Securepoint Wiki - Benutzerbeiträge [de]

UTM/VPN/IPSec-S2E v11.8

2014-12-15T11:03:54Z

Marco: /* Schritt 5 - Zusätzliche Daten */

[[kategorie:UTMv11]]

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:ipsec_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.
 
 
 

====Schritt 2 - Verschlüsselung====
[[Datei:ipsec_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
 

====Schritt 3 - Authentifizierung====
[[Datei:ipsec_wizard_step3_psk.png|left|thumb|230px|PSK]]
[[Datei:ipsec_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:ipsec_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
 
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:ipsec_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.
 

====Schritt 5 - Zusätzliche Daten====
[[Datei:ipsec_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu. Benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
 

Die neu angelegte Roadwarrior Verbindung wird nun der Übersicht des Fensters '''IPSec''' angezeigt. Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.

Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben.

UTM/VPN/IPSec-S2E v11.8

2014-12-15T11:00:34Z

Marco: /* Erstellung der native IPSec Verbindung mit dem Assistenten */

[[kategorie:UTMv11]]

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:ipsec_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.
 
 
 

====Schritt 2 - Verschlüsselung====
[[Datei:ipsec_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
 

====Schritt 3 - Authentifizierung====
[[Datei:ipsec_wizard_step3_psk.png|left|thumb|230px|PSK]]
[[Datei:ipsec_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:ipsec_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
 
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:ipsec_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.
 

====Schritt 5 - Zusätzliche Daten====
[[Datei:ipsec_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
 

Die neu angelegte Roadwarrior Verbindung wird nun der Übersicht des Fensters '''IPSec''' angezeigt. Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.

Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben.

UTM/VPN/IPSec-S2E v11.8

2014-12-15T10:55:54Z

Marco: /* Schritt 1 - Name und Typ */

[[kategorie:UTMv11]]

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:ipsec_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.
 
 
 
 

====Schritt 2 - Verschlüsselung====
[[Datei:ipsec_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
 

====Schritt 3 - Authentifizierung====
[[Datei:ipsec_wizard_step3_psk.png|left|thumb|230px|PSK]]
[[Datei:ipsec_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:ipsec_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:ipsec_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.
 

====Schritt 5 - Zusätzliche Daten====
[[Datei:ipsec_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
 

Die neu angelegte Roadwarrior Verbindung wird nun der Übersicht des Fensters '''IPSec''' angezeigt. Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.

Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben

UTM/APP/HTTP Proxy-Authentifizierungsausnahmen

2014-09-04T08:04:34Z

Marco:

== Einleitung ==
In dieser Anleitung erfahren Sie, in welchem Fall man Authentifizierungsausnahmen nutzt und wie man diese im Proxy hinterlegt.

=== Wofür werden Authentifizierungsausnahmen gebraucht? ===
Authentifizierungsausnahmen werden oft in Verbindung mit Virenscannern oder anderen Programmen benötigt, die keine NTLM-Authentifizierung unterstützen. Damit diese Programme trotz dessen ins Internet kommunizieren können, muss im Proxy definiert werden, dass die angesurfte URL auch ohne vorherige Authentifizierung aufgerufen werden darf.

==== Beispiel ====
Ein Rechner im internen Netzwerk kann keine Windows-Updates laden. Im Log erscheint folgende Meldung:
[[Datei:beispiel_authausnahmen.png|800px|thumb|center|Meldung im Log]]
 
'''TCP_DENIED/407''' 
Fehler 407 beschreibt, dass der Proxy eine Authentifizierung verlangt.

==== Eintrag in die Ausnahmen ====
Um eine Webseite von den Authentifizierungsausnahmen auszunehmen, muss die URL als Regex in die Liste eingetragen werden. Ein Regex-Eintrag für Windows-Updates würde dann wie folgt aussehen:
[[Datei:windowsupdate_regex_microsoft.png|800px|thumb|center|Regex für Windowsupdate]]

==== Ausnahme für Subdomains ====
Um Subdomains ebenfalls von der Proxy-Authentifizierung auszunehmen, muss der Regex wie folgt angepasst werden.
[[Datei:subdomains_microsoft.png|800px|thumb|center|Regex für Subdomains]]
 
Mehrere Updateserver können ebenfalls in einem Regex zusammengefasst werden.
[[Datei:updateserver-regex.png|800px|thumb|center|Regex für mehrere Domains]]
 
Diesr Regexeintrag gibt folgende Domains frei:
update1.server\.virenupdate\.com 
update2server\.virenupdate\.com 
update3server\.virenupdate\.com 
. 
. 
update9.server\.virenupdate\.com

UTM/APP/HTTP Proxy-Authentifizierung v11.7

2014-08-28T11:15:17Z

Marco:

[[Kategorie:UTMV11]]
{{v11}}

=Benutzer Authentifizierung am HTTP-Proxy=

Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich die Benutzer für die Internet Nutzung vorher authentifizieren müssen.
Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.

===Zusätzliche Einstellungen===

====Proxy Einstellung im Browser====
[[Datei:Win7_FF_Proxy.png|250px|thumb|right|Proxy-Konfiguration im Browser]]

Um die Authentifizierung am HTTP-Proxy nutzen zu können, ist es notwendig den Proxy im Browser einzutragen. 
Wechseln Sie dazu in die Verbindungseinstellungen Ihres Web-Browsers, wählen dort die ''Manuelle Proxy-Konfiguration'' und tragen die IP-Adresse der entsprechenden Schnittstelle der UTM ein. 
Weiterhin tragen Sie den Port ein, der Ihnen unter HTTP-Proxy im Abschnitt ''Allgemein'' in der Zeile Proxy-Port angezeigt wird. Im Auslieferungszustand der UTM handelt es sich um den Port 8080.

