Wechseln zu:Navigation, Suche
Wiki






























De.png
En.png
Fr.png

Drittanbieter Zertifikate aus Windows exportieren oder beantragen und importieren

Letzte Anpassung zur Version: 12.1

Neu:

  • Allgemeine Layoutanpassung
  • Eine Konvertierung ist in den meisten Fällen nicht mehr erforderlich, das das pkcs12-Format direkt importiert werden kann
  • Eine Anpassung des Zertifikates (entfernen überflüssiger Textteile) ist nicht mehr erforderlich


Vorherige Versionen: 11.7.9


Beschreibung

Im folgenden wird beschrieben, wie ein Zertifikat von Drittanbietern (x509) in eine Securepoint UTM importiert werden kann, um dieses beispielsweise für den Reverse Proxy zu nutzen.
Für einen Import der Zertifikate müssen diese entweder im PEM-Format oder im PKCS12-Format und Base64-kodiert vorliegen.


Zertifikat exportieren

Das eigene Zertifikat in der MMC-Konsole
  1. Auf dem Computer, auf dem das Zertifikat installiert wurde, muss die Microsoft Management Konsole (MMC) gestartet werden.
  2. In der Konsole das Zertifikate-Snap-In hinzufügen.
    Anschließend in der Eingabeaufforderung das Eigene Benutzerkonto anklicken, um das zu verwaltende Konto anzugeben.
  3. Mit einem Doppelklick in der MMC-Konsole auf Zertifikate – Aktueller Benutzer, anschließend auf Eigene Zertifikate und zuletzt auf Zertifikate, dann kann auf die Zertifikate zugegriffen werden.

Der Private Key muss vorhanden sein.


Private Key exportieren
  1. Im rechten Fensterbereich kann mit der rechten Maustaste auf das Zertifikat, welches exportiert werden soll, im aufklappendem Menü unter Alle Aufgaben und dann Exportieren der Zertifikatexport-Assistent gestartet werden.
  2. Ist der Zertifikatexport-Assistent gestartet, so muss zuerst auf Weiter geklickt werden.
  3. Auf der nachfolgenden Seite "Privaten Schlüssel exportieren" kann mit "Ja, privaten Schlüssel exportieren" fortgesetzt werden.
  • Der Private Key ist erforderlich, damit die verschlüsselten Nachrichten auf dem Computer, auf dem der Schlüssel importiert wird, gelesen werden können.

  • Pfad für die Exportdatei
    1. Auf der Seite Exportdateiformat die Standardeinstellungen akzeptieren und anschließend auf Weiter klicken.
    2. Auf der folgenden Seite Kennwort muss das Kennwort für den Private Key eingegeben werden.
    3. Auf der Seite Exportdatei den Pfad und den Namen der exportierten Zertifikatsdatei eintragen und dann auf Weiter klicken.
    4. Der Dateiname hat die Erweiterung ".pfx", diese muss anschließend konvertiert werden, damit das Zertifikat auf der Firewall importiert werden kann.
    5. Zuletzt auf Fertig stellen klicken, um das Zertifikat zu exportieren.

    Die exportierte Zertifikatsdatei wird mit dem angegebenen Namen und der Erweiterung .pfx gespeichert.



    CSR für Drittanbieter Zertifikat erstellen

    CSR erstellen

    Um bei einer öffentlichen Zertifizierungsstelle (CA) ein Zertifikat zu beantragen wird ein Certificate Signing Request benötigt.
    Dieser lässt sich mit OpenSSL erstellen.

    1. Zunächst wird ein privates Zertifikat benötigt: openssl genrsa -out ttt-point.key 2048
      Diese Datei enthält auch das private Zertifikat, das niemals Anderen mitgeteilt werden darf!
    2. Aus diesem Zertifikat lässt sich der CSR erstellen: openssl req -new -key ttt-point.key -out ttt-point.csr
    3. Anschließend werden diverse Angaben erfragt, die im Zertifikat mit angegeben werden.
    4. Der fertige CSR kann dann bei der CA eingereicht werden.


    CSR mit einer einzigen Befehlszeile erstellen

    Es ist mithilfe des Parameters -subj auch möglich, den gesamten Vorgang mit einem Befehl abzuhandeln:openssl req -new \
    -newkey rsa:2048 -nodes -keyout ttt-point.key \
    -out ttt-point.csr \
    -subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"



    Import

    Zertifikate und CAs lassen sich auf der UTM im Menü → Authentifizierung →Zertifikate im Reiter CA mit der Schaltfläche CA importieren bzw. im Reiter Zertifikate mit der Schaltfläche Zertifikat importieren importieren.


    Besondere Hinweise

    Reihenfolge der Zertifikatskette

    Folgende Reihenfolge sollte beim Import berücksichtigt werden:

    1. CA
    2. Intermediate Zertifikat 1 (falls vorhanden)
    3. Intermediate Zertifikat 2 (falls vorhanden)
    4. Webserver Zertifikate


    Zertifikat konvertieren

    Sollte ein Drittanbieter Zertifikat nicht im PEM- oder PKCS12-Format vorliegen, muss es konvertiert werden.




    Importformat

    Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.

    Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:

    Zertifikat Befehl
    X509 zu PEM openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
    DER zu PEM openssl x509 -inform der -in certificate.cer -out certificate.pem
    P7B zu PEM openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem


    Fehlermeldung beim Import

    Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen.
    Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.

    Ein Import ist meist möglich, wenn im Reiter Allgemein notempty
    Neu ab v12.5.1
    die Option Veraltete kryptografische Algorithmen unterstützen Ein aktiviert wird. notempty
    Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

    Möglichkeiten für den Import von Zertifikaten:

    • Zertifikat in *.pem umwandeln
      Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
      openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes
      Alternativ mithilfe eines Online-Dienstes

    • CLI Befehle, um Zertifikate-Import mit veralteten Ciphern in der UTM zu erlauben:
      extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
      appmgmt config application "securepoint_firewall"
      appmgmt config application "fwserver"
      system reboot

      notempty
      Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!
    cli> extc global get variable GLOB_ENABLE_SSL_LEGACY 
    variable              |value
    ----------------------+-----
    GLOB_ENABLE_SSL_LEGACY|0  
    
    cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
    OK
    
    cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
    variable              |value
    ----------------------+-----
    GLOB_ENABLE_SSL_LEGACY|1
    
    cli> appmgmt config application "securepoint_firewall"
    cli> appmgmt config application "fwserver"
    

    Issuer

    Sollte es zu der Meldung "no issuer found" kommen, fehlt zunächst das vorherige Zertifikat aus der Zertifikatskette.

    Der Issuer eines Zertifikats kann mit dem Befehl herausgefunden werden.: openssl x509 -in file.pem -text

    Unter dem Punkt "Issuer:" kann nun der beim Aussteller zum Download befindliche Issuer einsehen werden.