獲取憑證
ZTNA 閘道需要萬用字元憑證。取得認證的方法有多種,如下所示:
- 您可以從 Sophos Central 產生 Let's Encrypt 認證。認證產生過程可自動進行,我們為您管理和續訂認證。
- 您可以使用 SSL 或 Let's Encrypt 手動產生認證。您必須管理和續訂認證。請參閱 使用 SSL 取得認證 和 使用 Let's Encrypt 取得認證。
注意
您需要知道要用於閘道的網域。
從 Sophos Central 產生 Let's Encrypt 認證
您可以從 Sophos Central 產生 Let's Encrypt 認證。
注意
如果在 DNS 伺服器上使用認證頒發機構授權 (CAA) 記錄,則必須為 Let's Encrypt 認證頒發機構新增特定的 CAA 記錄。此 CAA 記錄將授權 Let's Encrypt 為您的網域頒發認證。
要產生 Let's Encrypt 認證,請執行以下操作:
- 在 Sophos Central 中,移至 我的產品 > ZTNA,然後按一下設定。
- 按一下網域和認證。
-
按一下 新增網域。
注意
您可新增最多 100 個網域。
-
按以下格式鍵入您的網域名稱:
example.com。 -
按一下新增。
我們將為該網域產生 CNAME 記錄,該記錄顯示在網域和認證上您的網域名稱旁。
-
在 DNS 伺服器上,將 CNAME 記錄新增為您網域的 DNS 記錄。
您必須針對 DNS 伺服器上的對應網域輸入產生的 CNAME 記錄,以宣告網域的所有權。
注意
您必須以下列格式新增網域名稱至 DNS 記錄:
_acme-challenge.<domain name>。注意
假設您的 DNS 伺服器上已經有
_acme-challenge.<domain name>的 DNS 記錄,並且設定了 TXT 記錄 (這可適用於其他應用程式)。在這種情況下,您必須在為 Sophos ZTNA 產生 Let's Encrypt 認證時移除這些項目。 -
在網域和認證上,按一下驗證。
-
確認已將 CNAME 記錄新增到 DNS 伺服器,然後按一下驗證。
我們使用您輸入的 CNAME 記錄驗證網域的所有權。
-
按一下產生 LE 認證。
-
閱讀並同意 Let's Encrypt 訂戶協議。
此操作會授權我們管理您的 Let's Encrypt 認證。
-
按一下產生。
產生認證大約需要 60 秒。產生過程中可以離開頁面。
這會將經過驗證的網域新增到您的 Let's Encrypt 認證中。已為所有經過驗證的網域產生認證。
注意
每個帳戶只產生一個 Let's Encrypt 認證。所有經過驗證的網域都是所產生之認證的一部分。新增新網域時,必須重新產生 Let's Encrypt 認證。
我們代表您管理和續訂 Let's Encrypt 認證。
您可以將 Let's Encrypt 認證與現有閘道相關聯。如果尚未新增閘道,可以稍後執行此操作。
將 Let's Encrypt 認證與閘道相關聯
- 移至我的產品 > ZTNA,然後按一下閘道。
- 按一下閘道的名稱。
- 在網域和認證下,選取自動操作 (Let's Encrypt)。
- 按一下儲存。
已使用 DNS TXT 記錄驗證現有網域。要為這些網域產生 Let's Encrypt 認證,必須首先以新格式將網域新增到 DNS 伺服器。
請依照以下步驟操作:
- 在 Sophos Central 中,移至 我的產品 > ZTNA,然後按一下設定。
- 按一下網域和認證。
- 按一下產生 LE 認證。
- 在新增 CNAME 下,複製 CNAME 記錄。
-
在 DNS 伺服器上,將 CNAME 記錄新增為您網域的 DNS 記錄。
注意
您必須以下列格式新增網域名稱至 DNS 記錄:
_acme-challenge.<domain name>。注意
假設您的 DNS 伺服器上已經有
_acme-challenge.<domain name>的 DNS 記錄,並且設定了 TXT 記錄 (這可適用於其他應用程式)。在這種情況下,您必須在為 Sophos ZTNA 產生 Let's Encrypt 認證時移除這些項目。 -
