Naar de inhoud
Avanet

Stel Sophos Firewall Let's Encrypt-certificaten in

Sophos Firewall

Met Let’s Encrypt-certificaten op Sophos Firewall kunt u openbare HTTPS-certificaten rechtstreeks op de firewall aanmaken en deze automatisch laten vernieuwen. Dit is met name handig voor WAF-publicatie, WebAdmin, User Portal, VPN Portal, Captive Portal, SPX Portal, hotspot-inlogpagina’s en SMTP TLS-configuraties.

De functie vermindert het handmatige certificaatwerk, maar vervangt een goede planning niet. DNS, publieke toegankelijkheid, poort 80, certificaatnamen, WAF-regels, portaltoegang en monitoring moeten overeenkomen. Als validatie of vernieuwing ongemerkt mislukt, kan een portal of gepubliceerde webapplicatie plotseling mislukken met een certificaatwaarschuwing, ondanks dat de WAF-regel daadwerkelijk correct is.

Voor de daadwerkelijke publicatie van een webserver komt Sophos Firewall WAF: Publiceer webservers veilig als eerste in aanmerking. Dit artikel richt zich op de certificaatkant en de werking van Let’s Encrypt op de firewall.

Wanneer Let’s Encrypt zinvol is op de firewall

De ingebouwde Let’s Encrypt-methode is zinvol als de Sophos Firewall zelf de openbare dienst levert of er als reverse proxy voor staat.

GebruikTypisch gebruik
WAF/webserverbeschermingpubliekelijk toegankelijke HTTPS-applicaties met hun eigen FQDN
WebAdminbeheerderstoegang met een schoon certificaat als WebAdmin extern of intern via FQDN wordt gebruikt
Gebruikersportaal / VPN-portaalGebruikers laden VPN-configuraties of loggen in via een portal
Captive Portal/HotspotGebruikers zien een HTTPS-inlogpagina zonder certificaatwaarschuwing
SMTP-TLSMail Protection- of SMTP TLS-configuratie met openbaar certificaat

Niet elke dienst past in dit pad. Voor wildcardcertificaten of certificaten die op meerdere systemen buiten de firewall gebruikt moeten worden, is een extern gegenereerd certificaat vaak beter. Hiervoor bestaat het bestaande artikel Maak een Let’s Encrypt wildcard-certificaat.

Grenzen en belangrijke verschillen

Sophos Firewall maakt Let’s Encrypt-certificaten aan voor specifieke FQDN’s. De integratie is niet hetzelfde als een vrij beheerde ACME-client op een Linux-server.

Belangrijke punten:

  • Het domein moet worden opgegeven als een volledige FQDN.
  • Wildcard-domeinen zijn niet de juiste manier voor het ingebouwde firewallproces.
  • IP-adressen zijn geen geldige certificaatnamen.
  • HTTP-domeinvalidatie moet de firewall kunnen bereiken via poort 80.
  • De firewall maakt tijdelijke webserver- of WAF-componenten aan voor validatie.
  • Na succesvolle uitgifte worden de tijdelijke validatiecomponenten weer verwijderd.
  • Certificaten zijn van korte duur en moeten automatisch worden verlengd.

Sophos introduceerde de feature met SFOS 21. De Avanet-classificatie van de innovaties van destijds kun je vinden in de blogpost Sophos Firewall v21: de belangrijkste innovaties. Verschillende WAF- en Let’s Encrypt-oplossingen worden vermeld in recente release-opmerkingen. Voor productieve omgevingen betekent dit: de firmwarestatus, certificaatstatus en WAF-werking moeten samen worden gecontroleerd, en niet afzonderlijk.

