獲取憑證

ZTNA 閘道需要萬用字元憑證。您可藉由以下任意一項，獲取此憑證：

• Let's Encrypt.
• OpenSSL.

使用 Let's Encrypt 獲取憑證

若要使用 Let's Encrypt 和 Certbot 用戶端獲取憑證，請執行以下操作：

1. 登入託管閘道網域的 DNS 提供者。

2. 在裝置上安裝 Certbot。

   注意

   Certbot 無法驗證 Web 伺服器。相反，使用 DNS TXT 項目來驗證網域擁有權。

3. 輸入以下命令以獲取憑證並變更 ZTNA 部署所在的網域。

   sudo certbot certonly \
   --manual \
   --preferred-challenges=dns \
   --server https://acme-v02.api.letsencrypt.org/directory \
   --agree-tos \
   --domain *.domain.com
   

   Certbot 會傳回您需要的 TXT 記錄並等待。

4. 將 TXT 記錄新增至 DNS 提供者，並等候三到五分鐘。

5. 返回 Certbot 並按 Enter 鍵以驗證您的網域擁有權。

Certbot 產生要上傳至 Sophos Central 的憑證和金鑰。如欲瞭解更多詳情，請參閱https://letsencrypt.org/getting-started/

使用 SSL 獲取憑證

如需使用具有所選憑證授權單位 (CA) 的 Open SSL 獲取憑證，請執行以下操作：

1. 轉至具有 OpenSSL 命令行版本的裝置或安裝它。

2. 建立憑證簽署要求 (CSR) 範本文字檔。

   您可使用此範本產生 CSR 和私人金鑰。

   範例

   [req]
   default_bits=4096
   prompt=no
   default_md=sha512
   req_extensions=req_ext
   distinguished_name=dn
   
   [dn]
   C=UK
   ST=Oxfordshire
   L=Oxford
   O=ExampleCo
   OU=Example
   emailAddress=admin@example.com
   CN=ztna.example.com
   
   [req_ext]
   subjectAltName=@alt_names
   
   [alt_names]
   DNS.1=*.example.com
   

3. 執行下列命令。在此範例中，ztna.key 是金鑰的名稱，ztna.csr 是 CSR 的名稱。mytemplate.txt 是 CSR 範本的名稱。

   範例

   openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
   -config mytemplate.txt
   

4. 由您所選的 CA 簽署 ztna.csr，然後從他們處下載簽署憑證的 Base64 編碼版本。

   執行此操作的步驟取決於您的 CA。線上查找他們的說明。

5. 將您的新 ztna.key 和已簽署的憑證置於使用 Sophos Central 設定閘道時可以存取的位置。

認證驗證

要確保認證持續工作，請執行以下動作：

• 監視認證的有效性，檢查認證是否正確設定，並檢查到期日期。
• 當您的認證即將到期時，請更新認證。