獲取憑證
ZTNA 閘道需要萬用字元憑證。您可藉由以下任意一項,獲取此憑證:
- Let's Encrypt.
- OpenSSL.
注意
您需要知道要用於閘道的網域。
使用 Let's Encrypt 獲取憑證
若要使用 Let's Encrypt 和 Certbot 用戶端獲取憑證,請執行以下操作:
- 登入託管閘道網域的 DNS 提供者。
-
在裝置上安裝 Certbot。
注意
Certbot 無法驗證 Web 伺服器。相反,使用 DNS TXT 項目來驗證網域擁有權。
-
輸入以下命令以獲取憑證並變更 ZTNA 部署所在的網域。
sudo certbot certonly \ --manual \ --preferred-challenges=dns \ --server https://acme-v02.api.letsencrypt.org/directory \ --agree-tos \ --domain *.domain.com
Certbot 會傳回您需要的 TXT 記錄並等待。
-
將 TXT 記錄新增至 DNS 提供者,並等候三到五分鐘。
- 返回 Certbot 並按 Enter 鍵以驗證您的網域擁有權。
Certbot 產生要上傳至 Sophos Central 的憑證和金鑰。如欲瞭解更多詳情,請參閱https://letsencrypt.org/getting-started/
使用 SSL 獲取憑證
如需使用具有所選憑證授權單位 (CA) 的 Open SSL 獲取憑證,請執行以下操作:
- 轉至具有 OpenSSL 命令行版本的裝置或安裝它。
-
建立憑證簽署要求 (CSR) 範本文字檔。
您可使用此範本產生 CSR 和私人金鑰。
範例
[req] default_bits=4096 prompt=no default_md=sha512 req_extensions=req_ext distinguished_name=dn [dn] C=UK ST=Oxfordshire L=Oxford O=ExampleCo OU=Example emailAddress=admin@example.com CN=ztna.example.com [req_ext] subjectAltName=@alt_names [alt_names] DNS.1=*.example.com
-
執行下列命令。在此範例中,
ztna.key
是金鑰的名稱,ztna.csr
是 CSR 的名稱。mytemplate.txt
是 CSR 範本的名稱。範例
openssl req -newkey rsa:4096 -sha512 -nodes -keyout ztna.key -new -out ztna.csr -config mytemplate.txt
-
由您所選的 CA 簽署
ztna.csr
,然後從他們處下載簽署憑證的 Base64 編碼版本。執行此操作的步驟取決於您的 CA。線上查找他們的說明。
-
將您的新
ztna.key
和已簽署的憑證置於使用 Sophos Central 設定閘道時可以存取的位置。
認證驗證
要確保認證持續工作,請執行以下動作:
- 監視認證的有效性,檢查認證是否正確設定,並檢查到期日期。
- 當您的認證即將到期時,請更新認證。