Wechseln zu:Navigation, Suche
Wiki

UTM/AUTH/Zertifikate.lang: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
K 1 Version importiert
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
| Erstellen und Verwalten von Zertifikaten
| Erstellen und Verwalten von Zertifikaten
| Creation and managment of certificates }}
| Creation and managment of certificates }}
{{var | Authentifizierung
| Authentifizeirung
| Authentication }}
{{var | Zertifikate
| Zertifikate
| Certificates }}
{{var | neu--Überarbeitung
| Allgemeine Überarbeitung
| General revision }}
{{var | neu--Letsencrypt
| Zertifikate mit Hilfe von ACME verwalten (Let's Encrypt)
| Manage certificates with the help of ACME (Let's Encrypt) }}
{{var | Allgemeines
{{var | Allgemeines
| Allgemeines
| Allgemeines
| General }}
| General }}
{{var | Allgemeines--cap
| Dialog Zertifikate
| Dialog certificates }}
{{var | Allgemeines--Bild
| UTM v12.5.1 Zertifikate.png
| UTM v12.5.1 Zertifikate-en.png }}
{{var | 1=Allgemeines--desc
{{var | 1=Allgemeines--desc
| 2=<p>Die Securepoint Firewall benutzt digitale Zertifikate für die Authentifikation bei verschiedenen Funktionen:
| 2=Die Securepoint Firewall benutzt digitale Zertifikate für die Authentifikation bei verschiedenen Funktionen:
* VPN-Verbindungen  
* VPN-Verbindungen  
* SSL-Interception
* SSL-Interception
Zeile 37: Zeile 19:
* Mailrelay
* Mailrelay
* Reverse Proxy
* Reverse Proxy
Die Zertifikate entsprechen dem x.509 Standard.</p>
Die Zertifikate entsprechen dem x.509 Standard.<br> Zertifikate sollen die Identität des Inhabers bescheinigen. <br>Sie werden  
<p>Zertifikate sollen die Identität des Inhabers bescheinigen. <br>
Sie werden  
* von der '''Securepoint Appliance''' ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert.  
* von der '''Securepoint Appliance''' ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert.  
** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.
** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.
 
* durch einen '''{{hoover|ACME|Automatic Certificate Management Environment}}-Dienst''' ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier [https://letsencrypt.org/de/ Let's Encrypt]
* durch einen '''{{hoover|ACME|Automatic Certificate Management Environment}}-Dienst''' ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier [https://letsencrypt.org/de/ Let's Encrypt]</p>
| 3=The Securepoint firewall uses digital certificates for authentication for various functions:  
| 3=<p>The Securepoint firewall uses digital certificates for authentication for various functions:  
* VPN connections  
* VPN connections  
* SSL Interception
* SSL Interception
Zeile 50: Zeile 29:
* Mailrelay
* Mailrelay
* Reverse Proxy
* Reverse Proxy
The certificates comply with the x.509 standard.</p>
The certificates comply with the x.509 standard.<br> Certificates are intended to certify the identity of the holder. <br>They are
<p>Certificates are intended to certify the identity of the holder. <br>
They are
* issued by the '''Securepoint Appliance''' and signed by the appliance's own CA (Certification Authority; also called root certificate).  
* issued by the '''Securepoint Appliance''' and signed by the appliance's own CA (Certification Authority; also called root certificate).  
** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created.
** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created.
 
* issued by a '''{{hoover|ACME|Automatic Certificate Management Environment}}''' service and certified by it. Available here [https://letsencrypt.org/en/ Let's Encrypt].}}
* issued by a '''{{hoover|ACME|Automatic Certificate Management Environment}}''' service and certified by it. Available here [https://letsencrypt.org/en/ Let's Encrypt]</p>.}}
{{var | Allgemeines--Hinweise
{{var | Allgemeines--Hinweise
| Weitere Hinweise zu Zertifikaten anzeigen
| Weitere Hinweise zu Zertifikaten anzeigen
| Show more notes on certificates }}
| Show more notes on certificates }}
{{var | 1=Allgemeines--Hinweise--desc
{{var | 1=Allgemeines--Hinweise--desc
| 2=Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
| 2=Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.<br><br> Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.<br> Dazu gehören:
 
<p>Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.<br>
Dazu gehören:
* Name des Zertifikats (CN) Common Name
* Name des Zertifikats (CN) Common Name
* Land (CO) Country
* Land (CO) Country
Zeile 72: Zeile 45:
* Abteilung (OU) Organisation Unit
* Abteilung (OU) Organisation Unit
* E-Mail (email-address)
* E-Mail (email-address)
 
* Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.<li class="list--element__alert list--element__hint">Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).</li>
* Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.<li class="list--element__alert list--element__hint">Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).
</li>
 
* Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.
* Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.
* Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{Alert|g}} Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.
* Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{Alert|g}} Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.
</p>
| 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance.<br><br> To be able to uniquely assign the certificate, a distinguished name (DN) is generated from the individual details that must be set when the certificate is created.<br>. This includes:
| 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance.  
 
<p>To be able to uniquely assign the certificate, a distinguished name (DN) is generated from the individual details that must be set when the certificate is created.<br>.
This includes:
* Name of the certificate (CN) Common Name
* Name of the certificate (CN) Common Name
* Country (CO) Country
* Country (CO) Country
Zeile 91: Zeile 56:
* Department (OU) Organization Unit
* Department (OU) Organization Unit
* E-mail (email-address)
* E-mail (email-address)
 
* An alias can still be specified to strengthen the uniqueness. This alias is either an email address, a DNS name or an IP address.<li class="list--element__alert list--element__hint">Some VPN software requires this alias for proper functionality (e.g. Windows 7 IPSec Client).</li>
* An alias can still be specified to strengthen the uniqueness. This alias is either an email address, a DNS name or an IP address.<li class="list--element__alert list--element__hint">Some VPN software requires this alias for proper functionality (e.g. Windows 7 IPSec Client).
