Home Sophos XG Let´s Encrypt Zertifikat inkl. automatischer Erneuerung
Beiträge
Abbrechen

Sophos XG Let´s Encrypt Zertifikat inkl. automatischer Erneuerung

Vorwort

In diesem Beitrag findest du eine Step-by-Step Anleitung zur Konfiguration eines Let´s Encrypt Zertifikates für eine Sophos XG Firewall Appliance.

Dieses Zertifikat kann nicht für eine SSLVPN Verbindung genutzt werden.

Voraussetzungen

  • Sophos XG Firewall
  • DNS-Nameserver der eigenen Domain via Cloudflare
  • VM, LXC Container oder Host zum ausführen eines Cron-Jobs
    • Erneuerung und hochladen des Zertifikates via API zur Firewall Appliance

Installation ACME

Im ersten Schritt ist ACME zu installieren um das Zertifikat zu beziehen.

1
2
3
4
apt install git
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
1
export CF_Token=APITOKEN CLOUDFLARE

Hier kann ein Cloudflare API Token erstellt werden.

20220321_000050.png

20220321_000051.png

20220321_000052.png

Bezug Wildcard Zertifikat via Let`s Encrypt

1
acme.sh --issue --dns dns_cf --ocsp-must-staple --keylength 4096 -d DOMAIN.de -d '*.DOMAIN.de'

Erstellung API User Sophos XG

Zum Upload eines Zertifikates wird ein Service Benutzer benötigt, welcher wie folgt angelegt werden kann.

20220322_000135.png

20220322_000136.png

20220322_000138.png

Upload des Zertifikates via Skript

In den folgenden Schritten ist das zuvor ertsellte Zertifikat mittels eines Skriptes über die API zur Appliance hochzuladen.

1
2
3
4
mkdir le2xg
cd le2xg
touch le2xg.sh
touch xgxml.txt
1
2
nano le2xg.sh
nano xgxml.txt

le2xg.sh kann hier heruntergeladen werden.

xgxml.txt kann hier heruntergeladen werden.

1
sh ./le2xg.sh

Das Zertifikat ist nun auf der Appliance verfügbar.

20220322_000155.png

Automatische Erneuerung und Upload zur Appliance

Zum Schluss wird mit den folgenden Schritten die automatische Erneuerung des Zertifikates und der Upload via Crontab einzurichten.

1
crontab -e
1
2
25 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
35 0 * * * sh /le2xg/le2xg.sh > /dev/null
Dieser Beitrag ist vom Autor lizensiert unter CC BY 4.0 .

Sophos XG Grundinstallation

Sophos XG Konfiguration SSLVPN