Vorwort
In diesem Beitrag findest du eine Step-by-Step Anleitung zur Konfiguration eines Let´s Encrypt Zertifikates für eine Sophos XG Firewall Appliance.
Dieses Zertifikat kann nicht für eine SSLVPN Verbindung genutzt werden.
Voraussetzungen
- Sophos XG Firewall
- Empfohlen siehe: Sophos XG Grundinstallation
- DNS-Nameserver der eigenen Domain via Cloudflare
- VM, LXC Container oder Host zum ausführen eines Cron-Jobs
- Erneuerung und hochladen des Zertifikates via API zur Firewall Appliance
Installation ACME
Im ersten Schritt ist ACME zu installieren um das Zertifikat zu beziehen.
1
2
3
4
apt install git
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
1
export CF_Token=APITOKEN CLOUDFLARE
Hier kann ein Cloudflare API Token erstellt werden.
Bezug Wildcard Zertifikat via Let`s Encrypt
1
acme.sh --issue --dns dns_cf --ocsp-must-staple --keylength 4096 -d DOMAIN.de -d '*.DOMAIN.de'
Erstellung API User Sophos XG
Zum Upload eines Zertifikates wird ein Service Benutzer benötigt, welcher wie folgt angelegt werden kann.
Upload des Zertifikates via Skript
In den folgenden Schritten ist das zuvor ertsellte Zertifikat mittels eines Skriptes über die API zur Appliance hochzuladen.
1
2
3
4
mkdir le2xg
cd le2xg
touch le2xg.sh
touch xgxml.txt
1
2
nano le2xg.sh
nano xgxml.txt
le2xg.sh kann hier heruntergeladen werden.
xgxml.txt kann hier heruntergeladen werden.
1
sh ./le2xg.sh
Das Zertifikat ist nun auf der Appliance verfügbar.
Automatische Erneuerung und Upload zur Appliance
Zum Schluss wird mit den folgenden Schritten die automatische Erneuerung des Zertifikates und der Upload via Crontab einzurichten.
1
crontab -e
1
2
25 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
35 0 * * * sh /le2xg/le2xg.sh > /dev/null