</li>
 
* In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used.
* In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used.
 
* A flag can also be set, which identifies the certificate as a server certificate. {{Alert|g}} This is required by OpenVPN for the server. OpenVPN always requires a server system with server certificate for a site, even for site-to-site connections. Other VPN protocols do not require this flag. }}
* A flag can also be set, which identifies the certificate as a server certificate. {{Alert|g}} This is required by OpenVPN for the server. OpenVPN always requires a server system with server certificate for a site, even for site-to-site connections. Other VPN protocols do not require this flag.
</p>}}
{{var | Zertifikatserstellung--UTM
| Zertifikatserstellung durch die UTM
| Certificate creation by the UTM }}
{{var | Zertifikatserstellung--UTM--desc
{{var | Zertifikatserstellung--UTM--desc
| Im Folgenden wird gezeigt, wie durch die UTM Zertifikate erstellt und signiert werden.
| Im Folgenden wird gezeigt, wie durch die UTM Zertifikate erstellt und signiert werden.
Zeile 109: Zeile 66:
| Create CA }}
| Create CA }}
{{var | CA erstellen--desc
{{var | CA erstellen--desc
|* Menü {{Menu|Authentifizierung|Zertifikate|CA|CA hinzufügen|+}}
| Menü {{Menu-UTM|Authentifizierung|Zertifikate|CA|CA hinzufügen|+}}
| * Menu {{Menu|Authentication|Certificates|CA|Add CA|+}} }}
| Menu {{Menu-UTM|Authentication|Certificates|CA|Add CA|+}} }}
{{var | CA erstellen--Bild
{{var | CA erstellen--Bild
| UTM v12.5.1 Zertifikate CA.png
| UTM v12.6 Zertifikate CA erstellen.png
| UTM v12.5.1 Zertifikate CA-en.png }}
| UTM v12.6 Zertifikate CA erstellen-en.png }}
{{var | CA erstellen--cap
{{var | CA erstellen--cap
| Dialog CA hinzufügen
| Dialog CA hinzufügen
| Dialog ''Add CA''}}
| Dialog ''Add CA''}}
{{var | Common Name
{{var | CA hinzufügen
| Common Name
| CA hinzufügen
| Common Name }}
| Add CA }}
{{var | Common Name--desc
{{var | Authentifizierung
| Authentifizierung
| Authentication }}
{{var | Zertifikate
| Zertifikate
| Certificate }}
{{var | Eindeutiger Name
| Eindeutiger Name
| Eindeutiger Name
| Unique name }}
| Unique name }}
Zeile 127: Zeile 90:
| Key length }}
| Key length }}
{{var | Schlüssellänge--desc
{{var | Schlüssellänge--desc
| Schlüssellänge in Bit. Default {{ic|2048|dr}}<br>Weitere Werte: {{ic|1024|dr}} und {{ic|4096|dr}}
| Schlüssellänge in Bit. Default {{ic|2048|dr}}<br> Weitere Werte: {{ic|1024|dr}} und {{ic|4096|dr}}
| Key length in bit. Default {{ic|2048|dr}}<br>Other values: {{ic|1024|dr}} and {{ic|4096|dr}} }}
| Key length in bit. Default {{ic|2048|dr}}<br> Other values: {{ic|1024|dr}} and {{ic|4096|dr}} }}
{{var | Gültig bis
{{var | Gültig bis
| Gültig bis
| Gültig bis
| Valid until }}
| Valid until }}
{{var | Gültig bis--Hinweis
| Mit der Gültigkeit der CA läuft auch die Gültigkeit der mit dieser CA signierten Zertifikate aus.
| When the CA expires, the validity of the certificates signed with this CA also expires.  }}
{{var | Gültig bis--desc
{{var | Gültig bis--desc
| Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT hh:mm:ss. Wenn mit der Maus in das Eingabefeld geklickt wird, öffnet sich automatisch ein Kalender, auf dem das Datum und die Uhrzeit ausgewählt werden kann.
| Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT hh:mm:ss. Wenn mit der Maus in das Eingabefeld geklickt wird, öffnet sich automatisch ein Kalender, auf dem das Datum und die Uhrzeit ausgewählt werden kann.<br> {{Hinweis-box||g}} Mit der Gültigkeit der CA läuft auch die Gültigkeit der mit dieser CA signierten Zertifikate aus.
| The date must be entered in the following format YYYY/MM/DD hh:mm:ss. If the mouse is clicked in the input field, a calendar opens automatically, on which the date and time can be selected. }}
| The date must be entered in the following format YYYY/MM/DD hh:mm:ss. If the mouse is clicked in the input field, a calendar opens automatically, on which the date and time can be selected.<br> {{Hinweis-box||g}} When the CA expires, the validity of the certificates signed with this CA also expires. }}
{{var | CA--Speichern
{{var | CA--Speichern
| Erstellen der CA mit der Schaltfläche {{Button|Speichern}}
| Erstellen der CA mit der Schaltfläche {{Button-dialog||fa-floppy-disk-circle-xmark}}
| Create the CA with the {{Button|Save}} button. }}
| Create the CA with the {{Button-dialog||fa-floppy-disk-circle-xmark}} button. }}
{{var | Zertifikat erstellen
{{var | Zertifikat erstellen
| Server- und Clientzertifikat erstellen
| Server- und Clientzertifikat erstellen
| Create server and client certificate }}
| Create server and client certificate }}
{{var | Zertifikat erstellen--Menü
{{var | Zertifikat erstellen--Menü
| Reiter {{Reiter|Zertifikate}} Schaltfläche {{Button|Zertifikat hinzufügen|+}}
| Bereich {{Reiter|Zertifikate}} Schaltfläche {{Button|Zertifikat hinzufügen|+}}
| Tab {{Reiter|Certificates}} Button {{Button|Add Certificate|+}} }}
| Tab {{Reiter|Certificates}} Button {{Button|Add Certificate|+}} }}
{{var | Zertifikat erstellen--Reihenfolge
{{var | Zertifikat erstellen--Reihenfolge
| Erst nachdem eine CA angelegt wurde, können Zertifikate für die Appliance und für Nutzer angelegt werden.  
