que você adicionou o registro CNAME ao seu servidor DNS e que leu e concordou com o contrato de assinante do Let's Encrypt.

  10. Clique em Gerar.

    A geração de certificados leva cerca de 60 segundos. Você pode sair da página enquanto a geração está em andamento.

    Isso adiciona seu domínio validado ao seu certificado Let's Encrypt. O certificado é gerado para todos os domínios validados.

    Os domínios existentes e os registros CNAME correspondentes são exibidos no novo formato na tabela na página Domínios e certificados.

    Nota

    Se você tiver domínios existentes que não foram validados, deverá removê-los e adicioná-los novamente, validá-los e gerar novamente o certificado Let's Encrypt.

Gerenciamos e renovamos o certificado Let's Encrypt em seu nome.

Você pode associar o certificado Let's Encrypt a um gateway existente. Se você ainda não adicionou um gateway, poderá fazer isso mais tarde.

Associar o certificado Let's Encrypt ao seu gateway

  1. Vá para Meus produtos > ZTNA e clique em Gateways.
  2. Clique no nome do seu gateway.
  3. Em Domínio e certificado, selecione Automático (Let's Encrypt).
  4. Clique em Salvar.

Obter um certificado usando SSL

Para obter um certificado usando o OpenSSL com a autoridade de certificação (CA) de sua escolha, faça o seguinte:

  1. Vá para um dispositivo com uma versão de linha de comando do OpenSSL ou instale-o.

  2. Crie um arquivo de texto de modelo CSR (Solicitação de assinatura de certificado).

    Você usará esse modelo para gerar o CSR e a chave privada.

    Exemplo 
    [req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

  3. Execute o comando abaixo. Neste exemplo, ztna.key é o nome da chave e ztna.csr é o nome do CSR. mytemplate.txt é o nome do modelo CSR.

    Exemplo 
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt

  4. Solicite a assinatura do seu ztna.csr à CA escolhida e baixe uma versão codificada Base64 do certificado assinado por eles.

    As etapas para fazer isso dependem da sua CA. Procure por instruções online.

  5. Coloque o seu novo ztna.key e o certificado assinado em um local que possa acessar ao usar o Sophos Central para configurar seu gateway.

Você pode associar o certificado a um gateway existente. Se você ainda não adicionou um gateway, poderá fazer isso mais tarde.

Associar o certificado ao seu gateway

  1. Vá para Meus produtos > ZTNA e clique em Gateways.
  2. Clique no nome do seu gateway.
  3. Em Domínio e certificado, selecione Carregar o seu próprio certificado e carregue o certificado que acabou de criar.
  4. Clique em Salvar.

Validade do certificado

Para garantir que seu certificado continue funcionando, faça o seguinte:

  • Monitore a validade do certificado, para confirmar se ele está configurado corretamente, e verifique a data de expiração.
  • Quando seu certificado expirar, renove-o.

Obter um certificado usando Let's Encrypt

Para obter um certificado usando Let's Encrypt e o cliente Certbot, faça o seguinte:

  1. Faça login no provedor de DNS que hospeda o seu domínio de gateway.

  2. Instale o Certbot em seu dispositivo.

    Nota

    O Certbot não valida o servidor Web. Em vez disso, ele valida a propriedade do domínio com uma entrada TXT do DNS.

  3. Digite os seguintes comandos para obter um certificado e mudar para o domínio no qual o ZTNA está implantado.

    sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

    O Certbot retorna o registro TXT que você precisa e aguarda.

  4. Adicione o registro TXT ao provedor DNS e aguarde de três a cinco minutos.

  5. Volte ao Certbot e pressione Enter para validar sua propriedade de domínio.

O Certbot gera um certificado e uma chave a serem carregados no Sophos Central.

Associar o certificado ao seu gateway

  1. Vá para Meus produtos > ZTNA e clique em Gateways.
  2. Clique no nome do seu gateway.
  3. Em Domínio e certificado, selecione Carregar o seu próprio certificado e carregue o certificado que acabou de criar.
  4. Clique em Salvar.

Validade do certificado

Para garantir que seu certificado continue funcionando, faça o seguinte:

  • Verifique a validade e a data de expiração do certificado para se certificar de que está configurado corretamente.
  • Quando seu certificado expirar, renove-o.