Przejdz do tresci
Avanet

Skonfiguruj certyfikaty Sophos Firewall Let's Encrypt

Sophos Firewall

Dzięki Zaszyfrujmy certyfikaty w zaporze Sophos możesz tworzyć publiczne certyfikaty HTTPS bezpośrednio w zaporze sieciowej i automatycznie je odnawiać. Jest to szczególnie przydatne w przypadku publikacji WAF, WebAdmin, Portalu użytkowników, Portalu VPN, Portalu przechwytującego, Portalu SPX, stron logowania do hotspotów i konfiguracji SMTP TLS.

Funkcja ogranicza ręczną pracę związaną z certyfikatami, ale nie zastępuje odpowiedniego planowania. DNS, dostępność publiczna, port 80, nazwy certyfikatów, reguły WAF, dostęp do portalu i monitorowanie muszą być zgodne. Jeśli weryfikacja lub odnowienie nie powiedzie się niezauważenie, portal lub opublikowana aplikacja internetowa może nagle zakończyć się niepowodzeniem i wyświetleniem ostrzeżenia o certyfikacie, mimo że reguła WAF jest w rzeczywistości poprawna.

Do faktycznej publikacji serwera WWW na początek pasuje Sophos Firewall WAF: Bezpiecznie publikuj serwery internetowe. W tym artykule skupiono się na stronie certyfikatu i działaniu Let’s Encrypt na zaporze sieciowej.

Kiedy Let’s Encrypt ma sens na zaporze ogniowej

Wbudowana metoda Let’s Encrypt ma sens, jeśli Sophos Firewall sam świadczy usługę publiczną lub stoi przed nią jako odwrotne proxy.

UżyjTypowe zastosowanie
Ochrona WAF / serwera WWWpublicznie dostępne aplikacje HTTPS z własną nazwą FQDN
Administrator siecidostęp administracyjny z czystym certyfikatem, jeśli WebAdmin jest używany zewnętrznie lub wewnętrznie poprzez FQDN
Portal użytkownika / Portal VPNUżytkownicy ładują konfiguracje VPN lub logują się poprzez portal
Portal przechwytujący/hotspotUżytkownicy widzą stronę logowania HTTPS bez ostrzeżenia o certyfikacie
SMTP TLSKonfiguracja ochrony poczty lub SMTP TLS z certyfikatem publicznym

Nie każda usługa pasuje do tej ścieżki. W przypadku certyfikatów z symbolami wieloznacznymi lub certyfikatów, które mają być używane w wielu systemach poza zaporą sieciową, często lepszym rozwiązaniem jest certyfikat wygenerowany zewnętrznie. Służy do tego istniejący artykuł Utwórz certyfikat wieloznaczny Let’s Encrypt.

Ograniczenia i ważne różnice

Sophos Firewall tworzy certyfikaty Let’s Encrypt dla określonych nazw FQDN. Integracja nie jest tym samym, co swobodnie zarządzany klient ACME na serwerze Linux.

Ważne punkty:

  • Domena musi być określona jako pełna nazwa FQDN.
  • Domeny wieloznaczne nie są właściwą metodą dla wbudowanego procesu zapory ogniowej.
  • Adresy IP nie są prawidłowymi nazwami certyfikatów.
  • Weryfikacja domeny HTTP musi mieć możliwość dotarcia do zapory sieciowej przez port 80.
  • Zapora tworzy tymczasowy serwer WWW lub komponenty WAF w celu sprawdzenia.
  • Po pomyślnym wydaniu tymczasowe komponenty walidacyjne są ponownie usuwane.
  • Certyfikaty są krótkotrwałe i muszą być odnawiane automatycznie.

Sophos wprowadził tę funkcję w SFOS 21. Klasyfikację Avanet ówczesnych innowacji można znaleźć w poście na blogu Sophos Firewall v21: najważniejsze innowacje. W uwagach do najnowszego wydania wymieniono kilka poprawek WAF i Let’s Encrypt. W środowiskach produkcyjnych oznacza to: status oprogramowania sprzętowego, status certyfikatu i działanie WAF należy sprawdzać łącznie, a nie osobno.