| Erst nachdem eine CA angelegt wurde, können Server- und Clientzertifikate angelegt werden.
| Only after a CA has been created certificates can be created for the appliance and for users. }}
| Server and client certificates can only be created once a CA has been created. }}
{{var | Zertifikat erstellen--desc
{{var | Zertifikat erstellen--desc
|  
| Nun kann ein Zertifikat für einen Server oder Client erstellt werden. Dies geht unter: {{Menu-UTM|Authentifizierung|Zertifikate|Zertifikate|Zertifikat hinzufügen|+}}
}}
certificate can now be created for a server or client. This can be done under: {{Menu-UTM|Authentication|Certificate|Certificate|Add Certificate|+}} }}
{{var | Zertifikat erstellen--
{{var | Für eine klare Zuordnung von Zertifikaten sollte
|  
| }}
{{var | Common Name--desc
| Eindeutiger Name. {{Alert|gr}} Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden:
| Eindeutiger Name. {{Alert|gr}} Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden:
* CA-''xyz'' für Certificate Authorities
* CA-''xyz'' für Certificate Authorities
Zeile 174: Zeile 131:
| Adopts the values from the CA. Subsequent changes are possible. }}
| Adopts the values from the CA. Subsequent changes are possible. }}
{{var | CA-wählen--desc
{{var | CA-wählen--desc
| {{Button|CA-Anyideas|dr}} Auswahl der CA, die das Zertifikat signieren soll
| Auswahl der CA, die das Zertifikat signieren soll
| {{Button|CA-Anyideas|dr}} Selection of the CA that will sign the certificate }}
| Selection of the CA that will sign the certificate }}
{{var | Serverzertifikat
{{var | Serverzertifikat
| Serverzertifikat
| Serverzertifikat
| Server certificate }}
| Server certificate }}
{{var | Serverzertifikat--Bild
{{var | Serverzertifikat--Bild
| UTM v12.5.1 Zertifikate Serverzertifikat.png
| UTM v12.6 Zertifikate Serverzertifikat erstellen.png
| UTM v12.5.1 Zertifikate Serverzertifikat-en.png }}
| UTM v12.6 Zertifikate Serverzertifikat erstellen-en.png }}
{{var | Serverzertifikat--cap
{{var | Serverzertifikat--cap
| Serverzertifikat
| Serverzertifikat erstellen
| Server certificate }}
| Create server certificate }}
{{var | Zertifikat hinzufügen
| Zertifikat hinzufügen
| Add certificate }}
{{var | Clientzertifikat--Bild
{{var | Clientzertifikat--Bild
| UTM v12.5.1 Zertifikate Clientzertifikat.png
| UTM v12.6 Zertifikate Clientzertifikat erstellen.png
| UTM v12.5.1 Zertifikate Clientzertifikat-en.png }}
| UTM v12.6 Zertifikate Clientzertifikat erstellen-en.png }}
{{var | Clientzertifikat--cap
{{var | Clientzertifikat--cap
| Clientzertifikat
| Clientzertifikat erstellen
| Client certificate }}
| Create client certificate }}
{{var | Serverzertifikat--desc
{{var | Serverzertifikat--desc
| Wird für ein Serverzertifikat aktiviert.
| Wird für ein Serverzertifikat aktiviert.<br> {{Hinweis-box||r}} Zusätzlich ist mindestens eine weiterer Alias erforderlich.
| Is activated for a server certificate. }}
| Is activated for a server certificate.<br> {{Hinweis-box||r}} In addition, at least one further alias is required. }}
{{var | Serverzertifikat--Alias
| Zusätzlich ist mindest eine weiterer Alias erforderlich.
