KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (20 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{Lang}} | {{Lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | display | {{var | display | ||
| Zertifikate | |||
| Certificates }} | |||
{{var | head | {{var | head | ||
| Erstellen und Verwalten von Zertifikaten | |||
| Creation and managment of certificates }} | |||
{{var | Authentifizierung | |||
| Authentifizeirung | |||
| Authentication }} | |||
{{var | Zertifikate | |||
| Zertifikate | |||
| Certificates }} | |||
{{var | neu--Überarbeitung | {{var | neu--Überarbeitung | ||
| Allgemeine Überarbeitung | |||
| General revision }} | |||
{{var | neu--Letsencrypt | {{var | neu--Letsencrypt | ||
| Zertifikate mit Hilfe von ACME verwalten (Let's Encrypt) | |||
| Manage certificates with the help of ACME (Let's Encrypt) }} | |||
{{var | Allgemeines | {{var | Allgemeines | ||
| Allgemeines | |||
| General }} | |||
{{var | Allgemeines--cap | {{var | Allgemeines--cap | ||
| Dialog Zertifikate | |||
| Dialog certificates }} | |||
{{var | Allgemeines--Bild | {{var | Allgemeines--Bild | ||
| UTM v12.5.1 Zertifikate.png | |||
| UTM v12.5.1 Zertifikate-en.png }} | |||
{{var | 1=Allgemeines--desc | {{var | 1=Allgemeines--desc | ||
| 2=<p>Die Securepoint Firewall benutzt digitale Zertifikate für die Authentifikation bei verschiedenen Funktionen: | |||
* VPN-Verbindungen | * VPN-Verbindungen | ||
* SSL-Interception | * SSL-Interception | ||
| Zeile 38: | Zeile 43: | ||
** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden. | ** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden. | ||
* | * durch einen '''{{hoover|ACME|Automatic Certificate Management Environment}}-Dienst''' ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier [https://letsencrypt.org/de/ Let's Encrypt]</p> | ||
| 3=<p>The Securepoint firewall uses digital certificates for authentication for various functions: | |||
* VPN connections | |||
* SSL Interception | |||
* Captive Portal | |||
* Mailrelay | |||
* Reverse Proxy | |||
The certificates comply with the x.509 standard.</p> | |||
<p>Certificates are intended to certify the identity of the holder. <br> | |||
They are | |||
* issued by the '''Securepoint Appliance''' and signed by the appliance's own CA (Certification Authority; also called root certificate). | |||
** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created. | |||
* issued by a '''{{hoover|ACME|Automatic Certificate Management Environment}}''' service and certified by it. Available here [https://letsencrypt.org/en/ Let's Encrypt]</p>.}} | |||
{{var | Allgemeines--Hinweise | {{var | Allgemeines--Hinweise | ||
| Weitere Hinweise zu Zertifikaten anzeigen | |||
| Show more notes on certificates }} | |||
{{var | 1=Allgemeines--Hinweise--desc | {{var | 1=Allgemeines--Hinweise--desc | ||
| 2=Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde. | |||
<p>Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.<br> | <p>Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.<br> | ||
| Zeile 52: | Zeile 69: | ||
* Bundesland/Region (ST) State | * Bundesland/Region (ST) State | ||
* Ort (LO) Location | * Ort (LO) Location | ||
* Firma (OR) Organisation | * Firma (OR) Organisation | ||
* Abteilung (OU) Organisation Unit | * Abteilung (OU) Organisation Unit | ||
* E-Mail (email-address) | * E-Mail (email-address) | ||
| Zeile 61: | Zeile 78: | ||
* Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden. | * Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden. | ||
* Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{ | * Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{Alert|g}} Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht. | ||
</p> | </p> | ||
| 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance. | |||
<p>To be able to uniquely assign the certificate, a distinguished name (DN) is generated from the individual details that must be set when the certificate is created.<br>. | |||
This includes: | |||
* Name of the certificate (CN) Common Name | |||
* Country (CO) Country | |||
* State/Region (ST) State | |||
* City (LO) Location | |||
* Company (OR) Organization | |||
* Department (OU) Organization Unit | |||
* E-mail (email-address) | |||
* An alias can still be specified to strengthen the uniqueness. This alias is either an email address, a DNS name or an IP address.<li class="list--element__alert list--element__hint">Some VPN software requires this alias for proper functionality (e.g. Windows 7 IPSec Client). | |||
</li> | |||
* In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used. | |||
* A flag can also be set, which identifies the certificate as a server certificate. {{Alert|g}} This is required by OpenVPN for the server. OpenVPN always requires a server system with server certificate for a site, even for site-to-site connections. Other VPN protocols do not require this flag. | |||
</p>}} | |||
{{var | Zertifikatserstellung--UTM | {{var | Zertifikatserstellung--UTM | ||
| Zertifikatserstellung durch die UTM | |||
| Certificate creation by the UTM }} | |||
{{var | Zertifikatserstellung--UTM--desc | {{var | Zertifikatserstellung--UTM--desc | ||
| Im Folgenden wird gezeigt, wie durch die UTM Zertifikate erstellt und signiert werden. | |||
| The following shows how certificates are created and signed by the UTM. }} | |||
{{var | CA erstellen | {{var | CA erstellen | ||
| CA erstellen | |||
| Create CA }} | |||
{{var | CA erstellen--desc | {{var | CA erstellen--desc | ||
| * Menü {{Menu-UTM|Authentifizierung|Zertifikate|CA|CA hinzufügen|+}} | |||
* | | * Menu {{Menu-UTM|Authentication|Certificates|CA|Add CA|+}} }} | ||
{{var | CA erstellen--Bild | {{var | CA erstellen--Bild | ||
| UTM v12.6 Zertifikate CA erstellen.png | |||
| UTM v12.6 Zertifikate CA erstellen-en.png }} | |||
{{var | CA erstellen--cap | {{var | CA erstellen--cap | ||
| Dialog CA hinzufügen | |||
| Dialog ''Add CA''}} | |||
{{var | CA hinzufügen | |||
| CA hinzufügen | |||
| }} | |||
{{var | Authentifizierung | |||
| Authentifizierung | |||
| }} | |||
{{var | Zertifikate | |||
| Zertifikate | |||
| }}S | |||
{{var | Common Name | {{var | Common Name | ||
| Common Name | |||
| Common Name }} | |||
{{var | Common Name--desc | {{var | Common Name--desc | ||
| Eindeutiger Name | |||
| Unique name }} | |||
