Pular para o conteúdo

Obter um certificado

O ZTNA gateway precisa de um certificado curinga. Você pode obter esse certificado usando um dos seguintes:

  • Let's Encrypt.
  • OpenSSL.

Nota

Você precisa saber o domínio que usará para o seu gateway.

Obter um certificado usando Let's Encrypt

Para obter um certificado usando Let's Encrypt e o cliente Certbot, faça o seguinte:

  1. Faça login no provedor de DNS que hospeda o seu domínio de gateway.

  2. Instale o Certbot em seu dispositivo.

    Nota

    O Certbot não valida o servidor Web. Em vez disso, ele valida a propriedade do domínio com uma entrada TXT do DNS.

  3. Digite os seguintes comandos para obter um certificado e mudar para o domínio no qual o ZTNA está implantado.

    sudo certbot certonly \
--manual \
--preferred-challenges=dns \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--domain *.domain.com

    O Certbot retorna o registro TXT que você precisa e aguarda.

  4. Adicione o registro TXT ao provedor DNS e aguarde de três a cinco minutos.

  5. Volte ao Certbot e pressione Enter para validar sua propriedade de domínio.

O Certbot gera um certificado e uma chave a serem carregados no Sophos Central. Para obter mais informações, consulte https://letsencrypt.org/getting-started/.

Obter um certificado usando SSL

Para obter um certificado usando o Open SSL com a autoridade de certificação (CA) de sua escolha, faça o seguinte:

  1. Vá para um dispositivo com uma versão de linha de comando do OpenSSL ou instale-o.

  2. Crie um arquivo de texto de modelo CSR (Solicitação de assinatura de certificado).

    Você usará esse modelo para gerar o CSR e a chave privada.

    Exemplo 
    [req]
default_bits=4096
prompt=no
default_md=sha512
req_extensions=req_ext
distinguished_name=dn

[dn]
C=UK
ST=Oxfordshire
L=Oxford
O=ExampleCo
OU=Example
emailAddress=admin@example.com
CN=ztna.example.com

[req_ext]
subjectAltName=@alt_names

[alt_names]
DNS.1=*.example.com

  3. Execute o comando abaixo. Neste exemplo, ztna.key é o nome da chave e ztna.csr é o nome do CSR. mytemplate.txt é o nome do modelo CSR.

    Exemplo 
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
-config mytemplate.txt

  4. Solicite a assinatura do seu ztna.csr à CA escolhida e baixe uma versão codificada Base64 do certificado assinado por eles.

    As etapas para fazer isso dependem da sua CA. Procure por instruções online.

  5. Coloque o seu novo ztna.key e o certificado assinado em um local que possa acessar ao usar o Sophos Central para configurar seu gateway.

Validade do certificado

Para garantir que seu certificado continue funcionando, faça o seguinte:

  • Monitore a validade do certificado, para confirmar se ele está configurado corretamente, e verifique a data de expiração.
  • Quando seu certificado expirar, renove-o.