| In addition, at least one further alias is required. }}
{{var | Alias--desc
{{var | Alias--desc
|  
|  
Zeile 211: Zeile 168:
| Wird für ein Clientzertifikat nicht verwendet
| Wird für ein Clientzertifikat nicht verwendet
| Not used for a client certificate }}
| Not used for a client certificate }}
{{var | CC--Speichern
| Erstellen dez Zertifikates mit der Schaltfläche {{Button|Speichern}}
| Create the certificate with the {{Button|Save}} button. }}
{{var | ACME Zertifikate
{{var | ACME Zertifikate
| ACME Zertifikate (Let's Encrypt)
| ACME Zertifikate (Let's Encrypt)
| ACME certificates (Let's Encrypt) }}
| ACME certificates (Let's Encrypt) }}
{{var | ACME Zertifikate--desc
| Um ACME Zertifikate nutzen zu können, muss im Reiter {{Reiter|ACME}} unter {{b|{{Kasten2|Allgemein}} }} {{b|Aktiviert:}} {{ButtonAn|Ja}} aktiviert werden
| In order to use ACME certificates, the service must first be activated in the {{Reiter|ACME}} tab.  }}
{{var | ACME Zertifikate--default--cap
| {{Kasten2|ACME-Dienst |grau}} {{ButtonAn|Ein}} Dienst  aktivieren
| {{Kasten2|ACME service |grau}} {{ButtonAn|On}} Enable service }}
{{var | ACME Zertifikate--default--Bild
| UTM v12.1 Zertifikate ACME-Default.png
| UTM v12.1 Zertifikate ACME-Default-en.png }}
{{var | ACME Zertifikate--NB-laden--cap
| Sobald der Dienst aktiviert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen {{Button||w}} aufrufen
| Once the service has been activated, the link to the terms of use is loaded and the settings {{Button||w}} can be accessed }}
{{var | ACME Zertifikate--NB-laden--Bild
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen geladen.png
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen geladen-en.png }}
{{var | ACME Zertifikate--aktivieren--cap
| Mit der Schaltfläche {{b|Aktivieren}} {{ButtonAn|Ja}} und dem Hinterlegen einer {{b|E-Mail}} Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben {{Button|Speichern}}
| With the button {{b|Activate}} {{ButtonAn|Yes}} and the storage of an {{b|Email}} address for notifications by the ACME service provider (here: Let's Encrypt), the information can be {{Button|Saved}} }}
{{var | ACME Zertifikate--aktivieren--Bild
| UTM v12.1 Zertifikate ACME-Aktivieren.png
| UTM v12.1 Zertifikate ACME-Aktivieren-en.png }}
{{var | ACME Zertifikate--NB-bestätigen--cap
| Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert {{ButtonAn|Ja}} werden müssen.
| A dialog will appear with a link to the Terms of Use, which must be accepted {{ButtonAn|Yes}}. }}
{{var | ACME Zertifikate--NB-bestätigen--Bild
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen Letsencrypt bestätigen.png
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen Letsencrypt bestätigen-en.png }}
{{var | ACME Zertifikate--Registrierung--cap
| Daraufhin wird eine Registrierung bei dem ACME Dienstanbieter durchgeführt
| A registration with the ACME service provider is then performed }}
{{var | ACME Zertifikate--Registrierung--Bild
| UTM v12.1 Zertifikate ACME-Registrierung.png
| UTM v12.1 Zertifikate ACME-Registrierung-en.png }}
{{var | ACME Zertifikate--Registriert--cap
| Die erfolgreiche Registrierung wird mit dem Status {{spc|OK|buttongr}} angezeigt.
| Successful registration is indicated with the status {{spc|OK|buttongr}}. }}
{{var | ACME Zertifikate--Registriert--Bild
| UTM v12.1 Zertifikate ACME-Registriert.png
| UTM v12.1 Zertifikate ACME-Registriert-en.png }}
{{var | ACME-aktivieren
| ACME Dienst aktivieren
| Activate ACME service }}
{{var | Token generieren
| Token generieren
| Generate token }}
{{var | Token generieren--desc
| Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im [https://spDYN.de spDYN Portal] zu generieren.<br> Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen.
| To generate the certificates, the ACME token must first be generated in the [https://spDYN.de spDYN portal].<br> Within the spDYN portal, the corresponding host must be opened.  }}
{{var | spDyn-Token--Host--Bild
| spDYN Token.png
| spDYN Token-en.png }}
{{var | spDyn-Token--Host--cap
| spDyn Host aufrufen
| Call up spDyn Host }}
{{var | spDyn-Token--Token-wählen--Bild
| spDYN ACME Token waehlen.png
| spDYN ACME Token waehlen-en.png }}
{{var | spDyn-Token--Token-wählen--cap
| Im Dropdown Menü für {{b|Token}} den {{ic|ACME Challenge Token|dr}} wählen
| Select the {{ic|ACME Challenge Token|dr}} from the {{b|Token}} drop-down menu. }}
{{var | spDyn-Token--Token generieren--Bild
| spDYN ACME Token.png
| spDYN ACME Token-en.png }}
{{var | spDyn-Token--Token generieren--cap
| Token generieren
| Generate token }}
{{var | spDyn-Token--Hinweis
| Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden.
| The token is displayed once during generation and cannot be displayed again.  }}
{{var | spDyn-Token--Token notieren
| Der Token sollte notiert und sicher aufbewahrt werden.
| The token should be noted and stored safely. }}
{{var | ACME-Zertifikat erstellen
| ACME-Zertifikat erstellen
| Create ACME certificate }}
{{var | ACME-Zertifikate
| ACME-Zertifikate
| ACME Certificates }}
{{var | ACME-Zertifikat erstellen--desc
| Nach Abschluss der vorherigen Schritte kann nun das eigentliche Zertifikat erzeugt werden. Ein Klick im Reiter {{Reiter | Zertifikate}} auf {{Button|ACME-Zertifikat hinzufügen|+}}  öffnet den entsprechenden Dialog.