{{var | Schlüssellänge | {{var | Schlüssellänge | ||
| Schlüssellänge | |||
| Key length }} | |||
{{var | Schlüssellänge--desc | {{var | Schlüssellänge--desc | ||
| Schlüssellänge in Bit. Default {{ic|2048|dr}}<br>Weitere Werte: {{ic|1024|dr}} und {{ic|4096|dr}} | |||
| Key length in bit. Default {{ic|2048|dr}}<br>Other values: {{ic|1024|dr}} and {{ic|4096|dr}} }} | |||
{{var | Gültig bis | {{var | Gültig bis | ||
| Gültig bis | |||
| Valid until }} | |||
{{var | Gültig bis--Hinweis | {{var | Gültig bis--Hinweis | ||
| Mit der Gültigkeit der CA läuft auch die Gültigkeit der mit dieser CA signierten Zertifikate aus. | |||
| When the CA expires, the validity of the certificates signed with this CA also expires. }} | |||
{{var | Gültig bis--desc | {{var | Gültig bis--desc | ||
| Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT hh:mm:ss. Wenn mit der Maus in das Eingabefeld geklickt wird, öffnet sich automatisch ein Kalender, auf dem das Datum und die Uhrzeit ausgewählt werden kann. | |||
| The date must be entered in the following format YYYY/MM/DD hh:mm:ss. If the mouse is clicked in the input field, a calendar opens automatically, on which the date and time can be selected. }} | |||
{{var | CA--Speichern | {{var | CA--Speichern | ||
| Erstellen der CA mit der Schaltfläche {{Button-dialog||fa-floppy-disk-circle-xmark}} | |||
| Create the CA with the {{Button-dialog||fa-floppy-disk-circle-xmark}} button. }} | |||
{{var | Zertifikat erstellen | {{var | Zertifikat erstellen | ||
| Server- und Clientzertifikat erstellen | |||
| Create server and client certificate }} | |||
{{var | Zertifikat erstellen--Menü | {{var | Zertifikat erstellen--Menü | ||
| Bereich {{Reiter|Zertifikate}} Schaltfläche {{Button|Zertifikat hinzufügen|+}} | |||
| Tab {{Reiter|Certificates}} Button {{Button|Add Certificate|+}} }} | |||
{{var | Zertifikat erstellen--Reihenfolge | {{var | Zertifikat erstellen--Reihenfolge | ||
| Erst nachdem eine CA angelegt wurde, können Server- und Clientzertifikate angelegt werden. | |||
| }} | |||
{{var | Zertifikat erstellen--desc | {{var | Zertifikat erstellen--desc | ||
| Nun kann ein Zertikikat für einen Server oder Client erstellt werden. Dies geht unter: {{Menu-UTM|Authentifizierung|Zertifikate|Zertifikate|Zertifikat hinzufügen|+}} | |||
| }} | |||
{{ | |||
{{var | Common Name--desc | {{var | Common Name--desc | ||
| Eindeutiger Name. {{Alert|gr}} Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden: | |||
* CA-''xyz'' für Certificate Authorities | * CA-''xyz'' für Certificate Authorities | ||
* CS-''xyz'' für Serverzertifikate (Certificate Server) | * CS-''xyz'' für Serverzertifikate (Certificate Server) | ||
* CC-''xyz'' für Clientzertifikate (Certificate Client) | * CC-''xyz'' für Clientzertifikate (Certificate Client) | ||
* ACME-''xyz'' für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll) | * ACME-''xyz'' für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll) | ||
| Distinctive name. {{Alert|gr}} The following scheme should be used for clear assignment of certificates: | |||
* CA-''xyz'' for Certificate Authorities | |||
* CS-''xyz'' for server certificates (Certificate Server) | |||
* CC-''xyz'' for client certificates (Certificate Client) | |||
* ACME-''xyz'' for ACME certificates (xyz corresponds to the service for which the certificate is to be used) }} | |||
{{var | Werte aus CA laden | {{var | Werte aus CA laden | ||
| Werte aus CA laden | |||
| Loading values from CA }} | |||
{{var | Werte aus CA laden--desc | {{var | Werte aus CA laden--desc | ||
| Übernimmt die Werte aus der CA. Nachträgliche Änderungen sind möglich. | |||
| Adopts the values from the CA. Subsequent changes are possible. }} | |||
{{var | CA-wählen--desc | {{var | CA-wählen--desc | ||
| {{Button|CA-Anyideas|dr}} Auswahl der CA, die das Zertifikat signieren soll | |||
| {{Button|CA-Anyideas|dr}} Selection of the CA that will sign the certificate }} | |||
{{var | Serverzertifikat | {{var | Serverzertifikat | ||
| Serverzertifikat | |||
| Server certificate }} | |||
{{var | Serverzertifikat--Bild | {{var | Serverzertifikat--Bild | ||
| UTM v12.6 Zertifikate Serverzertifikat erstellen.png | |||
| UTM v12.6 Zertifikate Serverzertifikat erstellen-en.png }} | |||
{{var | Serverzertifikat--cap | {{var | Serverzertifikat--cap | ||
| Serverzertifikat erstellen | |||
| Create server certificate }} | |||
{{var | Zertifikat hinzufügen | |||
| Zertifikat hinzufügen | |||
| }} | |||
{{var | Clientzertifikat--Bild | {{var | Clientzertifikat--Bild | ||
| UTM v12.6 Zertifikate Clientzertifikat erstellen.png | |||
| UTM v12.6 Zertifikate Clientzertifikat erstellen-en.png }} | |||
{{var | Clientzertifikat--cap | {{var | Clientzertifikat--cap | ||
| Clientzertifikat erstellen | |||
| Create client certificate }} | |||
{{var | Serverzertifikat--desc | {{var | Serverzertifikat--desc | ||
| Wird für ein Serverzertifikat aktiviert. | |||
* {{ | | Is activated for a server certificate. }} | ||
* {{ | {{var | Serverzertifikat--Alias | ||
* {{ | | Zusätzlich ist mindest eine weiterer Alias erforderlich. | ||
| In addition, at least one further alias is required. }} | |||
{{var | Alias--desc | |||
| | |||
* {{Button|DNS|dr|class=mw5}} DNSName des Servers (z.B. beispiel.spdns.de) | |||
* {{Button|E-Mail|dr|class=mw5}} E-Mailadresse | |||
* {{Button|IP|dr|class=mw5}} IP-Adresse des Servers | |||
Hinzufügen des Alias mit der Schaltfläche {{Button||+}} | Hinzufügen des Alias mit der Schaltfläche {{Button||+}} | ||
| | |||
* {{Button|DNS|dr|class=mw5}} DNSName of the server (e.g. example.spdns.en). | |||
* {{Button|E-mail|dr|class=mw5}} Email address | |||
* {{Button|IP|dr|class=mw5}} IP address of the server | |||
Adding the alias with the {{Button||+}} button. }} | |||
{{var | Clientzertifikat--desc | {{var | Clientzertifikat--desc | ||
| Wird für ein Clientzertifikat nicht verwendet | |||
| Not used for a client certificate }} | |||
{{var | CC--Speichern | {{var | CC--Speichern | ||
| Erstellen des Zertifikates mit der Schaltfläche {{Button-dialog||fa-floppy-disk-circle-xmark}} | |||
| Create the certificate with the {{Button-dialog||fa-floppy-disk-circle-xmark}} button. }} | |||
{{var | ACME Zertifikate | {{var | ACME Zertifikate | ||
| ACME Zertifikate (Let's Encrypt) | |||
| ACME certificates (Let's Encrypt) }} | |||
{{var | ACME Zertifikate--desc | {{var | ACME Zertifikate--desc | ||
