Wechseln zu:Navigation, Suche
Wiki

Implementierung von Drittanbieter Zertifikaten (x509)

Aus Securepoint Wiki





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden





















{{var | neu--CSR-Hinweis | Hinweis zur Erstellung eines Certificate Signing Request | Note on [[#CSR_f.C3.BCr_Drittanbieter_Zertifikat_erstellen | ]Creation of a Certificate Signing Request] }}
















Drittanbieter Zertifikate aus Windows exportieren oder beantragen und importieren

Letzte Anpassung zur Version: 12.1

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
Zuletzt aktualisiert: 

notemptyDieser Artikel bezieht sich auf eine Beta-Version

Beschreibung

Im folgenden wird beschrieben, wie ein Zertifikat von Drittanbietern (x509) in eine Securepoint UTM importiert werden kann, um dieses beispielsweise für den Reverse Proxy zu nutzen.
Für einen Import der Zertifikate müssen diese entweder im PEM-Format oder im PKCS12-Format und Base64-kodiert vorliegen.

Zertifikat exportieren

  1. Auf dem Computer, auf dem das Zertifikat installiert wurde, muss die Microsoft Management Konsole (MMC) gestartet werden.
  2. In der Konsole das Zertifikate-Snap-In hinzufügen.
    Anschließend in der Eingabeaufforderung das Eigene Benutzerkonto anklicken, um das zu verwaltende Konto anzugeben.
  3. Mit einem Doppelklick in der MMC-Konsole auf Zertifikate – Aktueller Benutzer, anschließend auf Eigene Zertifikate und zuletzt auf Zertifikate, dann kann auf die Zertifikate zugegriffen werden.

notemptyDer Private Key muss vorhanden sein.

Das eigene Zertifikat in der MMC-Konsole
  1. Im rechten Fensterbereich kann mit der rechten Maustaste auf das Zertifikat, welches exportiert werden soll, im aufklappendem Menü unter Alle Aufgaben und dann Exportieren der Zertifikatexport-Assistent gestartet werden.
  2. Ist der Zertifikatexport-Assistent gestartet, so muss zuerst auf Weiter geklickt werden.
  3. Auf der nachfolgenden Seite "Privaten Schlüssel exportieren" kann mit "Ja, privaten Schlüssel exportieren" fortgesetzt werden.
  • Der Private Key ist erforderlich, damit die verschlüsselten Nachrichten auf dem Computer, auf dem der Schlüssel importiert wird, gelesen werden können.
    		•
    Private Key exportieren
    1. Auf der Seite Exportdateiformat die Standardeinstellungen akzeptieren und anschließend auf Weiter klicken.
    2. Auf der folgenden Seite Kennwort muss das Kennwort für den Private Key eingegeben werden.
    3. Auf der Seite Exportdatei den Pfad und den Namen der exportierten Zertifikatsdatei eintragen und dann auf Weiter klicken.
    4. Der Dateiname hat die Erweiterung ".pfx", diese muss anschließend konvertiert werden, damit das Zertifikat auf der Firewall importiert werden kann.
    5. Zuletzt auf Fertig stellen klicken, um das Zertifikat zu exportieren.

    notemptyDie exportierte Zertifikatsdatei wird mit dem angegebenen Namen und der Erweiterung .pfx gespeichert.

    Pfad für die Exportdatei

    CSR für Drittanbieter Zertifikat erstellen

    Um bei einer öffentlichen Zertifizierungsstelle (CA) ein Zertifikat zu beantragen wird ein Certificate Signing Request benötigt.
    Dieser lässt sich mit OpenSSL erstellen.
    1. Zunächst wird ein privates Zertifikat benötigt: openssl genrsa -out ttt-point.key 2048
      Diese Datei enthält auch das private Zertifikat, das niemals Anderen mitgeteilt werden darf!
    2. Aus diesem Zertifikat lässt sich der CSR erstellen: openssl req -new -key ttt-point.key -out ttt-point.csr
    3. Anschließend werden diverse Angaben erfragt, die im Zertifikat mit angegeben werden.
    4. Der fertige CSR kann dann bei der CA eingereicht werden.
    CSR erstellen
    Es ist mithilfe des Parameters -subj auch möglich, den gesamten Vorgang mit einem Befehl abzuhandeln:openssl req -new \
    -newkey rsa:2048 -nodes -keyout ttt-point.key \
    -out ttt-point.csr \
    -subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"
    CSR mit einer einzigen Befehlszeile erstellen

    Import

    Zertifikate und CAs lassen sich auf der UTM im Menü Authentifizierung Zertifikate im Reiter CA mit der Schaltfläche CA importieren bzw. im Reiter Zertifikate mit der Schaltfläche Zertifikat importieren importieren.

  • Da die Zertifikate nicht auf der UTM erstellt wurden, wird eine Meldung (UNABLE TO GET CERTIFICATE CRL) angezeigt. Diese ist in unproblematisch.
    Solange der Status grün ist, kann das Zertifikat wie jedes andere genutzt werden.

    • Besondere Hinweise

    Reihenfolge der Zertifikatskette

    Folgende Reihenfolge sollte beim Import berücksichtigt werden:

    1. CA
    2. Intermediate Zertifikat 1 (falls vorhanden)
    3. Intermediate Zertifikat 2 (falls vorhanden)
    4. Webserver Zertifikate

    Zertifikat konvertieren

    Sollte ein Drittanbieter Zertifikat nicht im PEM- oder PKCS12-Format vorliegen, muss es konvertiert werden.


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden













    Importformat

    Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.

    Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:

    Zertifikat Befehl
    X509 zu PEM openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
    DER zu PEM openssl x509 -inform der -in certificate.cer -out certificate.pem
    P7B zu PEM openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem


    Fehlermeldung beim Import

    Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen.
    Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.
    Ein Import ist meist möglich, wenn im Bereich Allgemein die Option Veraltete kryptografische Algorithmen unterstützen Ein aktiviert wird. notempty Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!



    Möglichkeiten für den Import von Zertifikaten:

    • Zertifikat in *.pem umwandeln

    Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
     openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes
    Alternativ mithilfe eines Online-Dienstes

    • CLI Befehle, um Zertifikate-Import mit veralteten Ciphern in der UTM zu erlauben:
      extc global set variable GLOB_ENABLE_SSL_LEGACY value 1

    appmgmt config application "securepoint_firewall"
    appmgmt config application "fwserver"
    system reboot
    notemptyErfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen! 

    cli> extc global get variable GLOB_ENABLE_SSL_LEGACY 
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|0  

cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
OK

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|1

cli> appmgmt config application "securepoint_firewall"
cli> appmgmt config application "fwserver"

    Issuer

    Sollte es zu der Meldung "no issuer found" kommen, fehlt zunächst das vorherige Zertifikat aus der Zertifikatskette.

    Der Issuer eines Zertifikats kann mit dem Befehl herausgefunden werden.: openssl x509 -in file.pem -text

    Unter dem Punkt "Issuer:" kann nun der beim Aussteller zum Download befindliche Issuer einsehen werden.


    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AUTH/Zertifikate/Drittanbieter&oldid=96630