| After completing the previous steps, the actual certificate can now be generated. A click on {{Button|Add ACME certificate|+}} in the {{Reiter|Certificates}} tab opens the corresponding dialog. }}
{{var | Authentifizierung
| Authentifizierung
| Authentifizierung  }}
{{var | Zertifikate
| Zertifikate
| Certificates }}
{{var | ACME-Zertifikat hinzufügen
| ACME-Zertifikat hinzufügen
| Add ACME certificate }}
{{var | Dialog
| Dialog
| Dialog }}
{{var | ACME-Zertifikat hinzufügen--Bild
| UTM v12.5.1 Zertifikate ACME hinzufügen.png
| UTM v12.5.1 Zertifikate ACME hinzufügen-en.png }}
{{var | Name
| Name
| Name }}
{{var | Name--desc
| Name zur Identifizierung des Zertifikates
| Name to identify the certificate }}
{{var | Schlüssellänge
{{var | Schlüssellänge
| Schlüssellänge:
| Schlüssellänge
| Key length: }}
| Key length }}
{{var | Schlüssellänge--desc
{{var | Schlüssellänge--desc
| Schlüssellänge des Zertifikates. Mögliche Werte:  
| Schlüssellänge des Zertifikates. Mögliche Werte:  
| Key length of the certificate. Possible values: }}
| Key length of the certificate. Possible values: }}
{{var | ACME-Account
| ACME Account
| ACME Account }}
{{var | ACME-Account--desc
| ACME Account der verwendet werden soll
| ACME account which should be used }}
{{var | SAN--hinzufügen
| Subject Alternative Name konfigurieren mit {{Button|SAN hinzufügen|+}}
| Subject Alternative Name configure with {{Button|Add SAN|+}} }}
{{var | SAN--hinzufügen--Bild
| UTM v12.1 Zertifikate ACME SAN.png
| UTM v12.1 Zertifikate ACME SAN-en.png }}
{{var | SAN--hinzufügen--cap
| Subject Alternative Name hinzufügen
| Add Subject Alternative Name}}
{{var | SAN--spdyn--val
| ttt-point.spdns.org
| ttt-point.spdns.org }}
{{var | SAN--spdyn--desc
| Der Subject Alternative Name ('''SAN''') wird im Zertifikat hinterlegt und entspricht der aufgerufenen URL
| The Subject Alternative Name ('''SAN'') is stored in the certificate and corresponds to the called URL }}
{{var | 1=SAN--Wildcard--val
| 2=<nowiki>*</nowiki>.ttt-point.spdns.org
| 3=<nowiki>*</nowiki>.ttt-point.spdns.org }}
{{var | SAN--Wildcard
| Es können auch '''Wildcard'''-SANs verwendet werden.
| '''Wildcard''' SANs can also be used. }}
{{var | Wildcard-Hinweis für Captive Portal
| Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt
| Wildcard certificates are strongly recommended for use with a captive portal }}
{{var | Wildcard-Hinweis für Captive Portal--info
| Wird für das Captive Portal im Nameserver eine Forward-Zone benötigt und für diese dann ein A-Record eingetragen, wird dieser nicht mehr im öffentlichen DNS aufgelöst.<br>Die Überprüfung und Verlängerung eines ACME-Zertifikates auf diesen Namen schlägt dann fehl.
| If a forward zone is required for the captive portal in the nameserver and an A record is then entered for it, this is no longer resolved in the public DNS.<br>Verification and renewal of an ACME certificate with this name will then fail. }}
{{var | Subject Alternative Name
| Subject Alternative Name
| Subject Alternative Name }}
{{var | Alias
| Alias
| Alias }}
{{var | Alias--spdyn--val
| ttt-point.spdns.org
| ttt-point.spdns.org }}
{{var | Alias--spdyn--desc
| Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen.<br>(Auch bei Wildcard-Domännen ohne ''*'' )
| If the SAN is a spDYN hostname it is automatically taken on as alias.<br>(Also for wildcard domains without ''*'' ) }}
{{var | Token
| Token
| Token }}
{{var | Token--desc
| Der Token aus dem spDYN-Portal (s.o.) belegt dem ACME-Dienst, daß man über den Hostnamen verfügen darf.<br>{{Button||class=fal fa-eye}} zeigt den Token an.
| The token from the spDYN portal (see above) proves to the ACME service that you are allowed to dispose of the hostname.<br>{{Button||class=fal fa-eye}} displays the token. }}
{{var | Speichern
| Speichern
| Save }}
{{var | Speichern--desc
| Übernimmt diesen SAN in das Zertifikat
| Transfers this SAN to the certificate }}
{{var | Token--Hinweis
| Beim Einfügen des Tokens aus der Zwischenablage kann es vorkommen, daß vor oder nach dem eigentlichen Token Leerzeichen enthalten sind. Diese müssen entfernt werden
| When inserting the token from the clipboard it can happen that there are blanks before or after the actual token. These must be removed }}
{{var | Konfiguration prüfen
| Konfiguration prüfen
| Check configuration }}
{{var | Konfiguration prüfen--desc
| Vor der eigentlichen Generierung des Zertifiaktes muss zunächst die Konfiguration geprüft werden. Dies erfolgt durch einen Klick auf die Schaltfläche {{Button|Konfiguration prüfen|check}}.
| Before the actual generation of the certificate, the configuration must first be checked. This is done by clicking on the {{Button|Check configuration|class=fal fa-check}} button.  }}
{{var | Konfiguration prüfen--Bild
| UTM v12.5.1 Zertifikate ACME initialisiert.png
| UTM v12.5.1 Zertifikate ACME initialisiert.png }}
{{var | initialisieren
| initialisieren
| initialize }}
{{var | Initialisiert
| Initialisiert
| Initializes }}
{{var | Noch nicht geprüft
| Noch nicht geprüft
| Not yet checked }}
{{var | Gültig
| Gültig
| Valid }}
{{var | DNS Fehler
| DNS Fehler
| DNS error }}
{{var | Status
| Status
| Status }}
{{var | Konfiguration prüfen--prüfen--desc
| Die Überprüfung kann mehrere Minuten in Anspruch nehmen. Dabei wird der Dialog regelmäßig aktualisiert.
| The check can take several minutes. During this process, the dialog is updated regularly. }}
{{var | Konfiguration prüfen--gültig--desc
| Ist die Überprüfung erfolgreich wird der Status {{Kasten2|Gültig|grün}} angezeigt.