| Um ACME Zertifikate nutzen zu können, muss dies unter {{Menu-UTM|Authentifizierung|Zertifikate|ACME}} {{b|Aktiviert:}} {{ButtonAn|Ja}} aktiviert werden. | |||
| }} | |||
{{var | ACME Zertifikate--default--cap | {{var | ACME Zertifikate--default--cap | ||
| {{Kasten2|ACME-Dienst |grau}} {{ButtonAn|Ein}} Dienst aktivieren | |||
| {{Kasten2|ACME service |grau}} {{ButtonAn|On}} Enable service }} | |||
{{var | ACME Zertifikate--default--Bild | {{var | ACME Zertifikate--default--Bild | ||
| UTM v12.6 Zertifikate ACME Default.png | |||
| UTM v12.6 Zertifikate ACME Default-en.png }} | |||
{{var | ACME Zertifikate--NB-laden--cap | {{var | ACME Zertifikate--NB-laden--cap | ||
| Sobald der Dienst aktiviert wurde und dies mit {{Button-dialog||fa-save}} gespeichert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen {{Button||w}} aufrufen. | |||
| }} | |||
{{var | ACME Zertifikate--NB-laden--Bild | {{var | ACME Zertifikate--NB-laden--Bild | ||
| UTM v12.6 Zertifikate ACME Nutzungsbedingungen geladen.png | |||
| UTM v12.6 Zertifikate ACME Nutzungsbedingungen geladen-en.png }} | |||
{{var | ACME Zertifikate--aktivieren--cap | {{var | ACME Zertifikate--aktivieren--cap | ||
| Mit der Schaltfläche {{b|Aktivieren}} {{ButtonAn|Ja}} und dem Hinterlegen einer {{b|E-Mail}} Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben unter {{Button-dialog||fa-floppy-disk-circle-xmark}} speichern. | |||
| With the button {{b|Activate}} {{ButtonAn|Yes}} and the storage of an {{b|Email}} address for notifications by the ACME service provider (here: Let's Encrypt), the information can be saved with {{Button-dialog||fa-floppy-disk-circle-xmark}} }} | |||
{{var | ACME Zertifikate--aktivieren--Bild | {{var | ACME Zertifikate--aktivieren--Bild | ||
| UTM v12.6 Zertifikate ACME aktivieren.png | |||
| UTM v12.6 Zertifikate ACME aktivieren-en.png }} | |||
{{var | ACME Zertifikate--NB-bestätigen--cap | {{var | ACME Zertifikate--NB-bestätigen--cap | ||
| Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert {{ButtonAn|Ja}} werden müssen. | |||
| A dialog will appear with a link to the Terms of Use, which must be accepted {{ButtonAn|Yes}}. }} | |||
{{var | ACME Zertifikate--NB-bestätigen--Bild | {{var | ACME Zertifikate--NB-bestätigen--Bild | ||
| UTM v12.6 Zertifikate ACME Nutzungsbedingungen bestätigen.png | |||
| UTM v12.6 Zertifikate ACME Nutzungsbedingungen bestätigen-en.png }} | |||
{{var | ACME Zertifikate--Registrierung--cap | {{var | ACME Zertifikate--Registrierung--cap | ||
| Daraufhin wird eine Registrierung bei dem ACME Dienstanbieter durchgeführt | |||
| A registration with the ACME service provider is then performed }} | |||
{{var | ACME Zertifikate--Registrierung--Bild | {{var | ACME Zertifikate--Registrierung--Bild | ||
| UTM v12.6 Zertifikate ACME Regestrierung.png | |||
| UTM v12.6 Zertifikate ACME Regestrierung-en.png }} | |||
{{var | ACME Zertifikate--Registriert--cap | {{var | ACME Zertifikate--Registriert--cap | ||
| Die erfolgreiche Registrierung wird mit dem Status {{spc|OK|buttongr}} angezeigt. | |||
| Successful registration is indicated with the status {{spc|OK|buttongr}}. }} | |||
{{var | ACME Zertifikate--Registriert--Bild | {{var | ACME Zertifikate--Registriert--Bild | ||
| UTM v12.6 Zertifikate ACME registriert.png | |||
| UTM v12.6 Zertifikate ACME registriert-en.png }} | |||
{{var | ACME-aktivieren | {{var | ACME-aktivieren | ||
| ACME Dienst aktivieren | |||
| Activate ACME service }} | |||
{{var | Token generieren | {{var | Token generieren | ||
| Token generieren | |||
| Generate token }} | |||
{{var | Token generieren--desc | {{var | Token generieren--desc | ||
| Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im [https://spDYN.de spDYN Portal] zu generieren.<br> Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen. | |||
| To generate the certificates, the ACME token must first be generated in the [https://spDYN.de spDYN portal].<br> Within the spDYN portal, the corresponding host must be opened. }} | |||
{{var | spDyn-Token--Host--Bild | {{var | spDyn-Token--Host--Bild | ||
| Zertifikate ACME SpDYN Token.png | |||
| Zertifikate ACME SpDYN Token-en.png }} | |||
{{var | spDyn-Token--Host--cap | {{var | spDyn-Token--Host--cap | ||
| spDyn Host aufrufen | |||
| Call up spDyn Host }} | |||
{{var | spDyn-Token--Token-wählen--Bild | {{var | spDyn-Token--Token-wählen--Bild | ||
| Zertifikate ACME SpDYN Token waehlen.png | |||
| Zertifikate ACME SpDYN Token waehlen-en.png }} | |||
{{var | spDyn-Token--Token-wählen--cap | {{var | spDyn-Token--Token-wählen--cap | ||
| Im Dropdown Menü für {{b|Token}} den {{ic|ACME Challenge Token|dr}} wählen | |||
| Select the {{ic|ACME Challenge Token|dr}} from the {{b|Token}} drop-down menu. }} | |||
{{var | spDyn-Token--Token generieren--Bild | {{var | spDyn-Token--Token generieren--Bild | ||
| Zertifikate ACME SpDYN ACME Token.png | |||
| Zertifikate ACME SpDYN ACME Token-en.png }} | |||
{{var | spDyn-Token--Token generieren--cap | {{var | spDyn-Token--Token generieren--cap | ||
| Token generieren | |||
| Generate token }} | |||
{{var | spDyn-Token--Hinweis | {{var | spDyn-Token--Hinweis | ||
| Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden. | |||
| The token is displayed once during generation and cannot be displayed again. }} | |||
{{var | spDyn-Token--Token notieren | {{var | spDyn-Token--Token notieren | ||
| Der Token sollte notiert und sicher aufbewahrt werden. | |||
| The token should be noted and stored safely. }} | |||
{{var | ACME-Zertifikat erstellen | {{var | ACME-Zertifikat erstellen | ||
| ACME-Zertifikat erstellen | |||
| Create ACME certificate }} | |||
{{var | ACME-Zertifikate | {{var | ACME-Zertifikate | ||
| ACME-Zertifikate | |||
| ACME Certificates }} | |||
{{var | ACME-Zertifikat erstellen--desc | {{var | ACME-Zertifikat erstellen--desc | ||
| Nach Abschluss der vorherigen Schritte kann nun das eigentliche Zertifikat erzeugt werden. Ein Klick im Bereich {{Reiter | Zertifikate}} auf {{Button|ACME-Zertifikat hinzufügen|+}} öffnet den entsprechenden Dialog. | |||
| After completing the previous steps, the actual certificate can now be generated. A click on {{Button|Add ACME certificate|+}} in the {{Reiter|Certificates}} tab opens the corresponding dialog. }} | |||
{{var | Authentifizierung | {{var | Authentifizierung | ||
