Marco (Diskussion | Beiträge) |
KKeine Bearbeitungszusammenfassung |
||
(13 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{#vardefine:headerIcon|spicon-utm}}{{DISPLAYTITLE:Zertifikate}} | |||
{{ | {{#vardefine:headerIcon|spicon-utm}} | ||
{{Archivhinweis|UTM/AUTH/Zertifikate}} | |||
== Informationen == | |||
Letzte Anpassung zur Version: '''11.7''' | |||
<br> | |||
Bemerkung: Artikelanpassung | |||
<br> | |||
Vorherige Versionen: - | |||
<br> | |||
==Allgemeines== | ==Allgemeines== | ||
Zeile 30: | Zeile 38: | ||
Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen. | Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen. | ||
===CA erstellen=== | |||
*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü.<br/>Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''. | *Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü.<br/>Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''. | ||
[[Datei: | [[Datei:UTMV11_Z_CA.png|thumb|<font size="1">CA anlegen</font>]] | ||
*Klicken Sie auf ''+CA hinzufügen''.<br/>Es öffnet sich der Dialog ''CA hinzufügen''. | *Klicken Sie auf ''+CA hinzufügen''.<br/>Es öffnet sich der Dialog ''CA hinzufügen''. | ||
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein. | *Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein. | ||
Zeile 41: | Zeile 49: | ||
*Klicken Sie dann auf ''Speichern''. | *Klicken Sie dann auf ''Speichern''. | ||
<br> | <br> | ||
<br /> | |||
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div> | |||
===Server- und Nutzerzertifikat erstellen=== | |||
Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen. | Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen. | ||
Zeile 63: | Zeile 73: | ||
*Klicken Sie auf ''Speichern''. | *Klicken Sie auf ''Speichern''. | ||
[[Datei: | [[Datei:UTMV11_Z_Srv_c.png|left|thumb|<font size="1">Serverzertifikat anlegen</font>]] | ||
[[Datei: | [[Datei:UTMV11_Z_RW_c.png|right|thumb|<font size="1">Roadwarriorzertifikat anlegen</font>]] | ||
<br><br><br><br> | <br><br><br><br> | ||
Zeile 70: | Zeile 80: | ||
<br><br><br><br> | <br><br><br><br> | ||
<br><br><br><br> | <br><br><br><br> | ||
<br /> | |||
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div> | <div align="right">[[#top|<font size=1>zum Anfang</font>]]</div> | ||
==Zertifikate exportieren== | |||
Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden. | Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden. | ||
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' ''End Certificate'' und ''Begin Private Key'' ''End Private Key'' gekennzeichnet. Die | Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden. | ||
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''. | Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''. | ||
Zeile 81: | Zeile 92: | ||
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki. | Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki. | ||
===Export im PEM Format=== | |||
[[Datei:Export_pem.png|thumb|450px|<font size="1">Export im PEM Format</font>]] | |||
*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''. | *Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''. | ||
*Wählen Sie das zu exportierende Zertifikat aus. | *Wählen Sie das zu exportierende Zertifikat aus. | ||
*Klicken Sie in der entsprechenden Zeile auf | *Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''.<br/>Es öffnet sich der Speicherdialog des Browsers. | ||
*Klicken Sie auf ''Datei speichern''.<br/>Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen. | |||
*Klicken Sie auf Datei | |||
<br> | <br> | ||
[[Datei:Export_pem_CA.png|thumb|450px|<font size="1">Export CA im PEM Format</font>]] | |||
*Wechseln Sie auf die Registerkarte CA. | *Wechseln Sie auf die Registerkarte CA. | ||
*Wählen Sie das zugehörige Stammzertifikat. | *Wählen Sie das zugehörige Stammzertifikat. | ||
*Klicken Sie in der entsprechenden Zeile auf | *Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''.<br/>Es öffnet sich der Speicherdialog des Browsers. | ||
*Klicken Sie auf ''Datei speichern''.<br/>Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen. | |||
*Klicken Sie auf Datei | |||
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden. | Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden. | ||
===Export im PKCS#12 Format=== | |||
[[Datei:Export_pkcs12.png|thumb|450px|<font size="1">Export im PKCS#12 Format</font>]] | |||
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss | Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. | ||
[[Datei:Export_pkcs12_kennwort.png|thumb|<font size="1">Kennwort für PKCS12 angeben</font>]] | |||
Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert. | |||
<br /><br /> | |||
<br /><br /> | |||
<br /><br /> | |||
<br /> | |||
<div align="right">[[#top|<font size=1>zum Anfang</font>]]</div> | <div align="right">[[#top|<font size=1>zum Anfang</font>]]</div> | ||
==Zertifikate widerrufen== | |||
Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen. | Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen. | ||
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren. | Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren. | ||
[[Datei:Revoke_cert.png|thumb|450px|<font size="1">Zertifikat widerrufen</font>]] | |||
*Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''. | *Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte ''Zertifikate''. | ||
*Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol. | *Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol. | ||
*Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.). | *Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.). | ||
Aktuelle Version vom 12. Mai 2020, 16:39 Uhr
notempty
Informationen
Letzte Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -
Allgemeines
Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard. Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde. Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.
Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert. Dazu gehören:
- Name des Zertifikats (CN) Common Name
- Land (CO) Country
- Bundesland/Region (ST) State
- Ort (LO) Location
- Firma (OR) Organisation
- Abteilung (OU) Organisation Unit
- E-Mail (email-address)
Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse. Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).
Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.
Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.
Zertifikatserstellung auf der Appliance
Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.
CA erstellen
- Klicken Sie auf der Navigationsleise auf den Punkt Authentifizierung und wählen Sie den Eintrag Zertifikate vom Dropdownmenü.
Es öffnet sich der Dialog Zertifikate auf der Registerkarte CA.
- Klicken Sie auf +CA hinzufügen.
Es öffnet sich der Dialog CA hinzufügen. - Tragen Sie im Feld Common Name einen eindeutigen Namen ein.
- Wählen Sie aus dem Dropdownfeld Schlüssellänge die Schlüssellänge für das Zertifikat aus..
- Tragen Sie in den Feldern Gültig seit und Gültig bis, den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
- Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
- Klicken Sie dann auf Speichern.
Server- und Nutzerzertifikat erstellen
Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.
- Wechseln Sie auf die Registerkarte Zertifikate und klicken Sie auf den Button + Zertifikat hinzufügen.
Es öffnet sich der Dialog Zertifikat hinzufügen. - Geben Sie im Feld Common Name einen Namen für das Zertifikat an.
- Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
- Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
- Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche Werte aus CA laden.
Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:
- Tragen Sie mit den Felder Gültig seit und Gültig bis die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
- Wählen sie im Feld Land die Landeskennung aus dem Dropdownfeld.
- Geben Sie im Feld Staat die Region oder das Bundesland an.
- Geben Sie im Feld Stadt die Stadt an.
- Tragen Sie im Feld Organisation Ihre Firma oder Organisation ein.
- Tragen Sie im Feld Abteilung die Unterstruktur ein.
- Im Feld E-Mail tragen Sie eine E-Mail-Adresse ein.
- Für ein Serverzertifikat wählen Sie im Feld Alias den Eintrag DNS aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
- Aktivieren Sie die Checkbox Serverzertifikat.
- Für ein Nutzerzertifikat wählen Sie als Alias Keine aus. die Checkbox Serverzertifikat bleibt deaktiviert.
- Klicken Sie auf Speichern.
Zertifikate exportieren
Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden. Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate und End Certificate und Begin Private Key und End Private Key gekennzeichnet. Die Datei hat die Endung .pem. Die CA muss separat exportiert werden. Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12.
Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende Anleitung in dieser Wiki.
Export im PEM Format
- Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte Zertifikate.
- Wählen Sie das zu exportierende Zertifikat aus.
- Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung PEM.
Es öffnet sich der Speicherdialog des Browsers. - Klicken Sie auf Datei speichern.
Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
- Wechseln Sie auf die Registerkarte CA.
- Wählen Sie das zugehörige Stammzertifikat.
- Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung PEM.
Es öffnet sich der Speicherdialog des Browsers. - Klicken Sie auf Datei speichern.
Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
Export im PKCS#12 Format
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung PKCS12 benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA.
Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.
Zertifikate widerrufen
Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte Widerrufen geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte CRL (Certificate Revocation List) aufgenommen. Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
- Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte Zertifikate.
- Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
- Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).