Damit auch Webseiten die per HTTPS aufgerufen werden über den Proxy geleitet werden, sagen Sie dem Browser noch, dass dieser Proxy-Server für alle Protokolle genutzt werden soll.

====Portfilter Einstellungen====

Im Auslieferungszustand der UTM werden Sie feststellen, dass es eine Portfilterregel gibt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt. 
Da der eine oder andere Benutzer auf die Idee kommen könnte, die Proxy Einstellungen seines Browsers zu ändern, um die Authentifizierung zu umgehen, sollten Sie diese Regel deaktivieren oder eine entsprechende Dienstgruppe anstatt ''any'' für diese Regel anlegen und auswählen.

[[Datei:UTM_V114_PFProxy.png|800px|thumb|center|Portfilter]]

Siehe auch [https://www.youtube.com/watch?v=yd3GsyGJbNY| Best Practice - Gute Firewall Konfiguration] und [[Portfilter_Beschreibung_UTMV11 | Beschreibung der Funktionen im Portfilter]]

==Authentifizierung über die Benutzerverwaltung der UTM==
[[Datei:UTM_V114_Benverw.png|250px|thumb|right|Benutzerverwaltung]]

===Proxy-Nutzer Gruppe anlegen===
Zunächst benötigen Sie eine Benutzergruppe.

Dazu klicken Sie in der Menüleiste auf ''Authentifizierung'' und auf ''Benutzer''. 
Wählen Sie den Reiter ''Gruppen'' und klicken Sie auf [[Datei:UTM_V114_Ugrphinz.png|90px]]

[[Datei:UTM_V114_PUGrp.png|250px|thumb|right|Proxy-Gruppe]]
Geben Sie dieser Gruppe einen Namen, die Berechtigung ''HTTP-Proxy'' und klicken Sie auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Wenn Sie später verschiedene Proxy-Nutzer unterschiedlich behandeln möchten, legen sie weitere Gruppen an.

Siehe dazu auch [[Contentfilter_v11 | Webfilter konfigurieren]].

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Hinweis: Achten Sie darauf, im Gruppennamen keine Leerzeichen zu verwenden.
|}

===Benutzer anlegen===
[[Datei:UTM_V114_User.png|250px|thumb|right|Benutzer]]
Als nächsten wechseln Sie auf ''Benutzer'' und legen die Nutzer an.
Klicken Sie auf [[Datei:UTM_V114_BenhinzB.png|100px]] und tragen Sie den Benutzernamen und das Passwort ein.

[[Datei:UTM_V114_Userpgrp.png|250px|thumb|right|Benutzer mit Proxy-Gruppe]]
Nachdem Sie das Passwort in der zweiten Zeile wiederholt haben, wechseln Sie auf den Reiter ''Gruppen'', wählen sie ''Proxy-Grp'' aus und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Dieses wiederholen Sie für jeden Proxy-Nutzer den Sie anlegen, so dass jeder einen Namen und ein Passwort erhält.

Weiterführende Informationen zu Benutzer und Gruppen finden Sie unter [[Benutzerverwaltung | Benutzerverwaltung]].

===Authentifizierung im HTTP-Proxy aktivieren===
[[Datei:UTM_V114_HPAuthBasic.png|250px|thumb|right|Authentifizierung aktivieren]]
Um die Authentifizierung am Proxy zu aktivieren wechseln Sie unter Anwendungen auf HTTP-Proxy, wählen unter ''Allgemein'' die Authentifizierungsmethode ''Basic'' und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Wenn Sie nun einen wie oben vorbereiteten Web-Browser starten, erhalten Sie die Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird.

[[Datei:Win7_FF_Userauth.png|900px|thumb|center|Authentifizierungs abfrage]]

==Authentifizierung mit Active Directory==
[[Datei:UTM_V114_SEprname.png|250px|thumb|right|Servereinstellungen]]
Zunächst müssen Sie dafür sorgen, dass die UTM die Domäne auch findet. 

Dazu wählen Sie unter Netzwerk die ''Servereinstellungen'' und tragen als primären Nameserver die localhost IP-Adresse 127.0.0.1 ein.

[[Datei:UTM_V114_DNSrzad.png|250px|thumb|right|Relayzone hinzufügen]]
Anschließend wechseln Sie unter Anwendungen zum Menüpunkt ''Nameserver''. Hier legen Sie mit einem Klick auf [[Datei:UTM_V114_DNS-RZhinzB.png|100px]] eine neue Relay Zone mit der lokalen Domain und der IP-Adresse des Domain-Controller an.

Weiterhin achten Sie bitte darauf, dass die Systemzeit der UTM mit der des AD übereinstimmt.

===UTM an das Active Directory anbinden===
[[Datei:UTM_V114_EA-AD.png|250px|thumb|right|Externe Authentifizierung]]

Um die UTM an das Active Directory anzubinden, wechseln Sie unter Authentifizierung den Menüpunkt ''Externe Authentifizierung'' und wählen den Reiter ''Active Directory''. 
Tragen Sie hier Folgendes ein:
*den Namen ihrer lokalen Domain
*den Namen der Arbeitsgruppe (Domain-Name ohne top-level-Domain)
*die IP oder den Hostname des Active Directory Server
*den Namen eines Administrativen Users des Active Directory
*das Passwort dieses Users

Klicken Sie auf [[Datei:UTM_V114_EA-ADbeitrB.png|60px]] anschließend sollte der Verbindungsstatus auf grün wechseln.

