Hiện tại firmware mới của Firewall Sophos – SFOS v21 đã hỗ trợ tính năng Let’s Encrypt CA. Let’s Encrypt là gì? - Let’s Encrypt là một tổ chức cấp chứng chỉ mở phi lợi nhuận do Internet Research Group (ISRG) điều hành, cung cấp chứng chỉ X.509 để mã hóa TLS miễn phí. - Let’s Encrypt tạo ra các chứng chỉ miễn phí và dễ dàng nhưng đi kèm với sự bất tiện là chỉ có hiệu lực trong 90 ngày. Điều này có nghĩa là chúng yêu cầu phải cấp mới thường xuyên hơn các chứng chỉ khác, thường có thời hạn là 12, 24 hoặc 36 tháng. Hướng dẫn sử dụng chứng chỉ Let’s Encrypt trên Firewall Sophos XGS: - Kể từ phiên bản SFOS v21, Firewall Sophos XGS có thể kích hoạt đăng ký Let’s Encrypt trực tiếp và giúp tự động gia hạn trước ngày hết hạn 30 ngày. - Chứng chỉ Let’s Encrypt được hỗ trợ cho nhiều dịch vụ của tường lửa như: Web Admin Console, WAF, Email SMTP TLS, Hotspot sign-in pages, Portals for: User, Captive, VPN, and SPX. Bước 1: Đăng ký Firewall Sophos với Let’s Encrypt - Để đăng ký Firewall Sophos với Let’s Encrypt, vào GUI đến trang Certificates -> Let’s Encrypt. - Trong mục Let’s Encrypt™ bấm vào Register account. - Sau khi đăng ký thành công firewall sẽ hiện thông báo Registered with Let’s Encrypt. - Sau đó bạn sẽ tạo một Request Let’s Encrypt certificates. Bước 2. Tạo chứng chỉ với Let’s Encrypt - Vào tiếp trang Certificates > click Add - Bên trong phần Add, mục Action chọn Request Let’s Encrypt certificate. - Sau khi đặt tên cho Cert mới này, bạn nhập vào các domain cần request vào mục Domain (theo mẫu FQDNs), không hỗ trợ IP và wildcard domain (*.example.domain). Có thể thêm đến 50 domain và phải phân giải được từ Internet. - Mục Hosted address chọn interface WAN có IP public mà các domain trên được phân giải thành. |Ghi chú: Nếu thiết bị firewall ở sau NAT, thiết bị ngoài phải DNAT port 80 vào IP WAN của firewall. - Sau khi bấm Save, tại trang Certificates sẽ hiện CSR vừa được tạo với Type là Let’s Encrypt CSR - Sau vài phút Let’s Encrypt sẽ xác thực CSR. Sau khi xác thực thành công, cột Trusted sẽ hiện tick xanh, thông tin về thời hạn của chứng chỉ cũng hiển thị tại Valid from và Valid until. |Chú ý! Không thể chỉnh sửa CSR nếu các domain không hợp lệ hoặc không tồn tại. Trong trường hợp này, bạn phải xóa CSR và tạo một CSR mới. Bước 3. Sử dụng chứng chỉ vào các dịch vụ của Firewall - Chứng chỉ Let’s Encrypt được hỗ trợ cho nhiều dịch vụ của tường lửa như: Web Admin Console, WAF, Email SMTP TLS, Hotspot sign-in pages, Portals for: User, Captive, VPN, and SPX. - Dưới đây là ví dụ dùng Let’s Encrypt certificate cho Web Admin Console và WAF. Các dịch vụ khác có thể làm tương tự. - Với Web Admin Console. Vào trang Admin and user settings thuộc menu Administration. - Trong phần Admin console and end-user interaction, mục Certificate, chọn certificate đã tạo ở Bước 2. - Bấm Apply. - Thử truy cập trang Web Admin Console bằng tên miền, sẽ không thấy cảnh báo chứng chỉ của trình duyệt như trước. Kiểm tra chứng chỉ được Issued By : Let’s Encrypt. - Vậy là chứng chỉ của Web Admin Console của firewall Sophos XGS đã được xác thực bởi Let’s Encrypt và được tin tưởng bởi các trình duyệt. - Đối với chức năng Web Server Protection (WAF). Trong phần Hosted server tick chọn HTTPS, mục HTTPS certificate chọn certificate đã tạo. - Phần Domains sẽ tự động liệt kê các domain ta đã thêm trong CSR trước đó. Chỉnh sửa theo yêu cầu > click Save. - Kiểm tra dịch vụ web mà bạn đã public ra ngoài được mã hóa TLS và được issued bởi Let’s Encrypt. - Bạn đã biết cách sử dụng dịch vụ Let’s Encrypt™ CA để tạo chứng chỉ được tin cậy cho các domain dùng cho các dịch vụ trên Firewall Sophos XGS. --- Cám ơn bạn đã xem bài viết --- ***