| Authentifizierung | |||
| Authentifizierung }} | |||
{{var | Zertifikate | {{var | Zertifikate | ||
| Zertifikate | |||
| Certificates }} | |||
{{var | ACME-Zertifikat hinzufügen | {{var | ACME-Zertifikat hinzufügen | ||
| ACME-Zertifikat hinzufügen | |||
| Add ACME certificate }} | |||
{{var | Dialog | {{var | Dialog | ||
| Dialog | |||
| Dialog }} | |||
{{var | ACME-Zertifikat hinzufügen--Bild | {{var | ACME-Zertifikat hinzufügen--Bild | ||
| UTM v12.6 Zertifikate ACME hinzufuegen.png | |||
| UTM v12.6 Zertifikate ACME hinzufuegen-en.png }} | |||
{{var | Name | {{var | Name | ||
| Name | |||
| Name }} | |||
{{var | Name--desc | {{var | Name--desc | ||
| Name zur Identifizierung des Zertifikates | |||
| Name to identify the certificate }} | |||
{{var | Schlüssellänge | {{var | Schlüssellänge | ||
| Schlüssellänge: | |||
| Key length: }} | |||
{{var | Schlüssellänge--desc | {{var | Schlüssellänge--desc | ||
| Schlüssellänge des Zertifikates. Mögliche Werte: | |||
| Key length of the certificate. Possible values: }} | |||
{{var | ACME-Account | {{var | ACME-Account | ||
| ACME Account | |||
| ACME Account }} | |||
{{var | ACME-Account--desc | {{var | ACME-Account--desc | ||
| ACME Account der verwendet werden soll | |||
| ACME account which should be used }} | |||
{{var | SAN--hinzufügen | {{var | SAN--hinzufügen | ||
| Subject Alternative Name konfigurieren mit {{Button|SAN hinzufügen|+}} | |||
| Subject Alternative Name configure with {{Button|Add SAN|+}} }} | |||
{{var | SAN--hinzufügen--Bild | {{var | SAN--hinzufügen--Bild | ||
| UTM v12.6 Zertifikate ACME SAN.png | |||
| UTM v12.6 Zertifikate ACME SAN-en.png }} | |||
{{var | SAN--hinzufügen--cap | {{var | SAN--hinzufügen--cap | ||
| Subject Alternative Name hinzufügen | |||
| Add Subject Alternative Name}} | |||
{{var | SAN--spdyn--val | {{var | SAN--spdyn--val | ||
| ttt-point.spdns.org | |||
| ttt-point.spdns.org }} | |||
{{var | SAN--spdyn--desc | {{var | SAN--spdyn--desc | ||
| Der Subject Alternative Name ('''SAN''') wird im Zertifikat hinterlegt und entspricht der aufgerufenen URL | |||
| The Subject Alternative Name ('''SAN'') is stored in the certificate and corresponds to the called URL }} | |||
{{var | 1=SAN--Wildcard--val | |||
| 2=<nowiki>*</nowiki>.ttt-point.spdns.org | |||
| 3=<nowiki>*</nowiki>.ttt-point.spdns.org }} | |||
{{var | SAN--Wildcard | |||
| Es können auch '''Wildcard'''-SANs verwendet werden. | |||
| '''Wildcard''' SANs can also be used. }} | |||
{{var | Wildcard-Hinweis für Captive Portal | |||
| Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt | |||
| Wildcard certificates are strongly recommended for use with a captive portal }} | |||
{{var | Wildcard-Hinweis für Captive Portal--info | |||
| Wird für das Captive Portal im Nameserver eine Forward-Zone benötigt und für diese dann ein A-Record eingetragen, wird dieser nicht mehr im öffentlichen DNS aufgelöst.<br>Die Überprüfung und Verlängerung eines ACME-Zertifikates auf diesen Namen schlägt dann fehl. | |||
| If a forward zone is required for the captive portal in the nameserver and an A record is then entered for it, this is no longer resolved in the public DNS.<br>Verification and renewal of an ACME certificate with this name will then fail. }} | |||
{{var | Subject Alternative Name | {{var | Subject Alternative Name | ||
| Subject Alternative Name | |||
| Subject Alternative Name }} | |||
{{var | Alias | {{var | Alias | ||
| Alias | |||
| Alias }} | |||
{{var | Alias--spdyn--val | {{var | Alias--spdyn--val | ||
| ttt-point.spdns.org | |||
| ttt-point.spdns.org }} | |||
{{var | Alias--spdyn--desc | {{var | Alias--spdyn--desc | ||
| Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen.<br>(Auch bei Wildcard-Domännen ohne ''*'' ) | |||
| If the SAN is a spDYN hostname it is automatically taken on as alias.<br>(Also for wildcard domains without ''*'' ) }} | |||
{{var | Token | {{var | Token | ||
| Token | |||
| Token }} | |||
{{var | Token--desc | {{var | Token--desc | ||
| Der Token aus dem spDYN-Portal (s.o.) belegt dem ACME-Dienst, daß man über den Hostnamen verfügen darf.<br>{{Button||class=fal fa-eye}} zeigt den Token an. | |||
| The token from the spDYN portal (see above) proves to the ACME service that you are allowed to dispose of the hostname.<br>{{Button||class=fal fa-eye}} displays the token. }} | |||
{{var | Speichern | {{var | Speichern | ||
| Speichern | |||
| Save }} | |||
{{var | Speichern--desc | {{var | Speichern--desc | ||
| Übernimmt diesen SAN in das Zertifikat | |||
| Transfers this SAN to the certificate }} | |||
{{var | Token--Hinweis | {{var | Token--Hinweis | ||
| Beim Einfügen des Tokens aus der Zwischenablage kann es vorkommen, daß vor oder nach dem eigentlichen Token Leerzeichen enthalten sind. Diese müssen entfernt werden | |||
| When inserting the token from the clipboard it can happen that there are blanks before or after the actual token. These must be removed }} | |||
{{var | Konfiguration prüfen | {{var | Konfiguration prüfen | ||
| Konfiguration prüfen | |||
| Check configuration }} | |||
{{var | Konfiguration prüfen--desc | {{var | Konfiguration prüfen--desc | ||
| Vor der eigentlichen Generierung des Zertifiaktes muss zunächst die Konfiguration geprüft werden. Dies erfolgt durch einen Klick auf die Schaltfläche {{Button|Konfiguration prüfen|check}}. | |||
| Before the actual generation of the certificate, the configuration must first be checked. This is done by clicking on the {{Button|Check configuration|class=fal fa-check}} button. }} | |||
{{var | Konfiguration prüfen--Bild | {{var | Konfiguration prüfen--Bild | ||
| UTM v12.6 Zertifikate ACME SAN initialisiert.png | |||
| UTM v12.6 Zertifikate ACME SAN initialisiert.png }} | |||
{{var | initialisieren | {{var | initialisieren | ||
| initialisieren | |||
| initialize }} | |||
{{var | Initialisiert | {{var | Initialisiert | ||
| Initialisiert | |||
| Initializes }} | |||
{{var | Noch nicht geprüft | {{var | Noch nicht geprüft | ||
| Noch nicht geprüft | |||
| Not yet checked }} | |||
{{var | Gültig | {{var | Gültig | ||
| Gültig | |||
| Valid }} | |||
{{var | DNS Fehler | {{var | DNS Fehler | ||
| DNS Fehler | |||
| DNS error }} | |||
{{var | Status | {{var | Status | ||
| Status | |||
| Status }} | |||
{{var | Konfiguration prüfen--prüfen--desc | {{var | Konfiguration prüfen--prüfen--desc | ||