===Proxy-Nutzer Gruppe anlegen===
Genau wie bei der Authentifizierung gegen die Benutzerverwaltung der UTM benötigen wir auch hier wieder eine Proxy Gruppe. 
Einzelne Benutzer müssen Sie hier allerdings nicht anlegen. Diese Informationen holt sich der Proxy aus der Benutzerverwaltung des Active Directory.

Klicken Sie in der Menüleiste auf ''Authentifizierung'' und auf ''Benutzer''. 
Wählen Sie den Reiter ''Gruppen'' und klicken Sie auf [[Datei:UTM_V114_Ugrphinz.png|90px]]

[[Datei:UTM_V114_PUGrp.png|250px|thumb|right|Proxy-Gruppe]]
Geben Sie dieser Gruppe einen Namen, die Berechtigung ''HTTP-Proxy'' und wechseln Sie auf den Reiter ''Active Directory''. 

[[Datei:UTM_V114_PUGrpAD.png|250px|thumb|right|Proxy-Gruppe]]
Hier wählen Sie nun die AD Gruppe aus, die eine entsprechende Berechtigung für den HTTP-Proxy bekommen soll und klicken abschließend auf [[Datei:UTM_V114_SpeichernB.png|50px]]

===Authentifizierung im HTTP-Proxy aktivieren===
[[Datei:UTM_V114_HPAuthNtlm.png|250px|thumb|right|Authentifizierung aktivieren]]
Um die Authentifizierung am Proxy zu aktivieren, wechseln Sie unter Anwendungen auf HTTP-Proxy, wählen unter ''Allgemein'' die Authentifizierungsmethode ''NTLM'' und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Bei der Authentifizierungsmethode ''NTLM'' haben Sie den Vorteil, dass der Proxy nicht mehr beim Öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim Starten des Betriebssystems mit der Anmeldung an die Domain.

Sollten Sie hingegen doch den Wunsch haben, dass bei Verwendung des Active Directory ein Benutzer sich bei jedem Start des Browser authentifizieren soll, wählen Sie die Authentifizierungsmethode ''LDAP''.

UTM/APP/HTTP Proxy-Authentifizierung v11.7

2014-08-28T10:58:44Z

Marco: /* Proxy Einstellung im Browser */

[[Kategorie:UTMV11]]
{{v11}}

=Benutzer Authentifizierung am HTTP-Proxy=

Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich die Benutzer für die Internet Nutzung vorher Authentifizieren müssen.
Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.

===Zusätzliche Einstellungen===

====Proxy Einstellung im Browser====
[[Datei:Win7_FF_Proxy.png|250px|thumb|right|Proxy-Konfiguration im Browser]]

Um die Authentifizierung am HTTP-Proxy nutzen zu können, ist es notwendig den Proxy im Browser einzutragen. 
Wechseln Sie dazu in die Verbindungseinstellungen Ihres Web-Browsers, wählen dort die ''Manuelle Proxy-Konfiguration'' und tragen die IP-Adresse der entsprechenden Schnittstelle der UTM ein. 
Weiterhin tragen Sie den Port ein, der Ihnen unter HTTP-Proxy im Abschnitt ''Allgemein'' in der Zeile Proxy-Port angezeigt wird. Im Auslieferungszustand der UTM handelt es sich um den Port 8080.

Damit auch Webseiten die per HTTPS aufgerufen werden über den Proxy geleitet werden, sagen Sie dem Browser noch, dass dieser Proxy-Server für alle Protokolle genutzt werden soll.

====Portfilter Einstellungen====

Im Auslieferzustand der UTM werden sie feststellen, dass es eine Portfilterregel gibt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt. 
Da der eine oder andere Benutzer auf die Idee kommen könnte, die Proxy Einstellungen seines Browsers zu ändern um die Authentifizierung zu umgehen, sollten sie diese deaktivieren oder eine entsprechende Dienstgruppe anstatt ''any'' für diese Regel anlegen und auswählen.

[[Datei:UTM_V114_PFProxy.png|800px|thumb|center|Portfilter]]

Siehe auch [https://www.youtube.com/watch?v=yd3GsyGJbNY| Best Practice - Gute Firewall Konfiguration] und [[Portfilter_Beschreibung_UTMV11 | Beschreibung der Funktionen im Portfilter]]

==Authentifizierung über die Benutzerverwaltung der UTM==
[[Datei:UTM_V114_Benverw.png|250px|thumb|right|Benutzerverwaltung]]

===Proxy-Nutzer Gruppe anlegen===
Zunächst benötigen sie eine Benutzer Gruppe.

Dazu klicken sie in der Menüleiste auf ''Authentifizierung'' und auf ''Benutzer''. 
Wählen sie den Reiter ''Gruppen'' und klicken sie auf [[Datei:UTM_V114_Ugrphinz.png|90px]]

[[Datei:UTM_V114_PUGrp.png|250px|thumb|right|Proxy-Gruppe]]
Geben sie dieser Gruppe einen Namen, die Berechtigung ''HTTP-Proxy'' und klicken sie auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Wenn Sie später verschiedene Proxy-Nutzer unterschiedlich behandeln möchten, legen sie weitere Gruppen an.

Siehe dazu auch [[Contentfilter_v11 | Webfilter konfigurieren]].