確認已將 CNAME 記錄新增到 DNS 伺服器。
-
閱讀並同意 Let's Encrypt 訂戶協議。
此操作會授權我們管理您的 Let's Encrypt 認證。
-
按一下 繼續。
- 確認您已將 CNAME 記錄新增到 DNS 伺服器,然後閱讀並同意 Let's Encrypt 訂戶協議。
-
按一下產生。
產生認證大約需要 60 秒。產生過程中可以離開頁面。
這會將經過驗證的網域新增到您的 Let's Encrypt 認證中。已為所有經過驗證的網域產生認證。
現有網域和相應的 CNAME 記錄將以新格式顯示在網域和認證頁面上的表中。
注意
如果您有未經驗證的現有網域,則必須移除並重新新增它們,然後對其進行驗證,再重新產生 Let's Encrypt 認證。
我們代表您管理和續訂 Let's Encrypt 認證。
您可以將 Let's Encrypt 認證與現有閘道相關聯。如果尚未新增閘道,可以稍後執行此操作。
將 LE 認證與閘道相關聯
- 移至我的產品 > ZTNA,然後按一下閘道。
- 按一下閘道的名稱。
- 在網域和認證下,選取自動操作 (Let's Encrypt)。
- 按一下儲存。
使用 SSL 取得認證
若要使用 OpenSSL 透過您選擇的認證頒發機構 (CA) 取得認證,請執行下列操作:
- 轉至具有 OpenSSL 命令行版本的裝置或安裝它。
-
建立憑證簽署要求 (CSR) 範本文字檔。
您可使用此範本產生 CSR 和私人金鑰。
範例
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com -
執行下列命令。在此範例中,
ztna.key是金鑰的名稱,ztna.csr是 CSR 的名稱。mytemplate.txt是 CSR 範本的名稱。範例
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt -
由您所選的 CA 簽署
ztna.csr,然後從他們處下載簽署憑證的 Base64 編碼版本。執行此操作的步驟取決於您的 CA。線上查找他們的說明。
-
將您的新
ztna.key和已簽署的憑證置於使用 Sophos Central 設定閘道時可以存取的位置。
您可以將認證與現有閘道相關聯。如果尚未新增閘道,可以稍後執行此操作。
將認證與閘道相關聯
- 移至我的產品 > ZTNA,然後按一下閘道。
- 按一下閘道的名稱。
- 在網域和認證下,選取上傳您自己的認證,然後上傳您剛剛建立的認證。
- 按一下儲存。
認證驗證
要確保認證持續工作,請執行以下動作:
- 監視認證的有效性,檢查認證是否正確設定,並檢查到期日期。
- 當您的認證即將到期時,請更新認證。
使用 Let's Encrypt 取得認證
若要使用 Let's Encrypt 和 Certbot 用戶端獲取憑證,請執行以下操作:
- 登入託管閘道網域的 DNS 提供者。
-
在裝置上安裝 Certbot。
注意
Certbot 無法驗證網頁伺服器。相反,使用 DNS TXT 項目來驗證網域擁有權。
-
輸入以下命令以獲取憑證並變更 ZTNA 部署所在的網域。
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.comCertbot 會傳回您需要的 TXT 記錄並等待。
-
將 TXT 記錄新增至 DNS 提供者,並等候三到五分鐘。
- 返回 Certbot 並按 Enter 鍵以驗證您的網域擁有權。
Certbot 產生要上傳至 Sophos Central 的憑證和金鑰。
將認證與閘道相關聯
- 移至我的產品 > ZTNA,然後按一下閘道。
- 按一下閘道的名稱。
- 在網域和認證下,選取上傳您自己的認證,然後上傳您剛剛建立的認證。
- 按一下儲存。
認證驗證
要確保認證持續工作,請執行以下動作:
- 檢查認證的有效性和到期日期,以確保其設定正確。
- 當您的認證即將到期時,請更新認證。