| Die Überprüfung kann mehrere Minuten in Anspruch nehmen. Dabei wird der Dialog regelmäßig aktualisiert. | |||
| The check can take several minutes. During this process, the dialog is updated regularly. }} | |||
{{var | Konfiguration prüfen--gültig--desc | {{var | Konfiguration prüfen--gültig--desc | ||
| Ist die Überprüfung erfolgreich wird der Status {{Kasten2|Gültig|grün}} angezeigt. | |||
| If the check is successful, the status {{Kasten2|Valid|grün}} is displayed. }} | |||
{{var | Konfiguration prüfen--DNS-Fehler--desc | {{var | Konfiguration prüfen--DNS-Fehler--desc | ||
| Mögliche Ursachen: | |||
* falscher Token | |||
* DNS Auflösung gestört | |||
* Zonen Weiterleitung im DNS konfiguriert | |||
* lokale DNS-Zone im DNS konfiguriert | |||
| Possible causes: | |||
* wrong token | |||
* DNS resolution disturbed | |||
* zone forwarding configured in DNS | |||
* local DNS zone configured in DNS }} | |||
{{var | SAN--extern | {{var | SAN--extern | ||
| Subject Alternative Name für eine externe DNS-Zone konfigurieren mit {{Button|SAN hinzufügen|+}} | |||
| Configure Subject Alternative Name for an external DNS zone with {{Button|Add SAN|+}} }} | |||
{{var | SAN--extern--h4 | {{var | SAN--extern--h4 | ||
| SAN für externe DNS-Zone hinzufügen | |||
| Add SAN for external DNS zone }} | |||
{{var | SAN--extern--desc | {{var | SAN--extern--desc | ||
| Der Subject Alternative Name (SAN) aus der externen DNS-Zone | |||
| The Subject Alternative Name (SAN) from the external DNS zone.}} | |||
{{var | SAN--extern--Bild | {{var | SAN--extern--Bild | ||
| UTM v12.6 Zertifikate ACME SAN extern.png | |||
| UTM v12.6 Zertifikate ACME SAN extern-en.png }} | |||
{{var | SAN--extern--val | {{var | SAN--extern--val | ||
| ttt-point.anyideas.org | |||
| ttt-point.anyideas.org }} | |||
{{var | Alias--extern--desc | {{var | Alias--extern--desc | ||
| Der Alias muss auch für die externe DNS auf den spDYN Namen lauten. | |||
| The alias must also be the spDYN name for the external DNS. }} | |||
{{var | 1=SAN--extern--acme-challange | {{var | 1=SAN--extern--acme-challange | ||
| 2=Beim DNS-Provider, der die externe Zone hostet (hier: ttt-point.anyideas.org) muss ein zusätzlicher CNAME-Record mit dem Prefix _acme-challenge und dem anschließenden Hostnamen angelegt werden und entsprechend auf den zugehörigen spDYN-Record mit vorangestellten _acme-challenge verwiesen. {{code|_acme-challenge.ttt-point.spdns.org.}} (Mit "." am Ende!)<br> | |||
Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus:<pre> | Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus:<pre> | ||
_acme-challenge.mx.ttt-point. | _acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org. | ||
_acme-challenge.exchange.ttt-point. | _acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre> | ||
| 3=Basically, an additional CNAME record with the prefix _acme-challenge and the subsequent host name must be created at the DNS provider hosting the external zone (here: ttt-point.anyideas.org). {{code|_acme-challenge.ttt-point.spdns.org.}} (With "." at the end!)<br> | |||
An example excerpt from a Zonefile for the configuration of the two hostnames mx.ttt-point.de and exchange.ttt-point.de looks like this:<pre> | |||
_acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org. | |||
_acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre>}} | |||
{{var | 1=SAN--extern--Hinweis | {{var | 1=SAN--extern--Hinweis | ||
| 2=Der Hostname muss im öffentlichen DNS auflösbar sein. <br>Die Erstellung von Zertifkaten für <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. Zonen ist nicht möglich. | |||
| 3=The hostname must be resolvable in the public DNS. <br>Certificate creation for <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. zones is not possible. }} | |||
{{var | SAN--extern--prüfen | {{var | SAN--extern--prüfen | ||
| Weitere SANs können hinzugefügt und geprüft werden, solang die Schaltfläche {{Button-dialog||fa-floppy-disk-circle-xmark}} noch nicht betätigt wurde. | |||
| Additional SANs can be added and checked as long as the {{Button|Save}} button has not been pressed. }} | |||
{{var | SAN--Speichern | {{var | SAN--Speichern | ||
| Nach dem Speichern des Zertifikates lassen sich keine Änderungen mehr vornehmen. Es kann lediglich bei bestehenden SANs der Alias und der Token geändert werden. | |||
| Once the certificate has been saved, no more changes can be made. Only the alias and the token can be changed for existing SANs. }} | |||
{{var | SAN--Widerrufen | {{var | SAN--Widerrufen | ||
| Werden zusätzliche oder andere SANs benötigt muss ein neues Zertifikat angelegt und das Bestehende widerrufen werden. | |||
| If additional or different SANs are required, a new certificate must be created and the existing one has to be revoked. }} | |||
{{var | SAN--extern--prüfen--Bild | {{var | SAN--extern--prüfen--Bild | ||
| UTM v12.6 Zertifikate ACME SAN überprüft.png | |||
| UTM v12.6 Zertifikate ACME SAN überprüft.png }} | |||
{{var | SAN--gültig | {{var | SAN--gültig | ||
| Sind alle benötigten SAN erfolgreich geprüft, kann das Zertifikat gespeichert werden. | |||
| Once all the required SANs have been successfully checked, the certificate can be saved. }} | |||
{{var | SAN--gültig--Bild | {{var | SAN--gültig--Bild | ||
| UTM v12.6 Zertifikate ACME SAN gültig.png | |||
| UTM v12.6 Zertifikate ACME SAN gültig-en.png }} | |||
{{var | DNS-Provider | {{var | DNS-Provider | ||
| DNS-Provider | |||
| DNS-Provider }} | |||
{{var | No-Delegation | {{var | 1=No-Delegation | ||
| 2=Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. <br>{{Hinweis-box| Ist die interne und die externe/öffentliche Domain identisch, sollte ein Wildcard-ACME-Zertifikat verwendet werden.<br>Beispiel: Hostname für das Captive Portal: ''portal.ttt-point.de'' → ACME Zertifikat: ''*.ttt-point.de''|g|fs__icon=none}} | |||
| 3=The UTM must be able to resolve the host name correctly via external nameservers. <br>{{Hinweis-box| If the internal and the external/public domain are identical, the zone must also be delegated to the internal DNS.|g|fs__icon=none}} }} | |||
{{var | ACME-erstellen | {{var | ACME-erstellen | ||
| Erstellung des ACME Zertifikates | |||
| Creation of the ACME certificate }} | |||
{{var | ACME-erstellen--desc | {{var | ACME-erstellen--desc | ||