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Hinweis: Achten sie darauf im Gruppennamen keine Leerzeichen zu verwenden.
|}

===Benutzer anlegen===
[[Datei:UTM_V114_User.png|250px|thumb|right|Benutzer]]
Als nächsten wechseln sie auf ''Benutzer'' und legen die Nutzer an.
Klicken sie auf [[Datei:UTM_V114_BenhinzB.png|100px]] und tragen sie den Benutzernamen und das Passwort ein.

[[Datei:UTM_V114_Userpgrp.png|250px|thumb|right|Benutzer mit Proxy-Gruppe]]
Nachdem sie das Passwort in der zweiten Zeile wiederholt haben, wechseln sie auf den Reiter ''Gruppen'', wählen sie ''Proxy-Grp'' aus und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Dieses wiederholen sie für jeden Proxy-Nutzer den sie anlegen, so dass jeder einen Namen und ein Passwort erhält.

Weiterführende Informationen zu Benutzer und Gruppen finden sie unter [[Benutzerverwaltung | Benutzerverwaltung]].

===Authentifizierung im HTTP-Proxy aktivieren===
[[Datei:UTM_V114_HPAuthBasic.png|250px|thumb|right|Authentifizierung aktivieren]]
Um die Authentifizierung am Proxy zu aktivieren wechseln sie unter Anwendungen auf HTTP-Proxy, wählen unter ''Allgemein'' die Authentifizierungsmethode ''Basic'' und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Wenn sie nun einen wie oben vorbereiteten Web-Browser starten, erhalten sie die Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird.

[[Datei:Win7_FF_Userauth.png|900px|thumb|center|Authentifizierungs abfrage]]

==Authentifizierung mit Active Directory==
[[Datei:UTM_V114_SEprname.png|250px|thumb|right|Servereinstellungen]]
Zunächst müssen sie dafür sorgen, dass die UTM die Domäne auch findet. 

Dazu wählen sie unter Netzwerk die ''Servereinstellungen'' und tragen als primären Nameserver die localhost IP-Adresse 127.0.0.1 ein.

[[Datei:UTM_V114_DNSrzad.png|250px|thumb|right|Relayzone hinzufügen]]
Anschließend wechseln sie unter Anwendungen zum Menüpunkt ''Nameserver''. Hier legen sie mit einem klick auf [[Datei:UTM_V114_DNS-RZhinzB.png|100px]] eine neue Relay Zone mit der lokalen Domain und der IP-Adresse des Domain-Controller an.

Weiterhin achten sie bitte darauf, dass die Systemzeit der UTM mit der des AD übereinstimmt.

===UTM an das Active Directory anbinden===
[[Datei:UTM_V114_EA-AD.png|250px|thumb|right|Externe Authentifizierung]]

Um die UTM an das Active Directory anzubinden, wechseln sie unter Authentifizierung den Menüpunkt ''Externe Authentifizierung'' und wählen den Reiter ''Active Directory''. 
Tragen sie hier folgendes ein:
*den Namen ihrer lokalen Domain
*den Namen der Arbeitsgruppe (Domain-Name ohne top-level-Domain)
*die IP oder den Hostname des Active Directory Server
*den Namen eines Administrativen Users des Active Directory
*das Passwort dieses Users

Klicken sie auf [[Datei:UTM_V114_EA-ADbeitrB.png|60px]] anschließend sollte der Verbindungsstatus auf grün wechseln.

===Proxy-Nutzer Gruppe anlegen===
Genau wie bei der Authentifizierung an die Benutzerverwaltung der UTM benötigen wir auch hier wieder eine Proxy Gruppe. 
Einzelne Benutzer müssen sie hier allerdings keine anlegen. Diese Informationen holt sich der Proxy aus der Benutzerverwaltung des Active Directory.

Klicken sie in der Menüleiste auf ''Authentifizierung'' und auf ''Benutzer''. 
Wählen sie den Reiter ''Gruppen'' und klicken sie auf [[Datei:UTM_V114_Ugrphinz.png|90px]]

[[Datei:UTM_V114_PUGrp.png|250px|thumb|right|Proxy-Gruppe]]
Geben sie dieser Gruppe einen Namen, die Berechtigung ''HTTP-Proxy'' und wechseln sie auf den Reiter ''Active Directory''. 

[[Datei:UTM_V114_PUGrpAD.png|250px|thumb|right|Proxy-Gruppe]]
Hier wählen sie nun die AD Gruppe aus, die eine entsprechende Berechtigung für den HTTP-Proxy bekommen soll und klicken abschließend auf [[Datei:UTM_V114_SpeichernB.png|50px]]

===Authentifizierung im HTTP-Proxy aktivieren===
[[Datei:UTM_V114_HPAuthNtlm.png|250px|thumb|right|Authentifizierung aktivieren]]
Um die Authentifizierung am Proxy zu aktivieren wechseln sie unter Anwendungen auf HTTP-Proxy, wählen unter ''Allgemein'' die Authentifizierungsmethode ''NTLM'' und klicken auf [[Datei:UTM_V114_SpeichernB.png|50px]]

Bei der Authentifizierungsmethode ''NTLM'' haben sie den Vorteil, dass der Proxy nicht mehr beim öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim starten des Betriebssystems mit der Anmeldung an die Domain.

Sollten sie hingegen doch den Wunsch haben, dass auch mit Active Directory ein Benutzer sich bei jedem start des Browser Authentifizieren soll, wählen sie die Authentifizierungsmethode ''LDAP''.