Vereisten

Voordat een certificaat wordt aangemaakt, moeten deze punten worden verduidelijkt:

  • De firewall draait op een SFOS-versie met Let’s Encrypt-ondersteuning.
  • De openbare DNS-naam verwijst naar het WAN-adres of het gehoste adres van de firewall.
  • Poort 80 is extern bereikbaar voor HTTP-validatie.
  • Er is geen actieve DNAT, WAF of andere regel die het validatieverzoek op poort 80 onderschept.
  • De firewall kan zelf op internet communiceren.
  • De datum, tijd en NTP van de firewall zijn correct.
  • Voor latere service is duidelijk of het certificaat wordt gebruikt in WAF, WebAdmin, Portal of SMTP TLS.
  • Een eigenaar controleert regelmatig de vervaldatum van het certificaat, de verlengingsstatus en de betrokken services.

⚠️ Let’s Encrypt is geen oplossing voor onreine publieke toegankelijkheid. Als poort 80 wordt geblokkeerd door een oude DNAT-regel, een andere WAF-regel, een upstream NAT of een providerfilter, kan het certificaatverzoek of de verlenging mislukken.

Certificaatnamen plannenVóór de technische installatie moet worden bepaald welke hostnamen echt nodig zijn. Een goede certificaatplanning voorkomt latere correcties aan WAF-regels, portals en DNS.

Voorbeelden:

hostnaamTypisch gebruik
portal.example.comGebruikersportaal of VPN-portaal
vpn.example.comVPN-portaal of SSL VPN-downloadpad
admin.example.comWebAdmin, indien extern of via beheer FQDN
app.example.comWAF gepubliceerde applicatie
mail.example.comSMTP TLS of e-mailbeveiliging

Als u meerdere applicaties heeft, moet u niet overhaast zijn om alles in één certificaat te stoppen. Een certificaat met veel namen kan praktisch zijn, maar vergroot ook de afhankelijkheden. Wanneer een certificaat wordt vernieuwd, vervangen of teruggezet, worden alle hostnamen die het certificaat bevat, beïnvloed.

Voor WAF-regels is het ook belangrijk dat DNS, certificaat, domeinen in de WAF-regel en SNI overeenkomen. De basisprincipes van WAF worden beschreven in Sophos Firewall WAF: Publiceer webservers veilig.

Maak een Let’s Encrypt-account en certificaat aan

De installatie wordt gedaan in de WebAdmin in het gebied Certificaten. Afhankelijk van de SFOS-versie kan de exacte weergave enigszins variëren, maar het proces blijft vergelijkbaar.

Basisproces:

  1. Open Certificaten.
  2. Open het Let’s Encrypt-gebied of certificaatverzoek.
  3. Bereid een Let’s Encrypt-account voor op de firewall.
  4. Voer de gewenste FQDN’s in.
  5. Selecteer WAN-interface of openbaar adres voor HTTP-validatie.
  6. Controleer of poort 80 van buitenaf naar de firewall verwijst.
  7. Certificaat aanvragen.
  8. Controleer na succesvolle uitgifte onder Certificaten > Certificaten of het certificaat aanwezig en geldig is.

Tijdens de validatie gebruikt de firewall het HTTP-challenge-responsmechanisme. Om dit te doen moeten externe Let’s Encrypt-systemen het validatiepad kunnen bereiken. Als de firewall zich achter een router, load balancer of provider NAT bevindt, moet de omleiding naar de firewall verwijzen.

Gebruik certificaat

Eenmaal uitgegeven bestaat het certificaat alleen nog maar. Het beschermt een dienst pas als deze daar actief is geselecteerd.

Typische opdracht:

dienstWaar te controleren
WAFgetroffen WAF-regel onder Regels en beleid > Firewallregels
WebAdminCertificaat voor de WebAdmin-console in de instellingen voor beheerders-/apparaattoegang
Gebruikersportaal / VPN-portaalPortal- of VPN-portalconfiguratie
Captive Portal/HotspotInlogpagina en portaalcertificaat
SMTP-TLSE-mail- of SMTP TLS-configuratie

Na de opdracht dient u niet alleen op te slaan in WebAdmin, maar de dienst ook extern te testen. Voor WAF-publicaties is een test van buiten uw eigen LAN geschikt omdat interne DNS-view, NAT-loopback of browsercache anders schijnveiligheid kunnen bieden.

Go-live-test

Een succesvolle go-live test bestaat uit DNS, TLS, servicefunctionaliteit en logging.

