Obter um certificado
O ZTNA gateway precisa de um certificado curinga. Você pode obter esse certificado usando um dos seguintes:
- Let's Encrypt.
- OpenSSL.
Nota
Você precisa saber o domínio que usará para o seu gateway.
Obter um certificado usando Let's Encrypt
Para obter um certificado usando Let's Encrypt e o cliente Certbot, faça o seguinte:
- Faça login no provedor de DNS que hospeda o seu domínio de gateway.
-
Instale o Certbot em seu dispositivo.
Nota
O Certbot não valida o servidor Web. Em vez disso, ele valida a propriedade do domínio com uma entrada TXT do DNS.
-
Digite os seguintes comandos para obter um certificado e mudar para o domínio no qual o ZTNA está implantado.
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
O Certbot retorna o registro TXT que você precisa e aguarda.
-
Adicione o registro TXT ao provedor DNS e aguarde de três a cinco minutos.
- Volte ao Certbot e pressione Enter para validar sua propriedade de domínio.
O Certbot gera um certificado e uma chave a serem carregados no Sophos Central. Para obter mais informações, consulte https://letsencrypt.org/getting-started/.
Obter um certificado usando SSL
Para obter um certificado usando o Open SSL com a autoridade de certificação (CA) de sua escolha, faça o seguinte:
- Vá para um dispositivo com uma versão de linha de comando do OpenSSL ou instale-o.
-
Crie um arquivo de texto de modelo CSR (Solicitação de assinatura de certificado).
Você usará esse modelo para gerar o CSR e a chave privada.
Exemplo
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
Execute o comando abaixo. Neste exemplo,
ztna.key
é o nome da chave eztna.csr
é o nome do CSR.mytemplate.txt
é o nome do modelo CSR.Exemplo
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
Solicite a assinatura do seu
ztna.csr
à CA escolhida e baixe uma versão codificada Base64 do certificado assinado por eles.As etapas para fazer isso dependem da sua CA. Procure por instruções online.
-
Coloque o seu novo
ztna.key
e o certificado assinado em um local que possa acessar ao usar o Sophos Central para configurar seu gateway.
Validade do certificado
Para garantir que seu certificado continue funcionando, faça o seguinte:
- Monitore a validade do certificado, para confirmar se ele está configurado corretamente, e verifique a data de expiração.
- Quando seu certificado expirar, renove-o.