UTM/VPN/IPSec-S2E v11.8

2014-08-27T09:34:45Z

Marco:

[[kategorie:UTMv11]]

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:ipsec_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.
 
 
 

====Schritt 2 - Verschlüsselung====
[[Datei:ipsec_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
 

====Schritt 3 - Authentifizierung====
[[Datei:ipsec_wizard_step3_psk.png|left|thumb|230px|PSK]]
[[Datei:ipsec_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:ipsec_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:ipsec_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.
 

====Schritt 5 - Zusätzliche Daten====
[[Datei:ipsec_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
 

Die neu angelegte Roadwarrior Verbindung wird nun der Übersicht des Fensters '''IPSec''' angezeigt. Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.

Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben

Datei:Ipsec wizard step5.png

2014-08-27T09:09:35Z

Marco:

Datei:Ipsec wizard step4.png

2014-08-27T09:09:16Z

Marco:

Datei:Ipsec wizard step3 rsa.png

2014-08-27T09:08:55Z

Marco:

Datei:Ipsec wizard step3 psk.png

2014-08-27T09:08:34Z

Marco:

Datei:Ipsec wizard step3 cert.png

2014-08-27T09:08:12Z

Marco:

Datei:Ipsec wizard step2.png

2014-08-27T09:07:50Z

Marco:

Datei:Ipsec wizard step1.png

2014-08-27T09:07:19Z

Marco:

UTM/VPN/IPSec-S2E v11.8

2014-08-27T08:51:16Z

Marco:

{{11}}

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:.png| bla]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.

====Schritt 2 - Verschlüsselung====
[[Datei:.png|foo1]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.

====Schritt 3 - Authentifizierung====
[[Datei:.png|foo2]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:.png|foo3]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der
Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.

=====Schritt 5 - Zusätzliche Daten====
[[Datei:.png|foo4]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.

UTM/VPN/IPSec-S2E v11.8

2014-08-27T08:20:01Z

Marco: /* Schritt 2 - Verschlüsselung */

UTM/VPN/IPSec-S2E v11.8

2014-08-27T08:17:22Z

Marco: /* Einleitung */

{{11}}

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:.png| bla]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.

====Schritt 2 - Verschlüsselung====
[[Datei:.png|foo1]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes'' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.

====Schritt 3 - Authentifizierung====
[[Datei:.png|foo2]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:.png|foo3]]

UTM/VPN/IPSec-S2E v11.8

2014-06-30T10:13:36Z

Marco: /* Erstellung der native IPSec Verbindung mit dem Assistenten */

{{11}}

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:.png| bla]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.

====Schritt 2 - Verschlüsselung====
[[Datei:.png|foo1]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes'' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.

====Schritt 3 - Authentifizierung====
[[Datei:.png|foo2]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.

====Schritt 4 - Gateway IDs====
[[Datei:.png|foo3]]

UTM/VPN/IPSec-S2E v11.8

2014-06-27T10:19:18Z

Marco: Die Seite wurde neu angelegt: „{{11}} ==Einleitung== Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transpo…“

{{11}}

==Einleitung==

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].

In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.

==Erstellung der native IPSec Verbindung mit dem Assistenten==

Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.

====Schritt 1 - Name und Typ====
[[Datei:.png| bla]]
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
* Klicken Sie dann auf '''Weiter'''.

====Schritt 2 - Verschlüsselung====
[[Datei:.png|foo1]]
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes'' Eintrag wählen.
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.

====Schritt 3 - Authentifizierung====
[[Datei:.png|foo2]]
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.

UTM/AUTH/Zertifikate v11.7

2014-06-26T11:30:26Z

Marco: /* Zertifikate exportieren */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:UTMV11_Z_CA.png|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 
 
<div align="right">[[#top|zum Anfang]]</div>

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:UTMV11_Z_Srv_c.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:UTMV11_Z_RW_c.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===
[[Datei:Export_pem.png|thumb|450px|Export im PEM Format]]
*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 
[[Datei:Export_pem_CA.png|thumb|450px|Export CA im PEM Format]]
*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===
[[Datei:Export_pkcs12.png|thumb|450px|Export im PKCS#12 Format]]
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA.
[[Datei:Export_pkcs12_kennwort.png|thumb|Kennwort für PKCS12 angeben]]
Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
[[Datei:Revoke_cert.png|thumb|450px|Zertifikat widerrufen]]
*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.
[[Datei:Delete_ca.png|thumb|450px|CA entfernen]]
*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-06-26T11:00:44Z

Marco:

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:UTMV11_Z_CA.png|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 
 
<div align="right">[[#top|zum Anfang]]</div>

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:UTMV11_Z_Srv_c.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:UTMV11_Z_RW_c.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===
[[Datei:Export_pem.png|thumb|450px|Export im PEM Format]]
*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 
[[Datei:Export_pem_CA.png|thumb|450px|Export CA im PEM Format]]
*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===
[[Datei:Export_pkcs12.png|thumb|450px|Export im PKCS#12 Format]]
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.
[[Datei:Export_pkcs12_kennwort.png|thumb|Kennwort für PKCS12 angeben]]
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
[[Datei:Revoke_cert.png|thumb|450px|Zertifikat widerrufen]]
*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.
[[Datei:Delete_ca.png|thumb|450px|CA entfernen]]
*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

Datei:Delete ca.png

2014-06-26T10:44:38Z

Marco:

Datei:Revoke cert.png

2014-06-26T10:44:18Z

Marco:

Datei:Export pkcs12 kennwort.png

2014-06-26T10:43:56Z

Marco:

Datei:Export pem CA.png

2014-06-26T10:43:36Z

Marco:

Datei:Export pkcs12.png

2014-06-26T10:43:11Z

Marco:

Datei:Export pem.png

2014-06-26T10:42:10Z

Marco:

UTM/AUTH/Zertifikate v11.7

2014-06-26T10:09:16Z

Marco: /* CA erstellen */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:UTMV11_Z_CA.png|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 
 
<div align="right">[[#top|zum Anfang]]</div>

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:UTMV11_Z_Srv_c.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:UTMV11_Z_RW_c.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-06-26T10:07:34Z

Marco: /* Server- und Nutzerzertifikat erstellen */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:UTMV11_Z_CA.png|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:UTMV11_Z_Srv_c.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:UTMV11_Z_RW_c.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-15T11:33:11Z

Marco: /* Zertifikate exportieren */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''. Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''. Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-15T11:24:34Z

Marco: /* Zertifikatserstellung auf der Appliance */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

===CA erstellen===

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

===Server- und Nutzerzertifikat erstellen===

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate exportieren==

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die D''atei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

===Export im PEM Format===

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

===Export im PKCS#12 Format===

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikate widerrufen==

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

==Zertifikate löschen==

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-15T11:15:18Z

Marco: /* Server- und Nutzerzertifikat erstellen */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

=====CA erstellen=====

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

=====Server- und Nutzerzertifikat erstellen=====

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben: 
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate exportieren====

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die D''atei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

=====Export im PEM Format=====

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

=====Export im PKCS#12 Format=====

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate widerrufen====

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

====Zertifikate löschen====

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-15T10:52:15Z

Marco:

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

=====CA erstellen=====

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

=====Server- und Nutzerzertifikat erstellen=====

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''. 
Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate exportieren====

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die D''atei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

=====Export im PEM Format=====

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

=====Export im PKCS#12 Format=====

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate widerrufen====

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

====Zertifikate löschen====

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-08T12:23:09Z

Marco: /* Zertifikatserstellung auf der Appliance */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

=====CA erstellen=====

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü. Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''. Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

=====Server- und Nutzerzertifikat erstellen=====

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''. Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld
*Tragen Sie hier die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
*Geben Sie dem Zertifikat einen Namen.
*Geben Sie die gefragten Daten an.
*Für den Server wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die ''Checkbox Server Authentifizierung''.
*Für die Roadwarrior Zertifikate wählen Sie als ''Alias Keine'' aus und deaktivieren die Checkbox ''Server Authentifizierung''.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate exportieren====

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

=====Export im PEM Format=====

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

=====Export im PKCS#12 Format=====

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate widerrufen====

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

====Zertifikate löschen====

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-08T10:24:39Z

Marco: /* Zertifikatserstellung auf der Appliance */

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

=====CA erstellen=====

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü.
:Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''.
:Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.

*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

=====Server- und Nutzerzertifikat erstellen=====

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''Hinzufügen''.
:Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Diesmal ist als ''Typ'' die Einstellung ''Benutzer/Server'' ausgewählt.
*Tragen Sie hier die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
*Geben Sie dem Zertifikat einen Namen.
*Geben Sie die gefragten Daten an.
*Für den Server wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die ''Checkbox Server Authentifizierung''.
*Für die Roadwarrior Zertifikate wählen Sie als ''Alias Keine'' aus und deaktivieren die Checkbox ''Server Authentifizierung''.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate exportieren====

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

=====Export im PEM Format=====

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

=====Export im PKCS#12 Format=====

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate widerrufen====

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

====Zertifikate löschen====

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Zertifikate v11.7

2014-04-08T10:05:25Z

Marco: Anpassung des Artikels Zertifikatsverwaltung an die V11

[[kategorie:UTMv11]]
{{v11}}
==Allgemeines==

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

<div align="right">[[#top|zum Anfang]]</div>

==Zertifikatserstellung auf der Appliance==
{{v10}}
Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

=====CA erstellen=====

*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü.
:Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
[[Datei:ca_anlegen.jpeg|thumb|CA anlegen]]
*Klicken Sie auf ''+CA hinzufügen''.
:Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge des Zertifikats aus.
*Tragen Sie in den Feldern ''Gültig von'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft.

*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Klicken Sie dann auf ''Speichern''.
 

=====Server- und Nutzerzertifikat erstellen=====

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''Hinzufügen''.
:Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
*Diesmal ist als ''Typ'' die Einstellung ''Benutzer/Server'' ausgewählt.
*Tragen Sie hier die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
*Geben Sie dem Zertifikat einen Namen.
*Geben Sie die gefragten Daten an.
*Für den Server wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die ''Checkbox Server Authentifizierung''.
*Für die Roadwarrior Zertifikate wählen Sie als ''Alias Keine'' aus und deaktivieren die Checkbox ''Server Authentifizierung''.
*Klicken Sie auf ''Speichern''.

[[Datei:server_cert.png|left|thumb|Serverzertifikat anlegen]]
[[Datei:roadwarrior01_cert.png|right|thumb|Roadwarriorzertifikat anlegen]]

 
 
 
 
<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate exportieren====

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.

