Pular para o conteúdo

Obter um certificado

O ZTNA gateway precisa de um certificado curinga. Você pode obter esse certificado usando um dos seguintes:

  • Let's Encrypt.
  • OpenSSL.

Nota

Você precisa saber o domínio que usará para o seu gateway.

Obter um certificado usando Let's Encrypt

Para obter um certificado usando Let's Encrypt e o cliente Certbot, faça o seguinte:

  1. Faça login no provedor de DNS que hospeda o seu domínio de gateway.
  2. Instale o Certbot em seu dispositivo.

    Nota

    O Certbot não valida o servidor Web. Em vez disso, ele valida a propriedade do domínio com uma entrada TXT do DNS.

  3. Digite os seguintes comandos para obter um certificado e mudar para o domínio no qual o ZTNA está implantado.

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    O Certbot retorna o registro TXT que você precisa e aguarda.

  4. Adicione o registro TXT ao provedor DNS e aguarde de três a cinco minutos.

  5. Volte ao Certbot e pressione Enter para validar sua propriedade de domínio.

O Certbot gera um certificado e uma chave a serem carregados no Sophos Central. Para obter mais informações, consulte https://letsencrypt.org/getting-started/.

Obter um certificado usando SSL

Para obter um certificado usando o Open SSL com a autoridade de certificação (CA) de sua escolha, faça o seguinte:

  1. Vá para um dispositivo com uma versão de linha de comando do OpenSSL ou instale-o.
  2. Crie um arquivo de texto de modelo CSR (Solicitação de assinatura de certificado).

    Você usará esse modelo para gerar o CSR e a chave privada.

    Exemplo

    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. Execute o comando abaixo. Neste exemplo, ztna.key é o nome da chave e ztna.csr é o nome do CSR. mytemplate.txt é o nome do modelo CSR.

    Exemplo

    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. Solicite a assinatura do seu ztna.csr à CA escolhida e baixe uma versão codificada Base64 do certificado assinado por eles.

    As etapas para fazer isso dependem da sua CA. Procure por instruções online.

  5. Coloque o seu novo ztna.key e o certificado assinado em um local que possa acessar ao usar o Sophos Central para configurar seu gateway.