Ir al contenido
Avanet

Configurar certificados Let's Encrypt de Sophos Firewall

Sophos Firewall

Con Certificados Let’s Encrypt en Sophos Firewall puede crear certificados HTTPS públicos directamente en el firewall y renovarlos automáticamente. Esto es particularmente útil para la publicación WAF, WebAdmin, portal de usuario, portal VPN, portal cautivo, portal SPX, páginas de inicio de sesión de puntos de acceso y configuraciones SMTP TLS.

La función reduce el trabajo de certificación manual, pero no reemplaza la planificación adecuada. DNS, accesibilidad pública, puerto 80, nombres de certificados, reglas WAF, acceso al portal y monitoreo deben coincidir. Si la validación o renovación falla sin que nadie se dé cuenta, un portal o una aplicación web publicada puede fallar repentinamente con una advertencia de certificado a pesar de que la regla WAF sea realmente correcta.

Para la publicación real de un servidor web, Sophos Firewall WAF: publique servidores web de forma segura encaja primero. Este artículo se centra en el lado del certificado y el funcionamiento de Let’s Encrypt en el firewall.

Cuándo Let’s Encrypt tiene sentido en el firewall

El método incorporado Let’s Encrypt tiene sentido si el propio Sophos Firewall proporciona el servicio público o se encuentra frente a él como un proxy inverso.

UsoUso típico
WAF/Protección de servidor webaplicaciones HTTPS de acceso público con su propio FQDN
Administrador webacceso administrativo con un certificado limpio si WebAdmin se usa externamente o internamente a través de FQDN
Portal de usuario / Portal VPNLos usuarios cargan configuraciones de VPN o inician sesión a través de un portal
Portal cautivo/punto de accesoLos usuarios ven una página de inicio de sesión HTTPS sin advertencia de certificado
SMTP TLSConfiguración de Mail Protection o SMTP TLS con certificado público

No todos los servicios se ajustan a este camino. Para certificados comodín o certificados que se van a utilizar en varios sistemas fuera del firewall, suele ser mejor un certificado generado externamente. Existe el artículo existente Crear certificado comodín Let’s Encrypt.

Límites y diferencias importantes

Sophos Firewall crea certificados Let’s Encrypt para FQDN específicos. La integración no es la misma que la de un cliente ACME administrado libremente en un servidor Linux.

Puntos importantes:

  • El dominio debe especificarse como un FQDN completo.
  • Los dominios comodín no son la forma correcta para el proceso de firewall integrado.
  • Las direcciones IP no son nombres de certificados válidos.
  • La validación del dominio HTTP debe poder llegar al firewall a través del puerto 80.
  • El firewall crea un servidor web temporal o componentes WAF para su validación.
  • Después de una emisión exitosa, los componentes de validación temporal se eliminan nuevamente.
  • Los certificados son de corta duración y deben renovarse automáticamente.

Sophos introdujo la función con SFOS 21. La clasificación de Avanet de las innovaciones en ese momento se puede encontrar en la publicación del blog Sophos Firewall v21: las innovaciones más importantes. En las notas de la versión recientes se enumeran varias correcciones de WAF y Let’s Encrypt. Para entornos productivos, esto significa que el estado del firmware, el estado del certificado y el funcionamiento del WAF deben comprobarse juntos, no de forma aislada.

Requisitos

Antes de crear un certificado conviene aclarar estos puntos:

  • El firewall se ejecuta en una versión SFOS compatible con Let’s Encrypt.
  • El nombre DNS público apunta a la dirección WAN o dirección alojada del firewall.
  • Se puede acceder al puerto 80 externamente para la validación HTTP.
  • No hay ninguna regla DNAT, WAF u otra regla activa que intercepte la solicitud de validación en el puerto 80.
  • El firewall puede comunicarse a través de Internet.
  • La fecha, hora y NTP del firewall son correctos.
  • Para el servicio posterior queda claro si el certificado se utiliza en WAF, WebAdmin, Portal o SMTP TLS.
  • Un propietario comprueba periódicamente la caducidad del certificado, el estado de renovación y los servicios afectados.

⚠️ Let’s Encrypt no es una solución alternativa para la accesibilidad pública sucia. Si el puerto 80 está bloqueado por una regla DNAT antigua, otra regla WAF, una NAT ascendente o un filtro de proveedor, la solicitud o renovación del certificado puede fallar.

Programar nombres de certificadosAntes de la configuración técnica, se debe determinar qué nombres de host son realmente necesarios. Una buena planificación de certificados evita correcciones posteriores en las reglas, portales y DNS de WAF.

Ejemplos:

nombre de hostUso típico
portal.example.comPortal de Usuario o Portal VPN
vpn.example.comPortal VPN o ruta de descarga VPN SSL
admin.example.comWebAdmin, si se usa externamente o mediante FQDN de administración
app.example.comSolicitud publicada WAF
mail.example.comSMTP TLS o Protección de Correo

Si tiene varias aplicaciones, no debe apresurarse a empaquetarlas todas en un solo certificado. Un certificado con muchos nombres puede resultar práctico, pero también aumenta las dependencias. Cuando se renueva, reemplaza o revierte un certificado, todos los nombres de host que contiene se ven afectados.