Wymagania

Przed utworzeniem certyfikatu należy wyjaśnić następujące kwestie:

  • Zapora działa w wersji SFOS z obsługą Let’s Encrypt.
  • Publiczna nazwa DNS wskazuje adres WAN lub adres hostowany zapory.
  • Port 80 może być osiągalny zewnętrznie w celu sprawdzenia poprawności protokołu HTTP.
  • Nie ma aktywnej reguły DNAT, WAF ani innej reguły przechwytującej żądanie walidacji na porcie 80.
  • Zapora sieciowa może sama komunikować się w Internecie.
  • Data, godzina i NTP zapory są prawidłowe.
  • W przypadku późniejszej usługi jest jasne, czy certyfikat jest używany w WAF, WebAdmin, Portal czy SMTP TLS.
  • Właściciel regularnie sprawdza datę wygaśnięcia certyfikatu, status odnowienia i usługi, których to dotyczy.

⚠️ Let’s Encrypt nie jest rozwiązaniem problemu nieczystej dostępności publicznej. Jeśli port 80 jest zablokowany przez starą regułę DNAT, inną regułę WAF, nadrzędny NAT lub filtr dostawcy, żądanie certyfikatu lub odnowienie może się nie powieść.

Zaplanuj nazwy certyfikatówPrzed konfiguracją techniczną należy określić, które nazwy hostów są naprawdę potrzebne. Dobre planowanie certyfikatów zapobiega późniejszym poprawkom reguł WAF, portali i DNS.

Przykłady:

nazwa hostaTypowe zastosowanie
portal.example.comPortal użytkownika lub portal VPN
vpn.example.comŚcieżka pobierania portalu VPN lub protokołu SSL VPN
admin.example.comWebAdmin, jeśli jest używany zewnętrznie lub poprzez zarządzanie FQDN
app.example.comWAF opublikował aplikację
mail.example.comSMTP TLS lub ochrona poczty

Jeśli masz wiele aplikacji, nie spiesz się z pakowaniem wszystkiego w jeden certyfikat. Certyfikat o wielu nazwach może być praktyczny, ale zwiększa także zależności. Odnowienie, wymiana lub przywrócenie certyfikatu ma wpływ na wszystkie zawarte w nim nazwy hostów.

W przypadku reguł WAF ważne jest również, aby DNS, certyfikat, domeny w regule WAF i SNI były zgodne. Podstawy WAF są opisane w Sophos Firewall WAF: Bezpiecznie publikuj serwery internetowe.

Utwórz konto i certyfikat Let’s Encrypt

Konfigurację przeprowadza się w panelu WebAdmin w obszarze Certyfikaty. W zależności od wersji SFOS dokładna reprezentacja może się nieznacznie różnić, ale proces pozostaje podobny.

Podstawowy proces:

  1. Otwórz Certyfikaty.
  2. Otwórz obszar Let’s Encrypt lub żądanie certyfikatu.
  3. Przygotuj konto Let’s Encrypt na zaporze sieciowej.
  4. Wprowadź żądane nazwy FQDN.
  5. Wybierz interfejs WAN lub adres publiczny do sprawdzania poprawności HTTP.
  6. Sprawdź czy port 80 wskazuje na firewall z zewnątrz.
  7. Poproś o certyfikat.
  8. Po pomyślnym wydaniu sprawdź w Certyfikaty > Certyfikaty, czy certyfikat jest obecny i ważny.

Podczas sprawdzania zapora wykorzystuje mechanizm HTTP wyzwanie-odpowiedź. Aby to zrobić, zewnętrzne systemy Let’s Encrypt muszą być w stanie dotrzeć do ścieżki walidacji. Jeśli zapora sieciowa znajduje się za routerem, modułem równoważenia obciążenia lub translacją NAT dostawcy, przekierowanie musi wskazywać na zaporę.

Użyj certyfikatu

Raz wydany certyfikat istnieje tylko. Chroni usługę tylko wtedy, gdy została tam aktywnie wybrana.

Typowe zadanie:

obsługaGdzie sprawdzić
WAFdotknięta reguła WAF w obszarze Zasady i zasady > Reguły zapory sieciowej
Administrator sieciCertyfikat dla konsoli WebAdmin w ustawieniach związanych z administratorem/dostępem do urządzenia
Portal użytkownika / Portal VPNKonfiguracja portalu lub portalu VPN
Portal przechwytujący/hotspotStrona logowania i certyfikat portalu
SMTP TLSKonfiguracja poczty e-mail lub SMTP TLS

Po zadaniu należy nie tylko zapisać w WebAdmin, ale także przetestować usługę zewnętrznie. W przypadku publikacji WAF odpowiedni jest test spoza własnej sieci LAN, ponieważ wewnętrzny widok DNS, pętla zwrotna NAT lub pamięć podręczna przeglądarki mogą w przeciwnym razie zapewnić fałszywe bezpieczeństwo.

Test na żywo

Pomyślny test uruchomienia obejmuje DNS, TLS, funkcjonalność usługi i rejestrowanie.

