Vai al contenuto
Avanet

Configurazione di Sophos Firewall Let's Encrypt dei certificati

Sophos Firewall

Con Let’s Encrypt certificates on Sophos Firewall puoi creare certificati HTTPS pubblici direttamente sul firewall e farli rinnovare automaticamente. Ciò è particolarmente utile per la pubblicazione WAF, WebAdmin, Portale utenti, Portale VPN, Captive Portal, Portale SPX, pagine di accesso hotspot e configurazioni TLS SMTP.

La funzione riduce il lavoro manuale di certificazione, ma non sostituisce una corretta pianificazione. DNS, accessibilità pubblica, porta 80, nomi di certificati, regole WAF, accesso al portale e monitoraggio devono corrispondere. Se la convalida o il rinnovo falliscono inosservati, un portale o un’applicazione web pubblicata possono improvvisamente fallire con un avviso di certificato nonostante la regola WAF sia effettivamente corretta.

Per la pubblicazione vera e propria di un server web, Sophos Firewall WAF: server web pubblico in modo sicuro si adatta per primo. Questo articolo si concentra sul lato certificato e sul funzionamento di Let’s Encrypt sul firewall.

Quando Let’s Encrypt ha senso sul firewall

Il metodo Let’s Encrypt integrato ha senso se è il Sophos Firewall stesso a fornire il servizio pubblico o a fungere da proxy inverso.

UtilizzareUso tipico
WAF/Protezione server Webapplicazioni HTTPS accessibili pubblicamente con il proprio FQDN
WebAdminaccesso amministrativo con certificato pulito se WebAdmin viene utilizzato esternamente o internamente tramite FQDN
Portale utente/Portale VPNGli utenti caricano le configurazioni VPN o accedono tramite un portale
Captive Portal/HotspotGli utenti visualizzano una pagina di accesso HTTPS senza avviso di certificato
TLS SMTPConfigurazione Mail Protection o SMTP TLS con certificato pubblico

Non tutti i servizi si adattano a questo percorso. Per i certificati con caratteri jolly o da utilizzare su più sistemi all’esterno del firewall, spesso è preferibile un certificato generato esternamente. A questo scopo esiste l’articolo Crea il certificato Let’s Encrypt with caratteri jolly.

Limiti e differenze importanti

Sophos Firewall crea certificati Let’s Encrypt per FQDN specifici. L’integrazione non è la stessa di un client ACME gestito liberamente su un server Linux.

Punti importanti:

  • Il dominio deve essere specificato come FQDN completo.
  • I domini jolly non sono la soluzione corretta per il processo firewall integrato.
  • Gli indirizzi IP non sono nomi di certificati validi.
  • La convalida del dominio HTTP deve essere in grado di raggiungere il firewall tramite la porta 80.
  • Il firewall crea un server Web temporaneo o componenti WAF per la convalida.
  • Dopo l’emissione riuscita, i componenti di convalida temporanei vengono nuovamente rimossi.
  • I certificati hanno vita breve e devono essere rinnovati automaticamente.

Sophos ha introdotto questa funzionalità con SFOS 21. La classificazione Avanet delle innovazioni all’epoca si trova nel post del blog Sophos Firewall v21: la nuova cosa importante. Diverse correzioni WAF e Let’s Encrypt sono elencate nelle note di rilascio recenti. Per gli ambienti produttivi, ciò significa: lo stato del firmware, lo stato del certificato e il funzionamento del WAF devono essere controllati insieme, non separatamente.