| Wurden die vorherigen Schritte erfolgreich abgeschlossen wird durch einen Klick auf Speichern der eigentliche Prozess zur Validierung und Generierung des Zertifikates angestoßen. | |||
<br> | <br> | ||
Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden. | Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden. | ||
| If the previous steps have been completed successfully, the actual process for validating and generating the certificate is triggered by clicking Save. | |||
<br> | |||
This process may take some time. To update the status, the dialog must be reloaded manually.}} | |||
{{var | ACME-erstellen--Bild | {{var | ACME-erstellen--Bild | ||
| UTM v12.6 Zertifikate ACME SAN final.png | |||
| UTM v12.6 Zertifikate ACME SAN final-en.png }} | |||
{{var | Zertifikate exportieren | {{var | Zertifikate exportieren | ||
| Zertifikate / CAs exportieren | |||
| Export certificates / CAs }} | |||
{{var | 1=Zertifikate exportieren-- | {{var | Zertifikate exportieren--desc | ||
| Zertifikate und CAs können unter {{Menu-UTM|Authentifizierung|Zertifikate|Zertifikate}} / {{Reiter|CA}} exportiert werden. | |||
| }} | |||
{{var | 1=Zertifikate exportieren--descOld | |||
| 2=Zertifikate und CAs können in zwei Formaten für den externen Gebrauch exportiert werden: | |||
* Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate und End Certificate und Begin Private Key und End Private Key gekennzeichnet. Die Datei hat die Endung <span class="whitebox">.crt</span> Die CA muss ggf. separat exportiert werden. | * Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate und End Certificate und Begin Private Key und End Private Key gekennzeichnet. Die Datei hat die Endung <span class="whitebox">.crt</span> Die CA muss ggf. separat exportiert werden. | ||
* Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12. | * Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12. | ||
| Zeile 434: | Zeile 518: | ||
Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen | Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen | ||
--> | --> | ||
| 3=Certificates and CAs can be exported in two formats for external use: | |||
* The PEM format is a Base64 encoded format that contains the public and private key in one file. The two keys are labeled Begin Certificate and End Certificate and Begin Private Key and End Private Key. The file has the ending <span class="whitebox">.crt</span> The CA may have to be exported separately. | |||
* The PKCS#12 format exports not only the certificate, but also the associated CA in a password-secured file. The file has the extension .p12. | |||
<!-- | |||
For SSL VPN with the Securepoint Client the PEM format is used. If you want to use the VPN clients of Microsoft Windows 7, you have to use PKCS#12 | |||
--> }} | |||
{{var | Zertifikat Export | {{var | Zertifikat Export | ||
| * Über die Schaltfläche {{Button||dro|glyph-class=cogwheels|fs=14}} {{c1|1}} (oben links im Dialog) wird das Exportformat der CA bzw. des Zertifikats {{c1|2}} (Beschreibung der Formate siehe unten) ausgewählt | |||
* Über die Schaltfläche {{Button||d}} {{c1|3}} wird der Download im entsprechendem Format gestartet | |||
| Call the export dialog with the {{Button||d}} button. }} | |||
{{var | Zertifikat Export--Bild | {{var | Zertifikat Export--Bild | ||
| UTM v12.6 Zertifikate CA Export.png | |||
| UTM v12.6 Zertifikate CA Export-en.png }} | |||
{{var | Zertifikat Export--cap | {{var | Zertifikat Export--cap | ||
| CA Export | |||
| CA export }} | |||
{{var | 1=Zertifikat Export--pem--desc | {{var | 1=Zertifikat Export--pem--desc | ||
| 2=* Startet den Export im PEM-Format mit der Endung <span class="whitebox">.crt</span> | |||
* Base64 kodiertes Format | * Base64 kodiertes Format | ||
* Beinhaltet den öffentlichen und den privaten Schlüssel in einer Datei<br>Kennzeichnung der beiden Schlüssel sind mit den Bezeichnungen: | * Beinhaltet den öffentlichen und den privaten Schlüssel in einer Datei<br>Kennzeichnung der beiden Schlüssel sind mit den Bezeichnungen: | ||
** ''-----BEGIN CERTIFICATE-----'' und ''-----END CERTIFICATE-----'' für den öffentlichen Schlüssel | ** ''-----BEGIN CERTIFICATE-----'' und ''-----END CERTIFICATE-----'' <br>für den öffentlichen Schlüssel | ||
** ''-----BEGIN PRIVATE KEY-----'' und ''-----END PRIVATE KEY-----'' für den privaten Schlüssel | ** ''-----BEGIN PRIVATE KEY-----'' und ''-----END PRIVATE KEY-----'' <br>für den privaten Schlüssel | ||
| 3=* Starts the export in PEM format with the extension <span class="whitebox">.crt</span>. | |||
* Base64 encoded format | |||
* Contains the public and the private key in one file<br>Labeling of the two keys are with the labels: | |||
** ''-----BEGIN CERTIFICATE-----'' and ''-----END CERTIFICATE-----'' <br>for the public key. | |||
** ''-----BEGIN PRIVATE KEY-----'' and ''-----END PRIVATE KEY-----'' <br>for the private key. }} | |||
{{var | Exportieren | {{var | Exportieren | ||
| Exportieren | |||
| Export }} | |||
{{var | 1=Zertifikat Export--pkcs12--desc | {{var | 1=Zertifikat Export--pkcs12--desc | ||
| 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br>{{Alert}} Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden. | |||
| 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br>{{Alert}}. Since the CA is also exported here, a password should be assigned for security reasons. }} | |||
{{var | Hinweis CA | {{var | Hinweis CA | ||
| Wird die CA ebenfalls benötigt, kann diese über den Bereich {{Reiter|CA}} separat im PEM oder PKCS12 Format exportiert werden | |||
| If the CA is also required, it can be exported separately in PEM or PKCS12 format via the {{Reiter|CA}} tab }} | |||
{{ | |||
{{var | Zertifikat Export--CRL--desc | {{var | Zertifikat Export--CRL--desc | ||
| Startet den Export im CRL-Format (Certificate Revokation List) | |||
| Starts the export in CRL format (Certificate Revocation List) }} | |||
{{var | Zertifikat Export--private-key--Hinweis | {{var | Zertifikat Export--private-key--Hinweis | ||
| In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden. | |||
| The file contains the private key. This should be deleted from the file before passing on the data. }} | |||
{{var | Zertifikate widerrufen | {{var | Zertifikate widerrufen | ||
| Zertifikate / CAs widerrufen | |||
| Revoke certificates / CAs }} | |||
{{var | Zertifikate widerrufen--desc | {{var | Zertifikate widerrufen--desc | ||