Para las reglas WAF, también es importante que DNS, certificado, dominios en la regla WAF y SNI coincidan. Los conceptos básicos de WAF se describen en Sophos Firewall WAF: servidores públicos web de forma segura.

Crear cuenta y certificado de Let’s Encrypt

La configuración se realiza en WebAdmin en el área Certificados. Dependiendo de la versión de SFOS, la representación exacta puede variar ligeramente, pero el proceso sigue siendo similar.

Proceso básico:

  1. Abra Certificados.
  2. Abra el área Let’s Encrypt o solicitud de certificado.
  3. Prepare la cuenta Let’s Encrypt en el firewall.
  4. Ingrese los FQDN deseados.
  5. Seleccione la interfaz WAN o la dirección pública para la validación HTTP.
  6. Compruebe si el puerto 80 apunta al firewall desde el exterior.
  7. Solicitar certificado.
  8. Después de una emisión exitosa, verifique en Certificados > Certificados si el certificado está presente y es válido.

Durante la validación, el firewall utiliza el mecanismo de desafío-respuesta HTTP. Para hacer esto, los sistemas externos Let’s Encrypt deben poder alcanzar la ruta de validación. Si el firewall está detrás de un enrutador, balanceador de carga o proveedor NAT, la redirección debe apuntar al firewall.

Usar certificado

Una vez emitido, el certificado sólo existe. Sólo protege un servicio una vez que ha sido seleccionado activamente allí.

Asignación típica:

servicioDónde comprobar
WAFregla WAF afectada en Reglas y políticas > Reglas de firewall
Administrador webCertificado para la consola WebAdmin en la configuración relacionada con el acceso al dispositivo/administrador
Portal de usuario / Portal VPNConfiguración del portal o portal VPN
Portal cautivo/punto de accesoPágina de inicio de sesión y certificado del portal
SMTP TLSConfiguración de correo electrónico o SMTP TLS

Después de la tarea, no sólo debe guardar en WebAdmin, sino también probar el servicio externamente. Para las publicaciones WAF, una prueba desde fuera de su propia LAN es adecuada porque, de lo contrario, la vista DNS interna, el loopback NAT o la caché del navegador pueden proporcionar una seguridad falsa.

Prueba de puesta en marcha

Una prueba de puesta en marcha exitosa consta de DNS, TLS, funcionalidad del servicio y registro.

Lista de verificación:

  • El FQDN se resuelve públicamente en la dirección esperada.
  • El firewall puede acceder al puerto 80 durante la validación.
  • El puerto 443 o el puerto HTTPS utilizado entrega el nuevo certificado.
  • El navegador no muestra advertencia de certificado.
  • El certificado contiene el nombre de host esperado.
  • La fecha de caducidad coincide con la del certificado recién creado.
  • La regla WAF, el portal o el WebAdmin realmente utilizan este certificado.
  • Log Viewer no muestra ningún error notable de WAF, portal o certificado.
  • Para las versiones WAF, reverseproxy.log coincide con el momento de la prueba.

Una simple prueba TLS externa también puede mostrar qué certificado se entrega realmente. Es importante realizar la prueba desde fuera de la red del cliente, no sólo desde el cliente interno.

Verificar cadena de certificados

Después de cambiar a un nuevo certificado Let’s Encrypt, no solo se debe verificar el nombre común o la entrada SAN. También es crucial si el cliente ve la cadena de certificados completa. Si un navegador, una aplicación o un sistema de monitoreo informa una cadena incompleta, la causa podría ser la selección del certificado, un certificado importado antiguo, una regla WAF incorrecta o un proxy inverso intermediario.

En la práctica, debes comprobar estos puntos:- La prueba HTTPS externa muestra el FQDN esperado sin advertencia de certificado.

  • El certificado entregado es realmente el nuevo certificado Let’s Encrypt de Sophos Firewall.
  • La cadena de certificados está completa y no se reemplaza por un certificado de servidor o proxy antiguo.
  • La regla WAF, el portal o el WebAdmin utilizan el mismo certificado que es visible en la prueba externa.
  • Si se trata de un equilibrador de carga ascendente, un enrutador o un proxy inverso, no se entregará ningún otro certificado allí.

Esta verificación es particularmente importante si el mismo dominio se ejecutó anteriormente en una publicación diferente, o si varias reglas WAF, reglas DNAT o servidores proxy externos usan el mismo nombre de host. De lo contrario, verá un certificado válido en WebAdmin, mientras que los clientes externos seguirán recibiendo una cadena diferente o incompleta.

Monitorear la renovación en la empresa.

Los certificados Let’s Encrypt son de corta duración. La ventaja de la integración es que el firewall puede realizar la renovación automáticamente. Sin embargo, no debes dejar que el proceso se desarrolle a ciegas.