Requisiti

Prima di creare un certificato è opportuno chiarire questi punti:

  • Il firewall funziona su una versione SFOS con supporto Let’s Encrypt.
  • Il nome DNS pubblico punta all’indirizzo WAN o all’indirizzo ospitato del firewall.
  • La porta 80 può essere raggiunta esternamente per la convalida HTTP.
  • Non sono presenti DNAT, WAF o altre regole attive che intercettano la richiesta di convalida sulla porta 80.
  • Il firewall può comunicare su Internet stesso.
  • La data, l’ora e l’NTP del firewall sono corretti.
  • Per il servizio successivo è chiaro se il certificato viene utilizzato in WAF, WebAdmin, Portal o SMTP TLS.
  • Un proprietario controlla regolarmente la scadenza del certificato, lo stato di rinnovo e i servizi interessati.

⚠️ Let’s Encrypt non è una soluzione alternativa all’accessibilità pubblica non pulita. Se la porta 80 è bloccata da una vecchia regola DNAT, da un’altra regola WAF, da un NAT upstream o da un filtro del provider, la richiesta o il rinnovo del certificato potrebbe non riuscire.

Pianifica i nomi dei certificatiPrima della configurazione tecnica, è necessario determinare quali nomi host sono realmente necessari. Una buona pianificazione dei certificati impedisce correzioni successive alle regole WAF, ai portali e al DNS.

Esempi:

nome hostUso tipico
portal.example.comPortale utente o Portale VPN
vpn.example.comPortale VPN o percorso di download SSL VPN
admin.example.comWebAdmin, se utilizzato esternamente o tramite gestionale FQDN
app.example.comApplicazione pubblicata WAF
mail.example.comSMTP TLS o protezione posta

Se disponi di più applicazioni, non dovresti affrettarti a racchiudere tutto in un unico certificato. Un certificato con molti nomi può essere pratico, ma aumenta anche le dipendenze. Quando un certificato viene rinnovato, sostituito o ripristinato, tutti i nomi host in esso contenuti sono interessati.

Per le regole WAF, è importante anche che DNS, certificato, domini nella regola WAF e SNI corrispondano. Le basi del WAF sono descritte in Sophos Firewall WAF: server web pubblico in modo sicuro.

Crea account e certificato Let’s Encrypt

La configurazione viene eseguita nel WebAdmin nell’area Certificati. A seconda della versione SFOS, la rappresentazione esatta può variare leggermente, ma il processo rimane simile.

Processo di base:

  1. Aprire Certificati.
  2. Aprire l’area Let’s Encrypt o la richiesta di certificato.
  3. Preparare l’account Let’s Encrypt sul firewall.
  4. Immettere gli FQDN desiderati.
  5. Selezionare l’interfaccia WAN o l’indirizzo pubblico per la convalida HTTP.
  6. Verificare se la porta 80 punta al firewall dall’esterno.
  7. Richiedi certificato.
  8. Dopo l’emissione riuscita, verificare in Certificati > Certificati se il certificato è presente e valido.

Durante la convalida, il firewall utilizza il meccanismo di sfida-risposta HTTP. Per fare ciò, i sistemi Let’s Encrypt esterni devono essere in grado di raggiungere il percorso di validazione. Se il firewall si trova dietro un router, un bilanciatore del carico o un provider NAT, il reindirizzamento deve puntare al firewall.

Usa il certificato

Una volta emesso, il certificato esiste solo. Protegge un servizio solo dopo che è stato selezionato attivamente lì.

Incarico tipico:

servizioDove controllare
WAFregola WAF interessata in Regole e policy > Regole firewall
WebAdminCertificato per la console WebAdmin nelle impostazioni relative all’accesso all’amministratore/dispositivo
Portale utente/Portale VPNConfigurazione portale o portale VPN
Captive Portal/HotspotPagina di login e certificato del portale
TLS SMTPConfigurazione e-mail o SMTP TLS

Dopo l’assegnazione non dovresti solo salvare in WebAdmin, ma anche testare il servizio esternamente. Per le pubblicazioni WAF è opportuno un test esterno alla propria LAN, poiché altrimenti la vista DNS interna, il loopback NAT o la cache del browser potrebbero fornire una falsa sicurezza.

Test di avvio

Un test di go-live di successo comprende DNS, TLS, funzionalità del servizio e registrazione.