Lista kontrolna:

— Nazwa FQDN jest publicznie rozpoznawana jako oczekiwany adres.

  • Port 80 jest dostępny dla zapory ogniowej podczas sprawdzania poprawności.
  • Port 443 lub używany port HTTPS dostarcza nowy certyfikat.
  • Przeglądarka nie wyświetla ostrzeżenia o certyfikacie.
  • Certyfikat zawiera oczekiwaną nazwę hosta.
  • Data ważności jest zgodna z nowo utworzonym certyfikatem.
  • Reguła WAF, portal lub WebAdmin naprawdę używa tego certyfikatu.
  • Przeglądarka dziennika nie pokazuje żadnych zauważalnych błędów WAF, portalu ani certyfikatów.
  • W przypadku wydań WAF reverseproxy.log odpowiada czasowi testowania.

Prosty zewnętrzny test TLS może również wykazać, który certyfikat jest faktycznie dostarczony. Ważne jest, aby przeprowadzić test spoza sieci klienta, a nie tylko od klienta wewnętrznego.

Sprawdź łańcuch certyfikatów

Po przejściu na nowy certyfikat Let’s Encrypt należy sprawdzić nie tylko nazwę zwyczajową czy wpis SAN. Istotne jest także to, czy klient widzi pełny łańcuch certyfikatów. Jeśli przeglądarka, aplikacja lub system monitorowania zgłosi niekompletny łańcuch, przyczyną może być wybór certyfikatu, stary zaimportowany certyfikat, nieprawidłowa reguła WAF lub pośrednie odwrotne proxy.

W praktyce należy sprawdzić następujące punkty:— Zewnętrzny test HTTPS pokazuje oczekiwaną nazwę FQDN bez ostrzeżenia o certyfikacie.

  • Dostarczony certyfikat to tak naprawdę nowy certyfikat Let’s Encrypt z zapory Sophos.
  • Łańcuch certyfikatów jest kompletny i nie został zastąpiony starym certyfikatem zaplecza ani serwerem proxy.
  • Reguła WAF, portal lub WebAdmin używają tego samego certyfikatu, który jest widoczny w teście zewnętrznym.
  • Jeśli używany jest moduł równoważenia obciążenia nadrzędnego, router lub odwrotne proxy, żaden inny certyfikat nie zostanie tam dostarczony.

To sprawdzenie jest szczególnie ważne, jeśli ta sama domena była wcześniej przeglądana w innej publikacji lub jeśli wiele reguł WAF, reguł DNAT lub zewnętrznych serwerów proxy używa tej samej nazwy hosta. W przeciwnym razie w WebAdmin zobaczysz ważny certyfikat, a klienci z zewnątrz nadal otrzymają inny lub niekompletny łańcuch.

Monitoruj odnowę w firmie

Certyfikaty Let’s Encrypt są krótkotrwałe. Siła integracji polega na tym, że zapora sieciowa może automatycznie przeprowadzać odnowienie. Niemniej jednak nie należy pozwalać, aby proces przebiegał na ślepo.

Punkty te należy regularnie sprawdzać podczas audytu firmy:

  • Czy zapora sieciowa działa w aktualnej, stabilnej wersji SFOS?
  • Czy certyfikat jest nadal ważny?
  • Czy automatyczne odnowienie zakończyło się pomyślnie?
  • Czy port 80 jest nadal dostępny do sprawdzenia?
  • Czy istnieją nowe zasady DNAT lub WAF, które mogą blokować walidację?
  • Czy użytkownicy lub monitorowanie pokazują ostrzeżenia dotyczące certyfikatów?
  • Czy w przeglądarce logów występują błędy WAF lub portalu?

Ta kontrola jest szczególnie ważna po aktualizacjach zapory ogniowej, zmianach WAF, zmianach dostawców, zmianach DNS i zmianach w routerach nadrzędnych lub zwrotnych serwerach proxy.