=====Export im PEM Format=====

*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
*Wählen Sie das zu exportierende Zertifikat aus.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. [[Datei:export_pem_icon.png| 45px]]
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
 

*Wechseln Sie auf die Registerkarte CA.
*Wählen Sie das zugehörige Stammzertifikat.
*Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
:Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf Datei Speichern.
:Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

=====Export im PKCS#12 Format=====

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol [[Datei:export_pkcs12_icon.png| 45px]] benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

<div align="right">[[#top|zum Anfang]]</div>

====Zertifikate widerrufen====

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''.
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

====Zertifikate löschen====

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

*Wechseln Sie zum Löschen der CA auf die Registerkarte ''CA''.
*Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
*Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.

<div align="right">[[#top|zum Anfang]]</div>

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-07T11:04:51Z

Marco: /* Die Registerkarte Gruppen */

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:user_tab_groups.png|400px|thumb|right|Auflistung der bestehenden Gruppen]]
Auf der zweiten Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche 
''' + Gruppe hinzufügen'''. 
Es öffnet sich der Dialog '''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.
 
 

====Registerkarte Berechtigungen====
[[Datei:user_group_add_rights.png|350px|thumb|right|Namen und Berechtigungen vergeben]]
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Administrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

====Registerkarte SSL-VPN====
[[Datei:user_group_add_ssl_vpn.png|350px|thumb|right|SSL-VPN Einstellungen der Gruppe]]
Auf dieser Registerkarte können Sie für di gesamte Gruppe Einstellungen für das SSL-VPN vergeben. 
Beachten Sie, dass dann alle Benutzer das gleiche Zertifikat benutzen. SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
 
 

====Registerkarte Active Directory====
[[Datei:user_group_add_ad.png|350px|thumb|right|AD Gruppenzuordnung]]
Hier tragen Sie ein, welcher Active Directory Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
*Wählen Sie die Gruppe aus dem Dropdownfeld.
 
 

====Registerkarte Mailfilter====
[[Datei:user_group_add_mailfilter.png|350px|thumb|right|Mailkonten auswählen]]
Setzen Sie hier die E-Mailkonten ein, die von der Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. 
Die Berechtigung '''Userinterface''' wird benötigt.
 
 
 

====Registerkarte WOL====
[[Datei:user_group_add_wol.png|350px|thumb|right|MAC-Adressen eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
 
<div align="right">[[#top|nach oben]]</div>

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-04T13:23:24Z

Marco:

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:user_tab_groups.png|400px|thumb|right|Auflistung der bestehenden Gruppen]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche 
''' + Gruppe hinzufügen'''. 
Es öffnet sich der Dialog '''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.
 
 

====Registerkarte Berechtigungen====
[[Datei:user_group_add_rights.png|350px|thumb|right|Namen und Berechtigungen vergeben]]
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Administrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

====Registerkarte SSL-VPN====
[[Datei:user_group_add_ssl_vpn.png|350px|thumb|right|SSL-VPN Einstellungen der Gruppe]]
Auf dieser Registerkarte können Sie für di gesamte Gruppe Einstellungen für das SSL-VPN vergeben. 
Beachten Sie, dass dann alle Benutzer das gleiche Zertifikat benutzen. SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
 
 

====Registerkarte Active Directory====
[[Datei:user_group_add_ad.png|350px|thumb|right|AD Gruppenzuordnung]]
Hier tragen Sie ein, welcher Active Directory Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
*Wählen Sie die Gruppe aus dem Dropdownfeld.
 
 

====Registerkarte Mailfilter====
[[Datei:user_group_add_mailfilter.png|350px|thumb|right|Mailkonten auswählen]]
Setzen Sie hier die E-Mailkonten ein, die von der Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. 
Die Berechtigung '''Userinterface''' wird benötigt.
 
 
 

====Registerkarte WOL====
[[Datei:user_group_add_wol.png|350px|thumb|right|bla]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
 
<div align="right">[[#top|nach oben]]</div>

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-04T12:03:58Z

Marco: /* Die Registerkarte Gruppen */

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:user_tab_groups.png|400px|thumb|right|Auflistung der bestehenden Gruppen]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche 
''' + Gruppe hinzufügen'''. 
Es öffnet sich der Dialog '''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.
 
 

====Registerkarte Berechtigungen====
[[Datei:user_group_add_rights.png|350px|thumb|right|Namen und Berechtigungen vergeben]]
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Administrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

====Registerkarte SSL-VPN====
[[Datei:user_group_add_ssl_vpn.png|350px|thumb|right|SSL-VPN Einstellungen der Gruppe]]
Auf dieser Registerkarte können Sie für di gesamte Gruppe Einstellungen für das SSL-VPN vergeben. 
Beachten Sie, dass dann alle Benutzer das gleiche Zertifikat benutzen. SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
 
 

====Registerkarte Active Directory====
[[Datei:user_group_add_ad.png|350px|thumb|right|AD Gruppenzuordnung]]
Hier tragen Sie ein, welcher Active Directory Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
*Wählen Sie die Gruppe aus dem Dropdownfeld.

====Registerkarte Mailfilter====
[[Datei:user_group_add_mailfilter.png|350px|thumb|right|bla]]

====Registerkarte WOL====
[[Datei:user_group_add_wol.png|350px|thumb|right|bla]]

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-04T11:31:32Z

Marco: Abbildungen eingefuegt

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:user_tab_group.png|400px|thumb|right|bla]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche '''+ Gruppe hinzufügen'''. 
Es öffnet sich der Dialog ''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.