| If the check is successful, the status {{Kasten2|Valid|grün}} is displayed. }}
{{var | Konfiguration prüfen--DNS-Fehler--desc
| Mögliche Ursachen:
* falscher Token
* DNS Auflösung gestört
* Zonen Weiterleitung im DNS konfiguriert
* lokale DNS-Zone im DNS konfiguriert
| Possible causes:
* wrong token
* DNS resolution disturbed
* zone forwarding configured in DNS
* local DNS zone configured in DNS }}
{{var | SAN--extern
| Subject Alternative Name für eine externe DNS-Zone konfigurieren mit {{Button|SAN hinzufügen|+}}
| Configure Subject Alternative Name for an external DNS zone with {{Button|Add SAN|+}} }}
{{var | SAN--extern--h4
| SAN für externe DNS-Zone hinzufügen
| Add SAN for external DNS zone }}
{{var | SAN--extern--desc
| Der Subject Alternative Name (SAN) aus der externen DNS-Zone
|  The Subject Alternative Name (SAN) from the external DNS zone.}}
{{var | SAN--extern--Bild
| UTM v12.1 Zertifikate ACME SAN extern.png
| UTM v12.1 Zertifikate ACME SAN extern-en.png }}
{{var | SAN--extern--val
| ttt-point.anyideas.org
| ttt-point.anyideas.org }}
{{var | Alias--extern--desc
| Der Alias muss auch für die externe DNS auf den spDYN Namen lauten.
| The alias must also be the spDYN name for the external DNS. }}
{{var | 1=SAN--extern--acme-challange
| 2=Beim DNS-Provider, der die externe Zone hostet (hier: ttt-point.anyideas.org) muss ein zusätzlicher CNAME-Record mit dem Prefix _acme-challenge und dem anschließenden Hostnamen angelegt werden und entsprechend auf den zugehörigen spDYN-Record mit vorangestellten _acme-challenge verwiesen. {{code|_acme-challenge.ttt-point.spdns.org.}} (Mit "." am Ende!)<br>
Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus:<pre>
_acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.
_acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre>
| 3=Basically, an additional CNAME record with the prefix _acme-challenge and the subsequent host name must be created at the DNS provider hosting the external zone (here: ttt-point.anyideas.org). {{code|_acme-challenge.ttt-point.spdns.org.}} (With "." at the end!)<br>
An example excerpt from a Zonefile for the configuration of the two hostnames mx.ttt-point.de and exchange.ttt-point.de looks like this:<pre>
_acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.
_acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre>}}
{{var | 1=SAN--extern--Hinweis
| 2=Der Hostname muss im öffentlichen DNS auflösbar sein. <br>Die Erstellung von Zertifkaten für <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. Zonen ist nicht möglich.
| 3=The hostname must be resolvable in the public DNS. <br>Certificate creation for <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. zones is not possible. }}
{{var | SAN--extern--prüfen
| Weitere SANs können hinzugefügt und geprüft werden, solang die Schaltfläche {{Button|Speichern}} noch nicht betätigt wurde.
| Additional SANs can be added and checked as long as the {{Button|Save}} button has not been pressed. }}
{{var | SAN--Speichern
| Nach dem Speichern des Zertifikates lassen sich keine Änderungen mehr vornehmen. Es kann lediglich bei bestehenden SANs der Alias und der Token geändert werden.
| Once the certificate has been saved, no more changes can be made. Only the alias and the token can be changed for existing SANs. }}
{{var | SAN--Widerrufen
| Werden zusätzliche oder andere SANs benötigt muss ein neues Zertifikat angelegt und das Bestehende widerrufen werden.
| If additional or different SANs are required, a new certificate must be created and the existing one has to be revoked. }}
{{var | SAN--extern--prüfen--Bild
| UTM v12.5.1 Zertifikate ACME SAN überprüft.png
| UTM v12.5.1 Zertifikate ACME SAN überprüft.png }}
{{var | SAN--gültig
| Sind alle benötigten SAN erfolgreich geprüft, kann das Zertifikat gespeichert werden.
| Once all the required SANs have been successfully checked, the certificate can be saved. }}
{{var | SAN--gültig--Bild
| UTM v12.5.1 Zertifikate ACME SAN gültig.png
| UTM v12.5.1 Zertifikate ACME SAN gültig.png }}
{{var | DNS-Provider
| DNS-Provider
| DNS-Provider }}
{{var | 1=No-Delegation
| 2=Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. <br>{{Hinweis-box| Ist die  interne und die externe/öffentliche Domain identisch, sollte ein Wildcard-ACME-Zertifikat verwendet werden.<br>Beispiel: Hostname für das Captive Portal: ''portal.ttt-point.de'' → ACME Zertifikat: ''*.ttt-point.de''|g|fs__icon=none}}
| 3=The UTM must be able to resolve the host name correctly via external nameservers. <br>{{Hinweis-box| If the internal and the external/public domain are identical, the zone must also be delegated to the internal DNS.|g|fs__icon=none}} }}
{{var | ACME-erstellen
| Erstellung des ACME Zertifikates
| Creation of the ACME certificate }}
{{var | ACME-erstellen--desc
| Wurden die vorherigen Schritte erfolgreich abgeschlossen wird durch einen Klick auf Speichern der eigentliche Prozess zur Validierung und Generierung des Zertifikates angestoßen.
<br>
Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden.
|  If the previous steps have been completed successfully, the actual process for validating and generating the certificate is triggered by clicking Save.