Typowe błędy

Obraz błęduPrawdopodobna przyczynaegzamin
Certyfikat nie został utworzonyFQDN nie wskazuje na zaporę ogniową lub port 80 jest nieosiągalnySprawdź rozdzielczość publicznego DNS i test portu zewnętrznego
Żądanie certyfikatu kończy się niepowodzeniem po zmianie WAFistniejąca reguła przechwytuje walidację HTTPSprawdź reguły DNAT, WAF i Firewall na porcie 80
Certyfikat został utworzony, ale przeglądarka pokazuje stary certyfikatSerwis korzysta z innego certyfikatuSprawdź regułę WAF, portal lub wybór certyfikatu WebAdmin
Przeglądarka lub raporty monitorujące niekompletny łańcuch certyfikatówAktywny jest nieprawidłowy certyfikat, łańcuch nie jest dostarczony w całości lub serwer proxy dostarcza inny certyfikatPorównaj zewnętrzny test TLS, regułę WAF, mapowanie portalu i możliwe serwery proxy
Aplikacja WAF nie działa poprawnie po zmianie certyfikatuSNI, domena, host zaplecza lub profil ochrony nie pasują doSprawdź regułę WAF, domeny, reverseproxy.log i logi backendu
Odnowienie nie działaŚcieżka walidacji uległa zmianie od czasu utworzeniaSprawdź DNS, port 80, NAT nadrzędny i stan oprogramowania
Centrum sterowania wyświetla ostrzeżenie WAF lub certyfikatstara reguła WAF, problem z ponownym uruchomieniem WAF lub statusem certyfikatuSprawdź przeglądarkę logów, reguły WAF i listę certyfikatów

Jeśli plik WAF i certyfikat wyraźnie się wyróżniają, nie należy po prostu patrzeć na certyfikat. Dopasowanie WAF, adres hostowany, domeny, SNI i dostępność zaplecza należą do tego samego łańcucha błędów.

Planuj wycofanie

W przypadku portali publicznych i aplikacji WAF powinno być jasne, jak wrócić przed zmianą certyfikatu.

Przydatne przygotowanie:

  • nie usuwaj od razu poprzedniego certyfikatu — Udokumentuj regułę WAF i konfigurację portalu, których dotyczy problem
  • Zapewnij dostęp do testów zewnętrznych
  • Poznaj DNS TTL, jeśli nazwy hostów zostaną zmienione
  • Wybierz okna konserwacji dla krytycznych portali
  • Przygotuj komunikację z użytkownikiem, jeśli problem dotyczy portalu

Jeśli nowy certyfikat został utworzony, ale usługa działa niepoprawnie, zazwyczaj można ponownie wybrać poprzedni certyfikat. Jeśli jednak przyczyną jest zablokowana weryfikacja protokołu HTTP, wycofanie certyfikatu pomoże tylko na krótką metę. Następnie należy poprawić ścieżkę walidacji, w przeciwnym razie kolejne odnowienie ponownie się nie powiedzie.

Lista kontrolna- Udokumentowane nazwy FQDN i usługi.

  • Sprawdzono rozdzielczość publicznego DNS.
  • Port 80 sprawdzony pod kątem sprawdzania poprawności HTTP.
  • Sprawdzono konflikty z DNAT, WAF lub wcześniejszym NAT.
  • Utworzono certyfikat Let’s Encrypt.
  • Certyfikat przypisany do właściwej usługi.
  • Przeprowadzono zewnętrzny test HTTPS.
  • Sprawdzono przeglądarkę logów i WAF reverseproxy.log.
  • Zdefiniowano odpowiedzialność i monitorowanie odnowienia.
  • Stary certyfikat został usunięty dopiero po pomyślnej operacji.

Często zadawane pytania

Czy Sophos Firewall Let's Encrypt może automatycznie odnawiać certyfikaty?

Tak. Zapora sieciowa może automatycznie odnawiać certyfikaty Let’s Encrypt. Niemniej jednak należy regularnie sprawdzać datę wygaśnięcia, status odnowienia, dostępność portu 80 i usługi, których to dotyczy.

Czy Sophos Firewall Let's Encrypt obsługuje certyfikaty z symbolami wieloznacznymi?

W przypadku certyfikatów wieloznacznych wbudowany proces zapory sieciowej nie jest najlepszym rozwiązaniem. Jeśli wymagany jest certyfikat wieloznaczny, należy go utworzyć zewnętrznie, a następnie zaimportować.

Dlaczego Let's Encrypt potrzebuje portu 80?

Integracja z zaporą sieciową Sophos wykorzystuje weryfikację domeny HTTP. W tym celu ścieżka walidacji musi być dostępna z zewnątrz firewalla poprzez port 80.

Czy możesz użyć certyfikatu Let's Encrypt dla WAF?

Tak. WAF jest jednym z typowych zastosowań. Ważne jest, aby certyfikat, nazwa FQDN, domeny w regule WAF, adres hostowany i SNI były zgodne.

Co sprawdzasz, jeśli odnowienie się nie powiedzie?

Najpierw sprawdź DNS, port 80, konflikty NAT, DNAT lub WAF, stan certyfikatu i przeglądarkę dzienników. W przypadku publikacji WAF istotne jest również reverseproxy.log.