Estos puntos deben comprobarse periódicamente en una auditoría de empresa:

  • ¿El firewall se ejecuta en una versión SFOS actual y estable?
  • ¿El certificado sigue siendo válido?
  • ¿La renovación automática fue exitosa?
  • ¿Aún se puede acceder al puerto 80 para su validación?
  • ¿Existen nuevas reglas DNAT o WAF que podrían bloquear la validación?
  • ¿Los usuarios o el monitoreo muestran advertencias de certificados?
  • ¿Hay errores de WAF o de portal en el visor de registros?

Esta verificación es particularmente importante después de actualizaciones de firewall, cambios de WAF, cambios de proveedor, cambios de DNS y cambios en enrutadores ascendentes o servidores proxy inversos.

Errores típicos

Imagen de errorCausa probableexamen
El certificado no se creaFQDN no apunta al firewall o el puerto 80 no es accesibleVerifique la resolución de DNS público y la prueba del puerto externo
La solicitud de certificado falla después del cambio de WAFregla existente intercepta la validación HTTPVerifique las reglas DNAT, WAF y Firewall en el puerto 80
Se crea el certificado, pero el navegador muestra el certificado antiguoEl servicio utiliza otro certificadoVerifique la selección de regla WAF, portal o certificado WebAdmin
El navegador o el seguimiento informan que la cadena de certificados está incompletaCertificado incorrecto activo, la cadena no se entrega completamente o el proxy ascendente entrega un certificado diferenteCompare la prueba TLS externa, la regla WAF, el mapeo del portal y posibles proxies
La aplicación WAF no funciona correctamente después del cambio de certificadoSNI, dominio, host backend o perfil de protección no coincidenVerifique la regla WAF, los dominios, reverseproxy.log y los registros de backend
La renovación no funcionaLa ruta de validación ha cambiado desde su creaciónVerifique DNS, puerto 80, NAT ascendente y estado del firmware
Centro de control muestra WAF o advertencia de certificadoantigua regla WAF, reinicio de WAF o estado del certificado problemáticoVerifique el visor de registros, las reglas WAF y la lista de certificados

Si el WAF y el certificado son visibles juntos, no deberías mirar sólo el certificado. La coincidencia de WAF, la dirección alojada, los dominios, el SNI y la accesibilidad del backend pertenecen a la misma cadena de errores.

Reversión del plan

Para portales públicos y aplicaciones WAF, debe quedar claro cómo retroceder antes de cambiar un certificado.

Preparación útil:

  • no borre el certificado anterior inmediatamente
  • Documentar la regla WAF afectada y la configuración del portal.
  • Tener acceso a pruebas externas disponible
  • Conozca DNS TTL si se cambian los nombres de host
  • Seleccionar ventanas de mantenimiento para portales críticos.
  • Preparar comunicaciones con los usuarios si algún portal se ve afectado

Si se ha creado el nuevo certificado, pero un servicio no funciona correctamente, normalmente puede volver a seleccionar el certificado anterior. Sin embargo, si la causa es una validación HTTP bloqueada, una reversión del certificado sólo ayudará a corto plazo. Luego se debe corregir la ruta de validación, de lo contrario la próxima renovación volverá a fallar.

Lista de verificación- FQDN y servicios documentados.

  • Resolución de DNS público marcada.
  • Puerto 80 verificado para validación HTTP.
  • Se comprobaron los conflictos con DNAT, WAF o NAT ascendente.
  • Certificado Let’s Encrypt creado.
  • Certificado asignado al servicio correcto.
  • Prueba HTTPS externa realizada.
  • Visor de registros y WAF reverseproxy.log marcados.
  • Responsabilidad y seguimiento de renovación definidos.
  • El certificado antiguo sólo se elimina después de una operación exitosa.

Preguntas frecuentes

¿Puede Sophos Firewall Let's Encrypt renovar certificados automáticamente?

Sí. El firewall puede renovar automáticamente los certificados Let’s Encrypt. No obstante, conviene comprobar periódicamente la fecha de caducidad, el estado de renovación, la accesibilidad del puerto 80 y los servicios afectados.

¿Sophos Firewall Let's Encrypt admite certificados comodín?

Para los certificados comodín, el proceso de firewall integrado no es el camino a seguir. Si se requiere un certificado comodín, se debe crear externamente y luego importarse.

¿Por qué Let's Encrypt necesita el puerto 80?

La integración del firewall de Sophos utiliza la validación de dominio HTTP. Para hacer esto, la ruta de validación debe ser accesible desde el exterior del firewall a través del puerto 80.

¿Puedes utilizar un certificado Let's Encrypt para WAF?

Sí. WAF es uno de los usos típicos. Es importante que el certificado, el FQDN, los dominios en la regla WAF, la dirección alojada y el SNI coincidan.

¿Qué se comprueba si la renovación falla?

Primero verifique el DNS, el puerto 80, los conflictos de NAT, DNAT o WAF ascendentes, el estado del certificado y el visor de registros. Para las publicaciones WAF, reverseproxy.log también es relevante.