<br>
This process may take some time. To update the status, the dialog must be reloaded manually.}}
{{var | ACME-erstellen--Bild
| UTM v12.1 Zertifikate ACME-init-valid.png
| UTM v12.1 Zertifikate ACME-init-valid-en.png  }}
{{var | Zertifikate exportieren
{{var | Zertifikate exportieren
| Zertifikate / CAs exportieren
| Zertifikate / CAs exportieren
| Export certificates / CAs }}
| Export certificates / CAs }}
{{var | 1=Zertifikate exportieren--desc
{{var | Zertifikate exportieren--desc
| 2=Zertifikate und CAs können in zwei Formaten für den externen Gebrauch exportiert werden:
| Zertifikate und CAs können unter {{Menu-UTM|Authentifizierung|Zertifikate|Zertifikate}} / {{Reiter|CA}} exportiert werden.
* Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate und End Certificate und Begin Private Key und End Private Key gekennzeichnet. Die Datei hat die Endung <span class="whitebox">.crt</span> Die CA muss ggf. separat exportiert werden.  
| Certificates and CAs can be exported under {{Menu-UTM|Authentication|Certificates|Certificates}} / {{Reiter|CA}} }}
* Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12.
<!--
Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen
-->
| 3=Certificates and CAs can be exported in two formats for external use:
* The PEM format is a Base64 encoded format that contains the public and private key in one file. The two keys are labeled Begin Certificate and End Certificate and Begin Private Key and End Private Key. The file has the ending <span class="whitebox">.crt</span> The CA may have to be exported separately.
* The PKCS#12 format exports not only the certificate, but also the associated CA in a password-secured file. The file has the extension .p12.
<!--
For SSL VPN with the Securepoint Client the PEM format is used. If you want to use the VPN clients of Microsoft Windows 7, you have to use PKCS#12
--> }}
{{var | Zertifikat Export
{{var | Zertifikat Export
| * Über die Schaltfläche {{Button||dro|glyph-class=cogwheels|fs=14}} {{c1|1}} (oben links im Dialog) wird das Exportformat der CA bzw. des Zertifikats {{c1|2}} (Beschreibung der Formate siehe unten) ausgewählt
|  
* Über die Schaltfläche {{Button||dro|glyph-class=cogwheels|fs=14}} {{c1|1}} (oben links im Dialog) wird das Exportformat der CA bzw. des Zertifikats {{c1|2}} (Beschreibung der Formate siehe unten) ausgewählt
* Über die Schaltfläche {{Button||d}} {{c1|3}} wird der Download im entsprechendem Format gestartet
* Über die Schaltfläche {{Button||d}} {{c1|3}} wird der Download im entsprechendem Format gestartet
| Call the export dialog with the {{Button||d}} button. }}
|  
* Via the button {{Button||dro|glyph-class=cogwheels|fs=14}} {{c1|1}} (top left in the dialogue) the export format of the CA or certificate {{c1|2}} (see below for a description of the formats) is selected
* Via the button {{Button||d}} {{c1|3}} starts the download in the corresponding format }}
{{var | Zertifikat Export--Bild
{{var | Zertifikat Export--Bild
| UTM_v12.5_Zertifikate_Export.png
| UTM v12.6 Zertifikate CA Export.png
| UTM_v12.5_Zertifikate_Export-en.png  }}
| UTM v12.6 Zertifikate CA Export-en.png }}
{{var | Zertifikat Export--cap
| Zertifikat Export
| Certificate export }}
{{var | 1=Zertifikat Export--pem
| 2=Export im PEM Format
| 3=Export in PEM format  }}
{{var | Zertifikat Export--pem--Bild
| UTM v12.1 Zertifikate export PEM.png
| UTM v12.1 Zertifikate export PEM-en.png }}
{{var | 1=Zertifikat Export--pem--desc
{{var | 1=Zertifikat Export--pem--desc
| 2=* Startet den Export im PEM-Format mit der Endung <span class="whitebox">.crt</span>
| 2=* Startet den Export im PEM-Format mit der Endung <span class="whitebox">.crt</span>
Zeile 539: Zeile 204:
** ''-----BEGIN CERTIFICATE-----'' and ''-----END CERTIFICATE-----'' <br>for the public key.  
** ''-----BEGIN CERTIFICATE-----'' and ''-----END CERTIFICATE-----'' <br>for the public key.  
** ''-----BEGIN PRIVATE KEY-----'' and ''-----END PRIVATE KEY-----'' <br>for the private key. }}
** ''-----BEGIN PRIVATE KEY-----'' and ''-----END PRIVATE KEY-----'' <br>for the private key. }}
{{var | Exportieren
| Exportieren
| Export }}
{{var | Zertifikat Export--pkcs12
| Export im PKCS12 Format
| Export in PKCS12 format }}
{{var | 1=Zertifikat Export--pkcs12--desc
{{var | 1=Zertifikat Export--pkcs12--desc
| 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br>{{Alert}} Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden.
| 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br> {{Alert}} Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden.
