Thay thế certificate cho Sophos XG Firewall

Sophos XG Firewall tự động tạo certificate theo cơ chế Self Signed. Tuy nhiên trong thực tế nhiều người muốn thay thế chứng chỉ số này bằng chứng chỉ khác được tạo trong hệ thống domain hoặc mua từ các nhà cung cấp uy tín như Verisign, DigiCert, Thawte, Comodo…

Trong bài viết này mình sẽ hướng dẫn thay thế chứng chỉ số của Sophos XG Firewall bằng chứng chỉ số được tạo trong môi trường domain, theo cách này các user trong domain sẽ không bị báo lỗi khi truy cập firewall.

công cụ tạo CSR có sẵn trong XG Firewall không rõ có trục trặc không nhưng mình tạo certificate và upload lên thì toàn lỗi, do đó mình quyết định làm đường vòng bằng cách tạo = IIS có sẵn trong hệ thống.

Trong IIS chọn Certificate => Create Certificate Request

Đặt các tham số cho certificate và quan trọng nhất là Common name phải chính xác => Next

Chọn Cryptographic Service Provider và Bit Length theo nhu cầu => Next

Chọn chỗ lưu lại file request => Finish

Domain controller mình đã cài đặt Certificate services và đã cấu hình cho phép request thông qua web

Truy cập địa chỉ web https://dc.vmblogs.ent/certsrv

Chọn Request a certificate

Chọn advanced certificate request

Chọn submit a certificate request by using a base-64-encoded CMC….

Dán nội dung file request đã lưu
Chọn Template là Web Server

Submit

Certificate đã được sign => Download certificate

Quay trở lại IIS => Complete Certificate Request

Chọn file certificate vừa download, đặt friendly name => OK

Chọn certificate => Export

Chọn nơi cần lưu certificat (kèm private key)
Nhập mật khẩu

Quay trở lại web console của Sophos XG Firewall
Mở mục Objects => Identity => Certificate

Click Add

Chọn Upload certificate

Name: đặt tên dễ nhớ cho certificate
Certificate file format chọn PKCS12 (.pfx or .p12)
Certificate => Browse tới nơi lưu certificate đã export
Nhập password

Save