| Widerruft ein Zertifikat oder eine CA.<br>Die Sicherheitsabfrage muss mit Ja bestätigt werden.<br>Sollen mehrere Zertifikate widerrufen werden, kann das Einblenden der Sicherheitsabfrage vorübergehend deaktiviert werden. | |||
| Revokes a certificate or a CA.<br>The security prompt must be confirmed with Yes.<br>If multiple certificates are to be revoked, the display of the security prompt can be temporarily disabled. }} | |||
{{var | Zertifikate widerrufen--Bild | {{var | Zertifikate widerrufen--Bild | ||
| UTM v12.6 Zertifikate CA wiederrufen.png | |||
| UTM v12.6 Zertifikate CA wiederrufen-en.png }} | |||
{{var | Zertifikate widerrufen--Sicherheitsabfrage--Bild | {{var | Zertifikate widerrufen--Sicherheitsabfrage--Bild | ||
| UTM v12.6 Zertifikate CA wiederrufen Sicherheitsabfrage.png | |||
| UTM v12.6 Zertifikate CA wiederrufen Sicherheitsabfrage-en.png }} | |||
{{var | Zertifikate widerrufen--Sicherheitsabfrage | {{var | Zertifikate widerrufen--Sicherheitsabfrage | ||
| Sicherheitsabfrage | |||
| Security query }} | |||
{{var | Zertifikate widerrufen--ausführlich | {{var | Zertifikate widerrufen--ausführlich | ||
|* Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. | |||
* Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. | * Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. | ||
* Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte {{Reiter|Widerrufen}} geführt und können dort wiederhergestellt werden | * Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte {{Reiter|Widerrufen}} geführt und können dort wiederhergestellt werden | ||
| Zeile 506: | Zeile 582: | ||
* Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. | * Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. | ||
* Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden {{Button|CRL importieren|u}}, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren. | * Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden {{Button|CRL importieren|u}}, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren. | ||
| * If certificates are no longer to be used even though the validity period is still active, the certificates are not deleted but revoked. | |||
* Revoked certificates remain in the system, but are declared invalid and are no longer accepted | |||
* Revoked certificates are managed in the certificate management under the {{Reiter|Revoke}} tab and can be restored there. | |||
* Revoked certificates are included in the certificate revocation list on the {{Reiter|CRLs}} tab. (Certificate Revocation List). | |||
* The revocation list is created at the same time as the CA. If a certificate is revoked, it is deposited as invalid in the list corresponding to the signing CA. | |||
* The revocation list can also be exported to be loaded onto other systems {{Button|Import CRL|u}} so that they also do not accept the revoked certificates. }} | |||
{{var | Widerrufen | {{var | Widerrufen | ||
| Widerrufen | |||
| Revoke }} | |||
{{var | Widerrufen--desc | {{var | Widerrufen--desc | ||
| Zeigt alle widerrufenen CAs und Certifikate mit zugehörigen CAs an | |||
| Displays all revoked CAs and certificates with associated CAs }} | |||
{{var | Widerrufen--Bild | {{var | Widerrufen--Bild | ||
| UTM v12.6 Zertifikate wiederrufene Zertifikate.png | |||
| UTM v12.6 Zertifikate wiederrufene Zertifikate-en.png }} | |||
{{var | Widerrufen--cap | {{var | Widerrufen--cap | ||
| Widerrufene Zertifikate | |||
| }} | |||
{{var | Entsperren--Hinweis | {{var | Entsperren--Hinweis | ||
| Das sollte nur bei lokalen CAs oder Zertifikaten, deren CRL noch nicht exportiert wurde, durchgeführt werden! | |||
| This should only be done for local CAs or certificates whose CRL has not yet been exported! }} | |||
{{var | Entsperren--desc | {{var | Entsperren--desc | ||
| Entsperrt eine CA oder ein Zertifikat und stellt es wieder her. | |||
| Unblocks a CA or certificate and restores it. }} | |||
{{var | Löschen--Hinweis | {{var | Löschen--Hinweis | ||
| Das sollte nur bei lokalen CAs oder Zertifikaten, die nicht in Produktivumgebungen genutzt wurden, durchgeführt werden! | |||
| This should only be done for local CAs or certificates that have not been used in production environments! }} | |||
{{var | Löschen--desc | {{var | Löschen--desc | ||
| Löscht das Zertifikat | |||
| Deletes the certificate }} | |||
{{var | Reiter CA-Zertifikate | {{var | Reiter CA-Zertifikate | ||
| Bereich {{Reiter|CA}} / {{Reiter|Zertifikate}} | |||
| Tab {{Reiter|CA}} / {{Reiter|Certificates}} }} | |||
{{var | CRLs | {{var | CRLs | ||
| CRLs | |||
| CRLs }} | |||
{{var | CRLs--desc | {{var | CRLs--desc | ||
| Zeigt alle CAs und Zertifikate mit ihrem Status und dem Typ der CRL an | |||
| Displays all CAs and certificates with their status and the type of CRL }} | |||
{{var | CRLs--Bild | {{var | CRLs--Bild | ||
| UTM v12.6 Zertifikate CRLs.png | |||
| UTM v12.6 Zertifikate CRLs-en.png }} | |||
{{var | CRL--Export | {{var | CRL--Export | ||
| | |||
| }} | |||
{{var | CRL--Export--desc | {{var | CRL--Export--desc | ||
| Exportiert die CRL einer CA bzw eines Zertifikates | |||
| Exports the CRL of a CA or certificate }} | |||
{{var | CRL importieren | {{var | CRL importieren | ||
| CRL importieren | |||
| Import CRL }} | |||
{{var | CRL importieren--desc | {{var | CRL importieren--desc | ||
| Importiert eine CRL | |||
| Imports a CRL }} | |||
{{var | ACME | {{var | ACME | ||
| ACME | |||
| ACME }} | |||
{{var | ACME--desc | {{var | ACME--desc | ||
| Aktiviert ACME Dienste (Automatic Certificate Management Environment)<br>Siehe [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Zertifikate]] | |||
| Enables ACME services (Automatic Certificate Management Environment)<br>See [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Certificates]]}} | |||
{{var | Zertifikate importieren--desc | {{var | Zertifikate importieren--desc | ||
| Zertifikate und CAs lassen sich mit mit der Schaltfläche {{Button|CA importieren|u}} bzw. {{Button|Zertifikat importieren|u}} importieren. | |||
| Certificates and CAs can be imported with the {{Button|Import CA|u}} or {{Button|Import Certificate|u}} button. }} | |||
{{var | Zertifikate importieren | {{var | Zertifikate importieren | ||
| Zertifikate / CAs importieren | |||
| Import certificates / CAs }} | |||
{{var | Übersicht Statusmeldungen | |||