Lista di controllo:

-L’FQDN risolve pubblicamente l’indirizzo previsto.

  • La porta 80 è accessibile al firewall durante la convalida.
  • La porta 443 o la porta HTTPS utilizzata consegna il nuovo certificato.
  • Il browser non mostra l’avviso relativo al certificato.
  • Il certificato contiene il nome host previsto.
  • La data di scadenza corrisponde al certificato appena creato.
  • La regola WAF, il portale o WebAdmin utilizza realmente questo certificato.
  • Il visualizzatore log non mostra errori WAF, portali o certificati evidenti.
  • Per le versioni WAF, reverseproxy.log corrisponde all’ora del test.

Un semplice test TLS esterno può anche mostrare quale certificato viene effettivamente consegnato. È importante eseguire il test dall’esterno della rete del cliente, non solo dal cliente interno.

Controlla la catena di certificati

Dopo il passaggio a un nuovo certificato Let’s Encrypt, non è necessario controllare solo il nome comune o la voce SAN. È anche fondamentale che il cliente veda l’intera catena di certificati. Se un browser, un’app o un sistema di monitoraggio segnalano una catena incompleta, la causa potrebbe essere la selezione del certificato, un vecchio certificato importato, una regola WAF errata o un proxy inverso intermediario.

In pratica dovresti verificare questi punti:- Il test HTTPS esterno mostra l’FQDN previsto senza avviso di certificato.

  • Il certificato consegnato è in realtà il nuovo certificato Let’s Encrypt del Sophos Firewall.
  • La catena di certificati è completa e non è sostituita da un vecchio backend o certificato proxy.
  • La regola WAF, il portale o WebAdmin utilizzano lo stesso certificato visibile nel test esterno.
  • Se è coinvolto un bilanciatore del carico upstream, un router o un proxy inverso, nessun altro certificato verrà consegnato lì.

Questo controllo è particolarmente importante se lo stesso dominio veniva precedentemente eseguito attraverso una pubblicazione diversa o se più regole WAF, regole DNAT o proxy esterni utilizzano lo stesso nome host. Altrimenti vedrai un certificato valido in WebAdmin, mentre i client esterni riceveranno comunque una catena diversa o incompleta.

Monitorare il rinnovamento in azienda

I certificati Let’s Encrypt sono di breve durata. Il punto di forza dell’integrazione è che il firewall può eseguire il rinnovo automaticamente. Tuttavia, non dovresti lasciare che il processo proceda alla cieca.

Questi punti dovrebbero essere controllati regolarmente in un audit aziendale:

  • Il firewall è in esecuzione su una versione SFOS attuale e stabile?
  • Il certificato è ancora valido?
  • Il rinnovo automatico è andato a buon fine?
  • La porta 80 è ancora accessibile per la convalida?
  • Esistono nuove regole DNAT o WAF che potrebbero bloccare la convalida?
  • Gli utenti o il monitoraggio mostrano avvisi sui certificati?
  • Sono presenti errori WAF o del portale nel visualizzatore di log?

Questo controllo è particolarmente importante dopo aggiornamenti del firewall, modifiche WAF, modifiche del provider, modifiche DNS e modifiche ai router upstream o ai proxy inversi.

