跳至內容

獲取憑證

ZTNA 閘道需要萬用字元憑證。您可藉由以下任意一項,獲取此憑證:

  • Let's Encrypt.
  • OpenSSL.

注意

您需要知道要用於閘道的網域。

使用 Let's Encrypt 獲取憑證

若要使用 Let's Encrypt 和 Certbot 用戶端獲取憑證,請執行以下操作:

  1. 登入託管閘道網域的 DNS 提供者。
  2. 在裝置上安裝 Certbot。

    注意

    Certbot 無法驗證 Web 伺服器。相反,使用 DNS TXT 項目來驗證網域擁有權。

  3. 輸入以下命令以獲取憑證並變更 ZTNA 部署所在的網域。

    sudo certbot certonly \
    --manual \
    --preferred-challenges=dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    --agree-tos \
    --domain *.domain.com
    

    Certbot 會傳回您需要的 TXT 記錄並等待。

  4. 將 TXT 記錄新增至 DNS 提供者,並等候三到五分鐘。

  5. 返回 Certbot 並按 Enter 鍵以驗證您的網域擁有權。

Certbot 產生要上傳至 Sophos Central 的憑證和金鑰。如欲瞭解更多詳情,請參閱https://letsencrypt.org/getting-started/

使用 SSL 獲取憑證

如需使用具有所選憑證授權單位 (CA) 的 Open SSL 獲取憑證,請執行以下操作:

  1. 轉至具有 OpenSSL 命令行版本的裝置或安裝它。
  2. 建立憑證簽署要求 (CSR) 範本文字檔。

    您可使用此範本產生 CSR 和私人金鑰。

    範例
    [req]
    default_bits=4096
    prompt=no
    default_md=sha512
    req_extensions=req_ext
    distinguished_name=dn
    
    [dn]
    C=UK
    ST=Oxfordshire
    L=Oxford
    O=ExampleCo
    OU=Example
    emailAddress=admin@example.com
    CN=ztna.example.com
    
    [req_ext]
    subjectAltName=@alt_names
    
    [alt_names]
    DNS.1=*.example.com
    
  3. 執行下列命令。在此範例中,ztna.key 是金鑰的名稱,ztna.csr 是 CSR 的名稱。mytemplate.txt 是 CSR 範本的名稱。

    範例
    openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr
    -config mytemplate.txt
    
  4. 由您所選的 CA 簽署 ztna.csr,然後從他們處下載簽署憑證的 Base64 編碼版本。

    執行此操作的步驟取決於您的 CA。線上查找他們的說明。

  5. 將您的新 ztna.key 和已簽署的憑證置於使用 Sophos Central 設定閘道時可以存取的位置。