| Übersicht Statusmeldungen | |||
| Overview status messages }} | |||
{{var | Key-OK--desc | |||
| Der öffentliche und private Schlüssel liegen vor | |||
| The public and private key are present }} | |||
{{var | Key-fail--desc | |||
| Der private Schlüssel liegt nicht vor | |||
| The private key is not present }} | |||
{{var | Key-fail--Hinweis | |||
| Bei Import z.B. einer öffentlichen CA wird nur der PublicKey importiert | |||
| When importing e.g. a public CA, only the PublicKey is imported }} | |||
{{var | unable-crl--desc | |||
| Es ist keine aktuelle CRL vorhanden. | |||
| There is no current CRL available. }} | |||
{{var | unable-crl--Hinweis | |||
| Eine CRL ist für den Betrieb im Webserver oder Mailrelay nicht relevant. | |||
| A CRL is not relevant for operation in the web server or Mailrelay. }} | |||
{{var | unable-issuer--desc | |||
| Der lokale Aussteller kann nicht gefunden werden. | |||
| The local issuer cannot be found. }} | |||
{{var | unable-issuer--Hinweis | |||
| Bei importierten CAs kann es keinen lokalen Aussteller geben | |||
| For imported CAs, there can be no local issuer }} | |||
{{var | VALID--OK--desc | |||
| Das Zertifikat ist gültig | |||
| The certificate is valid }} | |||
{{var | INIT--desc | |||
| Das Zertifikat wird gerade initialisiert (Nur ACME-Zertifikate) | |||
| The certificate is being initialized (ACME certificates only) }} | |||
{{var | grün | |||
| grün | |||
| green }} | |||
{{var | gelb | |||
| gelb | |||
| yellow }} | |||
{{var | rot | |||
| rot | |||
| red }} | |||
{{var | ACME Zertifikat Zone CNAME | |||
| Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen. | |||
| If there is a zone in the nameserver of the UTM for a domain that also uses the ACME certificate, the DNS resolution fails. Solution: Create a CNAME record for this domain. }} | |||
{{var | ACME Zertifikat Zone CNAME Info | |||
| • Unter '''Menu/Anwendungen/Nameserver/Zonen''' nach der Zone suchen<br>• auf '''Bearbeiten''' klicken<br>• Im Fenster auf '''+Eintrag hinzufügen''' klicken<br>• unter '''Name:''' einen passenden Namen eintragen<br>• bei '''Typ:''' '''CNAME''' auswählen<br>• bei '''Wert:''' die Domaine eintragen | |||
| • Search for the zone under '''Menu/Applications/Nameserver/Zones'''<br>• click on '''Edit'''<br>• Click on '''+Add Entry''' in the window<br>• enter a suitable name under '''Name:''''<br>• select '''CNAME''' under '''Type:'''<br>• enter the domain under '''Value:''' }} | |||
{{var | ACME Zertifikate Menu | |||
| {{Menu|Authentifizierung|Zertifikate|ACME}} | |||
| {{Menu|Authentication|Certificates|ACME}} }} | |||
{{var | Verlängerung ACME | |||
| Verlängerung der ACME Zertifikate | |||
| Renewal of ACME certificates }} | |||
{{var | Verlängerung ACME--desc | |||
| Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter {{Menu-UTM|Authentizifierung|Zertifikate|ACME}} [[#Allgemein | (siehe oben)]] konfiguriert werden, statt. | |||
| The renewal of the ACME/Let's Encrypt certificates takes place via the nameservers used, which are configured under {{Menu-UTM|Authentication|Certificates|ACME}} [[#General | (see above)]] }} | |||
{{var | Allgemein | |||
| Allgemein | |||
| General }} | |||
{{var | Allgemein--Bild | |||
| UTM v12.6 Zertifikate ACME Nameserver.png | |||
| UTM v12.6 Zertifikate ACME Nameserver-en.png }} | |||
{{var | Aktiviert | |||
| Aktiviert: | |||
| Activated: }} | |||
{{var | Aktiviert--desc | |||
| Aktiviert die Nutzung von ACME-Zertifikaten.<br>Weitere Informationen siehe unten [[#ACME_Dienst_aktivieren | ACME Dienst aktivieren]]. | |||
| Enables the use of ACME certificates.<br>For more information see below [[#Activate_ACME_service | Activate ACME service]]. }} | |||
{{var | Systemweite Nameserver ACME | |||
| Systemweite Nameserver für ACME-Challenges verwenden: | |||
| Use system-wide nameservers for ACME challenges: }} | |||
{{var | Systemweite Nameserver ACME--desc | |||
| Sollten die Adressen für die Server zur Verlängerung der ACME-Challenges nicht über den systemweiten Nameserver aufgelöst werden können (z.B. wg. konfigurierter Relay- oder Foreward-Zonen) können bei Deaktivierung {{ButtonAus|Nein}} alternative Nameserver eingetragen werden. | |||
| If the addresses for the servers for the extension of the ACME challenges cannot be resolved via the system-wide nameserver (e.g. due to configured relay or foreward zones), alternative nameservers can be entered by deactivating {{ButtonAus|No}}. }} | |||
{{var | Nameserver ACME | |||
| Nameserver für ACME-Challenges: | |||
| Nameserver for ACME challenges: }} | |||
{{var | Nameserver ACME eingeblendet | |||
| Bei deaktivierten systemweiten Nameserver für ACME-Challenges nutzbar | |||
| Can be used for ACME challenges when system-wide nameserver is disabled }} | |||
{{var | Nameserver ACME--desc | |||
| Hier lassen sich die Nameserver für die ACME-Challenges eintragen. | |||
| Here you can enter the nameservers for the ACME-Challenges. }} | |||
{{var | Export-pkcs12-deprecated | |||
| Konvertierung mit alten Hashfunktionen und Verschlüsselungsverfahren | |||
| Conversion with old hash functions and encryption methods }} | |||
{{var | Probleme beim Import auf Dritt-Geräten | |||
| Hilfestellung zu Problemen beim Import auf Dritt-Geräten | |||
| Help with import problems on third party devices }} | |||
{{var | 1=Probleme beim Import auf Dritt-Geräten--desc | |||
| 2=Bei der Verwendung auf Drittgeräten kann es zu Problemen kommen, wenn diese nicht die gleichen (neuesten) Hash- und Verschlüsselungsverfahren wie die UTM verwenden. Eine Lösung <u>kann</u> sein, die Zertifikate z.B. mit ''openssl'' in 2 Schritten zu konvertieren:<br>{{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br>openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }} | |||
| 3=When used on third-party devices, problems may occur if they do not use the same (latest) hashing and encryption methods as the UTM. A solution <u>can</u> be to convert the certificates e.g. with ''openssl'' in 2 steps:<br>{{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br>openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }} }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
---- | ---- | ||
{{var | | {{var | | ||
| | |||
| }} | |||
</div> | </div> | ||
UTM/AUTH/Zertifikate.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki