Hướng dẫn sử dụng Let’s Encrypt™ CA trên Sophos Firewall
27/10/2024 21:11 516 lần Chuyên mục: Bài viết kỹ thuật
Hệ điều hành mới ra mắt của Sophos Firewall – SFOS v21 đem đến nhiều cải tiến mới. Một trong số đó là hỗ trợ Let’s Encrypt™ CA.
1. Let’s Encrypt™
Let’s Encrypt là một tổ chức cấp chứng chỉ mở phi lợi nhuận do Internet Research Group (ISRG) điều hành, cung cấp chứng chỉ X.509 để mã hóa TLS miễn phí.
Let’s Encrypt tạo ra các chứng chỉ miễn phí và dễ dàng nhưng đi kèm với sự bất tiện là chỉ có hiệu lực trong 90 ngày. Điều này có nghĩa là chúng yêu cầu phải cấp mới thường xuyên hơn các chứng chỉ khác, thường có thời hạn là 12, 24 hoặc 36 tháng.
2. Hướng dẫn sử dụng chứng chỉ Let’s Encrypt trên Sophos Firewall
Với phiên bản SFOS v21, Sophos Firewall có thể kích hoạt đăng ký Let’s Encrypt và giúp tự động gia hạn trước ngày hết hạn 30 ngày.
Chứng chỉ Let’s Encrypt được hỗ trợ cho nhiều dịch vụ của tường lửa như: Web Admin Console, WAF, Email SMTP TLS, Hotspot sign-in pages, Portals for: User, Captive, VPN, and SPX.
2.1. Đăng ký Sophos Firewall với Let’s Encrypt
Để đăng ký Sophos Firewall với Let’s Encrypt ta vào phần Certificates -> Let’s Encrypt™.
Trong mục Let’s Encrypt™ bấm vào Register account.
Sau khi đăng ký thành công firewall sẽ hiện thông báo Registered with Let’s Encrypt.
Sau đó ta sẽ tạo Request Let’s Encrypt certificates.
2.2. Tạo chứng chỉ với Let’s Encrypt
Tại trang Certificates -> bấm Add
Bên trong phần Add, mục Action chọn Request Let’s Encrypt certificate.
Sau khi đặt tên ta điền các domain cần request vào mục domain ở dạng FQDNs, không hỗ trợ IP và wildcard domain (*.example.domain). Có thể thêm 50 domain và phải phân giải được từ Internet.
Mục Hosted address chọn interface WAN có IP public mà các domain trên được phân giải thành.
Ghi chú: Nếu thiết bị firewall ở sau NAT, thiết bị ngoài phải DNAT port 80 vào IP WAN của firewall.
Sau khi bấm Save, tại trang Certificates sẽ hiện CSR ta vừa tạo với Type là Let’s Encrypt CSR
Sau vài phút Let’s Encrypt sẽ xác thực CSR. Sau khi xác thực thành công, cột Trusted sẽ hiện tick xanh, thông tin về thời hạn của chứng chỉ cũng hiển thị tại Valid from và Valid until.
Chú ý! Không thể chỉnh sửa CSR nếu các domain không hợp lệ hoặc không tồn tại. Trong trường hợp này, bạn phải xóa CSR và tạo một CSR mới.
2.3. Sử dụng chứng chỉ vào các dịch vụ của Firewall
Chứng chỉ Let’s Encrypt được hỗ trợ cho nhiều dịch vụ của tường lửa như: Web Admin Console, WAF, Email SMTP TLS, Hotspot sign-in pages, Portals for: User, Captive, VPN, and SPX.
Dưới đây là ví dụ dùng Let’s Encrypt certificate cho Web Admin Console và WAF. Các dịch vụ khác có thể làm tương tự.
Với Web Admin Console. Ta vào menu Admin and user settings trong menu Administration.
Trong phần Admin console and end-user interaction, mục Certificate, chọn certificate đã tạo ở Phần 2.
Bấm Apply.
Thử truy cập trang Web Admin Console bằng tên miền, sẽ không thấy cảnh báo chứng chỉ của trình duyệt như trước. Kiểm tra chứng chỉ Issued bởi Let’s Encrypt.
Vậy là chứng chỉ của Web Admin Console của firewall đã được xác thực bởi Let’s Encrypt và được tin tưởng bởi các trình duyệt.
Đối với chức năng Web Server Protection (WAF). Trong phần Hosted server tick chọn HTTPS, mục HTTPS certificate chọn certificate đã tạo.
Phần Domains sẽ tự động liệt kê các domain ta đã thêm trong CSR trước đó. Chỉnh sửa theo yêu cầu.
Bấm Save.
Kiểm tra trang web đã được public mã hóa TLS và được issued bởi Let’s Encrypt.
Kết thúc hướng dẫn, bạn đã biết cách sử dụng Let’s Encrypt™ CA để tạo chứng chỉ được tin cậy cho các domain dùng cho các dịch vụ trên Sophos Firewall.
Tham khảo:
- Video hướng dẫn: Sophos Firewall v21: Let’s Encrypt™ – Sophos Techvids
- Administrator Guide: Let’s Encrypt™ certificate authority (CA) – Sophos Firewall
- Sophos Firewall: Sophos Firewall (XGS Series) – DASS