Errori tipici

Immagine erroreProbabile causaesame
Il certificato non è stato creatoL’FQDN non punta al firewall o la porta 80 non è raggiungibileControlla la risoluzione DNS pubblica e il test della porta esterna
La richiesta di certificato non riesce dopo la modifica WAFla regola esistente intercetta la convalida HTTPControlla le regole DNAT, WAF e Firewall sulla porta 80
Il certificato è stato creato, ma il browser mostra il vecchio certificatoIl servizio utilizza un altro certificatoControllare la selezione della regola WAF, del portale o del certificato WebAdmin
Il browser o il monitoraggio segnalano una catena di certificati incompletaCertificato attivo errato, la catena non viene consegnata completamente o il proxy upstream consegna un certificato diversoConfronta test TLS esterno, regola WAF, mappatura del portale e possibili proxy
L’applicazione WAF non funziona correttamente dopo la modifica del certificatoSNI, dominio, host backend o profilo di protezione non corrispondonoControlla la regola WAF, i domini, reverseproxy.log e i log di backend
Il rinnovo non funzionaIl percorso di convalida è cambiato dalla creazioneControlla DNS, porta 80, NAT upstream e stato del firmware
Control Center mostra l’avviso WAF o certificatovecchia regola WAF, riavvio WAF o stato del certificato problematicoControlla il visualizzatore di log, le regole WAF e l’elenco dei certificati

Se il WAF e il certificato sono evidenti insieme, non dovresti limitarti a guardare il certificato. La corrispondenza WAF, l’indirizzo ospitato, i domini, l’SNI e l’accessibilità del backend appartengono alla stessa catena di errori.

Pianifica il rollback

Per i portali pubblici e le applicazioni WAF, dovrebbe essere chiaro come tornare indietro prima di modificare un certificato.

Preparazione utile:

  • non eliminare immediatamente il certificato precedente
  • Documentare la regola WAF interessata e la configurazione del portale
  • Avere a disposizione l’accesso ai test esterni
  • Conoscere DNS TTL se i nomi host vengono modificati
  • Selezionare le finestre di manutenzione per i portali critici
  • Preparare le comunicazioni degli utenti se un portale è interessato

Se è stato creato il nuovo certificato, ma un servizio funziona in modo errato, di solito è possibile selezionare nuovamente il certificato precedente. Tuttavia, se la causa è una convalida HTTP bloccata, il rollback del certificato sarà di aiuto solo a breve termine. Successivamente è necessario correggere il percorso di convalida, altrimenti il ​​rinnovo successivo fallirà nuovamente.

Lista di controllo- FQDN e servizi documentati.

  • Risoluzione DNS pubblica controllata.
  • La porta 80 ha controllato la convalida HTTP.
  • Conflitti con DNAT, WAF o NAT upstream controllati.
  • Crittografiamo il certificato creato.
  • Certificato assegnato al servizio corretto.
  • Test HTTPS esterno eseguito.
  • Visualizzatore registro e WAF reverseproxy.log selezionati.
  • Definizione delle responsabilità e del monitoraggio del rinnovo.
  • Il vecchio certificato viene rimosso solo dopo l’operazione riuscita.

Domande frequenti

Sophos Firewall Let's Encrypt può rinnovare automaticamente i certificati?

Sì. Il firewall può rinnovare automaticamente i certificati Let’s Encrypt. Tuttavia, dovresti controllare regolarmente la data di scadenza, lo stato di rinnovo, l’accessibilità della porta 80 e i servizi interessati.

Sophos Firewall Let's Encrypt supporta i certificati con caratteri jolly?

Per i certificati con caratteri jolly, il processo firewall integrato non è la strada da percorrere. Se è richiesto un certificato con caratteri jolly, è necessario crearlo esternamente e quindi importarlo.

Perché Let's Encrypt ha bisogno della porta 80?

L’integrazione del firewall Sophos utilizza la convalida del dominio HTTP. Per fare ciò, il percorso di convalida deve essere accessibile dall’esterno del firewall tramite la porta 80.

È possibile utilizzare un certificato Let's Encrypt per WAF?

Sì. WAF è uno degli usi tipici. È importante che il certificato, l’FQDN, i domini nella regola WAF, l’indirizzo ospitato e l’SNI corrispondano.

Cosa controlli se il rinnovo fallisce?

Per prima cosa controlla DNS, porta 80, conflitti NAT upstream, DNAT o WAF, stato del certificato e visualizzatore di log. Per le pubblicazioni WAF, anche reverseproxy.log è rilevante.