Controlelijst:

  • De FQDN wordt publiekelijk omgezet naar het verwachte adres.
  • Poort 80 is tijdens validatie toegankelijk voor de firewall.
  • Poort 443 of de gebruikte HTTPS-poort levert het nieuwe certificaat.
  • Browser toont geen certificaatwaarschuwing.
  • Certificaat bevat de verwachte hostnaam.
  • De vervaldatum komt overeen met het nieuw aangemaakte certificaat.
  • WAF-regel, portal of WebAdmin maken echt gebruik van dit certificaat.
  • Log Viewer vertoont geen merkbare WAF-, portal- of certificaatfouten.
  • Voor WAF-releases komt reverseproxy.log overeen met het testtijdstip.

Ook kan met een eenvoudige externe TLS-test worden aangetoond welk certificaat daadwerkelijk wordt afgeleverd. Het is belangrijk om de test van buiten het klantennetwerk uit te voeren, en niet alleen van de interne klant.

Controleer de certificaatketen

Na het overstappen naar een nieuw Let’s Encrypt-certificaat moet niet alleen de algemene naam of SAN-vermelding worden gecontroleerd. Cruciaal is ook of de klant de volledige certificaatketen ziet. Als een browser, app of monitoringsysteem een ​​onvolledige keten meldt, kan de oorzaak liggen aan de certificaatselectie, een oud geïmporteerd certificaat, een onjuiste WAF-regel of een tussenliggende reverse proxy.

In de praktijk moet u deze punten controleren:- Externe HTTPS-test toont verwachte FQDN zonder certificaatwaarschuwing.

  • Het geleverde certificaat is in werkelijkheid het nieuwe Let’s Encrypt-certificaat van de Sophos Firewall.
  • De certificaatketen is compleet en wordt niet vervangen door een oud backend- of proxycertificaat.
  • WAF-regel, portal of WebAdmin gebruiken hetzelfde certificaat dat zichtbaar is in de externe test.
  • Als er sprake is van een upstream load balancer, router of reverse proxy, wordt daar geen ander certificaat afgeleverd.

Deze controle is vooral belangrijk als hetzelfde domein eerder via een andere publicatie liep, of als meerdere WAF-regels, DNAT-regels of externe proxy’s dezelfde hostnaam gebruiken. Anders zie je in WebAdmin een geldig certificaat, terwijl klanten van buitenaf alsnog een andere of onvolledige keten ontvangen.

Monitor de vernieuwing in het bedrijf

Let’s Encrypt-certificaten zijn van korte duur. De kracht van de integratie is dat de firewall de vernieuwing automatisch kan uitvoeren. Toch moet je het proces niet blindelings laten verlopen.

Deze punten moeten regelmatig worden gecontroleerd tijdens een bedrijfsaudit:

  • Draait de firewall op een huidige, stabiele SFOS-versie?
  • Is het certificaat nog geldig?
  • Was de automatische verlenging succesvol?
  • Is poort 80 nog steeds toegankelijk voor validatie?
  • Zijn er nieuwe DNAT- of WAF-regels die de validatie kunnen blokkeren?
  • Tonen gebruikers of monitoring certificaatwaarschuwingen?
  • Zijn er WAF- of portalfouten in de logviewer?

Deze controle is vooral belangrijk na firewall-upgrades, WAF-wijzigingen, providerwijzigingen, DNS-wijzigingen en wijzigingen aan upstream-routers of reverse proxy’s.