====Registerkarte Berechtigungen====
[[Datei:user_group_add_rights.png|350px|thumb|right|bla]]
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Aministrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

====Registerkarte SSL-VPN====
[[Datei:user_group_add_ssl_vpn.png|350px|thumb|right|bla]]

====Registerkarte Active Directory====
[[Datei:user_group_add_ad.png|350px|thumb|right|bla]]

====Registerkarte Mailfilter====
[[Datei:user_group_add_mailfilter.png|350px|thumb|right|bla]]

====Registerkarte WOL====
[[Datei:user_group_add_wol.png|350px|thumb|right|bla]]

Datei:User tab groups.png

2014-04-04T11:26:21Z

Marco:

Datei:User group add wol.png

2014-04-04T11:24:28Z

Marco:

Datei:User group add ssl vpn.png

2014-04-04T11:24:01Z

Marco:

Datei:User group add rights.png

2014-04-04T11:23:34Z

Marco:

Datei:User group add mailfilter.png

2014-04-04T11:23:05Z

Marco:

Datei:User group add ad.png

2014-04-04T11:22:38Z

Marco:

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-04T10:41:40Z

Marco: /* Die Registerkarte Gruppen */

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:.png|400px|thumb|right|]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche '''+ Gruppe hinzufügen'''. 
Es öffnet sich der Dialog ''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.

====Registerkarte Berechtigungen====
[[Datei:.png|350px|thumb|right|]]
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Aministrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

====Registerkarte VPN====
[[Datei:.png|350px|thumb|right|]]

====Registerkarte SSL-VPN====
[[Datei:.png|350px|thumb|right|]]

====Registerkarte WOL====

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-04T10:31:00Z

Marco: /* Registerkarte WOL */

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>
 

==Die Registerkarte Gruppen==
[[Datei:.png|400px|thumb|right|]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen für den jeweiligen Benutzer die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche '''+ Gruppe hinzufügen'''. 
Es öffnet sich der Dialog ''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.

====Registerkarte====
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Aministrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-03T14:09:09Z

Marco:

[[kategorie:UTMv11]]
In der Navigationsleiste unter dem Punkt '''Authentifizierung''' befindet sich der Eintrag '''Benutzer'''.
Hier gelangen Sie zu der Benutzerverwaltung. Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen. 
Hier können Sie neue Nutzer anlegen, Eigenschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

==Das Fenster Benutzer==
[[Datei:user_tab_users.png|400px|thumb|right|Benutzer Dialog]]
Das Fenster '''Benutzer''' zeigt Ihnen auf der Registerkarte '''Benutzer''' alle angelegten Benutzer mit Login-Namen, Gruppenzugehörigkeit und Benutzerrechten. 
Mit dem '''Werkzeugschlüsselsymbol''' öffnet sich ein Dialog, in dem Sie die Attribute der Benutzer bearbeiten können. 
Das '''Abfalleimersymbol''' löscht den Benutzer. 
Auf der Registerkarte '''Gruppen''' werden die bestehenden Benutzergruppen aufgelistet.
 
 

==Einen neuen Benutzer hinzufügen==
*Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf die Schaltfläche '''Benutzer hinzufügen'''. 
Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten.
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Um die Eintragungen zu übernehmen, klicken Sie auf die Schaltfläche '''Speichern'''.

====Registerkarte Allgemein====
[[Datei:user_add_general.png|350px|thumb|right|Anmeldedaten des Benutzers eintragen]]
Die erste Registerkarte trägt den Namen '''Allgemein''' und zeigt die Anmeldedaten des neuen Benutzers an. 
*Tragen Sie unter '''Anmeldenamen''' den Loginnamen des Nutzers ein. 
*Vergeben Sie im Feld '''Passwort''' ein Kennwort und bestätigen Sie dieses durch nochmalige Eingabe im Feld '''Passwort bestätigen'''.
 

====Registerkarte Gruppen====
[[Datei:user_add_groups.png|350px|thumb|right|Registerkarte Gruppen]]
In der Registerkarte '''Gruppen''' können Sie den Benutzer einer oder mehreren Gruppen zuordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
*Markieren Sie die Gruppe, der der neue Benutzer beitreten soll.
*Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
 
 

====Registerkarte VPN====
[[Datei:user_add_vpn.png|350px|thumb|right|IP_tunnel Adressen festlegen]]
In der Registerkarte '''VPN''' vergeben Sie feste IP-Tunnel Adressen an den Benutzer.
*Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-Adresse für den Benutzer ein.
 
 

====Registerkarte SSL-VPN====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
 

====Registerkarte Passwort====
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
:::Ziffern
:::Sonderzeichen
:::Groß- und Kleinbuchstaben
 

====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
 
 

====Registerkarte WOL====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird. 
 
<div align="right">[[#top|nach oben]]</div>

==Die Registerkarte Gruppen==
[[Datei:.png|400px|thumb|right|]]
Auf der zweite Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen für den jeweiligen Benutzer die Gruppeneinstellungen. 
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche '''+ Gruppe hinzufügen'''. 
Es öffnet sich der Dialog ''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.

====Registerkarte====
Im Dialog '''Gruppe hinzufügen''' öffnet sich zunächst die Registerkarte '''Berechtigungen'''.
*Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
*Wählen Sie dann Berechtigungen für die Gruppe aus.
**Firewall Administrator
**Mailfilter Aministrator
**VPN-L2TP
**VPN-PPTP
**SSL-VPN
**HTTP-Proxy
**Userinterface
**IPSEC XAUTH
**Clientless VPN
**SMTP-Relay Benutzer

UTM/AUTH/Benutzerverwaltung 11.7

2014-04-03T13:31:38Z

Marco: /* Das Fenster Benutzer */