Typische fouten

FoutafbeeldingWaarschijnlijke oorzaakexamen
Certificaat is niet gemaaktFQDN verwijst niet naar de firewall of poort 80 is niet bereikbaarControleer de openbare DNS-resolutie en externe poorttest
Certificaataanvraag mislukt na WAF-wijzigingbestaande regel onderschept HTTP-validatieControleer DNAT-, WAF- en firewallregels op poort 80
Certificaat is aangemaakt, maar browser toont oud certificaatService gebruikt een ander certificaatControleer WAF-regel, portal of WebAdmin-certificaatselectie
Browser- of monitoringrapporten onvolledige certificaatketenVerkeerd certificaat actief, keten wordt niet volledig geleverd of upstream proxy levert een ander certificaatVergelijk externe TLS-test, WAF-regel, portal mapping en mogelijke proxy’s
WAF-applicatie werkt niet goed na certificaatwijzigingSNI, domein, backendhost of beveiligingsprofiel komen niet overeenControleer WAF-regel, domeinen, reverseproxy.log en backend-logboeken
Verlengen werkt nietHet validatiepad is veranderd sinds de creatieControleer DNS, poort 80, upstream NAT en firmwarestatus
Control Center toont WAF- of certificaatwaarschuwingoude WAF-regel, WAF-herstart of certificaatstatus problematischControleer de logviewer, WAF-regels en certificaatlijst

Als de WAF en het certificaat samen opvallen, moet je niet alleen naar het certificaat kijken. WAF-matching, gehost adres, domeinen, SNI en backend-toegankelijkheid behoren tot dezelfde foutketen.

Plan terugdraaien

Voor publieke portals en WAF-applicaties moet het duidelijk zijn hoe je terug kunt gaan voordat je een certificaat wijzigt.

Nuttige voorbereiding:

  • verwijder het vorige certificaat niet onmiddellijk
  • Documenteer de getroffen WAF-regel en portalconfiguratie
  • Zorg ervoor dat er externe testtoegang beschikbaar is
  • Ken DNS TTL als hostnamen worden gewijzigd
  • Selecteer onderhoudsvensters voor kritieke portals
  • Bereid gebruikerscommunicatie voor als een portal wordt getroffen

Als het nieuwe certificaat is aangemaakt, maar een dienst werkt vervolgens niet goed, dan kunt u meestal het vorige certificaat opnieuw selecteren. Als de oorzaak echter een geblokkeerde HTTP-validatie is, helpt een certificaatrollback alleen op de korte termijn. Dan moet het validatiepad gecorrigeerd worden, anders mislukt de volgende verlenging opnieuw.

Controlelijst- FQDN’s en services gedocumenteerd.

  • Openbare DNS-resolutie gecontroleerd.
  • Poort 80 gecontroleerd op HTTP-validatie.
  • Conflicten met DNAT, WAF of upstream NAT gecontroleerd.
  • Laten we het certificaat versleutelen gemaakt.
  • Certificaat toegewezen aan de juiste dienst.
  • Externe HTTPS-test uitgevoerd.
  • Logviewer en WAF reverseproxy.log aangevinkt.
  • Vernieuwingsverantwoordelijkheid en monitoring gedefinieerd.
  • Oud certificaat pas verwijderd na succesvolle bediening.

Veelgestelde vragen

Kan Sophos Firewall Let's Encrypt certificaten automatisch vernieuwen?

Ja. De firewall kan Let’s Encrypt-certificaten automatisch vernieuwen. Niettemin dient u regelmatig de vervaldatum, verlengingsstatus, poort 80-toegankelijkheid en betrokken services te controleren.

Ondersteunt Sophos Firewall Let's Encrypt wildcard-certificaten?

Voor wildcard-certificaten is het ingebouwde firewallproces niet de juiste keuze. Als een wildcardcertificaat vereist is, moet dit extern worden aangemaakt en vervolgens worden geïmporteerd.

Waarom heeft Let's Encrypt poort 80 nodig?

De Sophos firewall-integratie maakt gebruik van HTTP-domeinvalidatie. Hiervoor moet het validatiepad toegankelijk zijn vanaf de buitenkant van de firewall via poort 80.

Kunt u een Let's Encrypt-certificaat gebruiken voor WAF?

Ja. WAF is een van de typische toepassingen. Het is belangrijk dat het certificaat, de FQDN, de domeinen in de WAF-regel, het gehoste adres en de SNI overeenkomen.

Wat controleer je als de verlenging mislukt?

Controleer eerst DNS, poort 80, upstream NAT, DNAT of WAF-conflicten, certificaatstatus en logviewer. Voor WAF-publicaties is reverseproxy.log ook relevant.