| 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br>{{Alert}}. Since the CA is also exported here, a password should be assigned for security reasons. }}
| 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br> {{Alert}}. Since the CA is also exported here, a password should be assigned for security reasons. }}
{{var | Zertifikat Export--pkcs12--Bild
| UTM v12.1 Zertifikate export PKCS12.png
| UTM v12.1 Zertifikate export PKCS12-en.png }}
{{var | Hinweis CA
{{var | Hinweis CA
| Wird die CA ebenfalls benötigt, kann diese über den Reiter {{Reiter|CA}} separat im PEM oder PKCS12 Format exportiert werden
| Wird die CA ebenfalls benötigt, kann diese über den Bereich {{Reiter|CA}} separat im PEM oder PKCS12 Format exportiert werden
| If the CA is also required, it can be exported separately in PEM or PKCS12 format via the {{Reiter|CA}} tab }}
| If the CA is also required, it can be exported separately in PEM or PKCS12 format via the {{Reiter|CA}} tab }}
{{var | Zertifikat Export--CRL
| Export im CRL Format
| Export in CRL format }}
{{var | Zertifikat Export--CRL--desc
{{var | Zertifikat Export--CRL--desc
| Startet den Export im CRL-Format (Certificate Revokation List)
| Startet den Export im CRL-Format (Certificate Revokation List)
| Starts the export in CRL format (Certificate Revocation List) }}
| Starts the export in CRL format (Certificate Revocation List) }}
{{var | Zertifikat Export--CRL--Bild
| UTM v12.1 Zertifikate export CRL.png
| UTM v12.1 Zertifikate export CRL-en.png }}
{{var | Zertifikat Export--private-key--Hinweis
{{var | Zertifikat Export--private-key--Hinweis
| In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
| In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
Zeile 570: Zeile 220:
| Revoke certificates / CAs }}
| Revoke certificates / CAs }}
{{var | Zertifikate widerrufen--desc
{{var | Zertifikate widerrufen--desc
| Widerruft ein Zertifikat oder eine CA.<br>Die Sicherheitsabfrage muss mit Ja bestätigt werden.<br>Sollen mehrere Zertifikate widerrufen werden, kann das Einblenden der Sicherheitsabfrage vorübergehend deaktiviert werden.
| Widerruft ein Zertifikat oder eine CA.<br> Die Sicherheitsabfrage muss mit Ja bestätigt werden.<br> Sollen mehrere Zertifikate widerrufen werden, kann das Einblenden der Sicherheitsabfrage vorübergehend deaktiviert werden.
| Revokes a certificate or a CA.<br>The security prompt must be confirmed with Yes.<br>If multiple certificates are to be revoked, the display of the security prompt can be temporarily disabled. }}
| Revokes a certificate or a CA.<br> The security prompt must be confirmed with Yes.<br> If multiple certificates are to be revoked, the display of the security prompt can be temporarily disabled. }}
{{var | Zertifikate widerrufen--Bild
{{var | Zertifikate widerrufen--Bild
| UTM v12.1 Zertifikate widerrufen.png
| UTM v12.6 Zertifikate CA wiederrufen.png
| UTM v12.1 Zertifikate widerrufen-en.png }}
| UTM v12.6 Zertifikate CA wiederrufen-en.png }}
{{var | Zertifikate widerrufen--Sicherheitsabfrage--Bild
| UTM v12.1 Zertifikate widerrufen Sicherheitsabfrage.png
| UTM v12.1 Zertifikate widerrufen Sicherheitsabfrage-en.png }}
{{var | Zertifikate widerrufen--Sicherheitsabfrage
| Sicherheitsabfrage
| Security query }}
{{var | Zertifikate widerrufen--ausführlich
{{var | Zertifikate widerrufen--ausführlich
|* Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen.  
|  
* Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen.  
* Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert.  
* Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert.  
* Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte {{Reiter|Widerrufen}} geführt und können dort wiederhergestellt werden
* Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte {{Reiter|Widerrufen}} geführt und können dort wiederhergestellt werden
Zeile 588: Zeile 233:
* Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht.  
* Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht.  
* Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden {{Button|CRL importieren|u}}, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
* Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden {{Button|CRL importieren|u}}, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
| * If certificates are no longer to be used even though the validity period is still active, the certificates are not deleted but revoked.
|  
* If certificates are no longer to be used even though the validity period is still active, the certificates are not deleted but revoked.
* Revoked certificates remain in the system, but are declared invalid and are no longer accepted
* Revoked certificates remain in the system, but are declared invalid and are no longer accepted
* Revoked certificates are managed in the certificate management under the {{Reiter|Revoke}} tab and can be restored there.
* Revoked certificates are managed in the certificate management under the {{Reiter|Revoke}} tab and can be restored there.
Zeile 601: Zeile 247:
| Displays all revoked CAs and certificates with associated CAs }}
| Displays all revoked CAs and certificates with associated CAs }}
{{var | Widerrufen--Bild
{{var | Widerrufen--Bild
| UTM v12.1 Zertifikate Reiter Widerrufen.png
| UTM v12.6 Zertifikate wiederrufene Zertifikate.png
| UTM v12.1 Zertifikate Reiter Widerrufen-en.png }}
| UTM v12.6 Zertifikate wiederrufene Zertifikate-en.png }}
{{var | Widerrufen--cap
{{var | Widerrufen--cap
| Reiter {{Reiter|Widerrufen}}
| Widerrufene Zertifikate
| Tab {{Reiter|Revoked}} }}
| Revoked certificates }}
{{var | Entsperren--Hinweis
| Das sollte nur bei lokalen CAs oder Zertifikaten, deren CRL noch nicht exportiert wurde, durchgeführt werden!
| This should only be done for local CAs or certificates whose CRL has not yet been exported! }}
{{var | Entsperren--desc
{{var | Entsperren--desc
| Entsperrt eine CA oder ein Zertifikat und stellt es wieder her.
| Entsperrt eine CA oder ein Zertifikat und stellt es wieder her.<br> {{Hinweis-box||r}} Das sollte nur bei lokalen CAs oder Zertifikaten, deren CRL noch nicht exportiert wurde, durchgeführt werden!
| Unblocks a CA or certificate and restores it. }}
| Unblocks a CA or certificate and restores it.<br> {{Hinweis-box||r}} This should only be done for local CAs or certificates whose CRL has not yet been exported! }}
{{var | Löschen--Hinweis
| Das sollte nur bei lokalen CAs oder Zertifikaten, die nicht in Produktivumgebungen genutzt wurden, durchgeführt werden!
| This should only be done for local CAs or certificates that have not been used in production environments! }}
{{var | Löschen--desc
{{var | Löschen--desc
| Löscht das Zertifikat
| Löscht das Zertifikat.<br> {{Hinweis-box||r}} Das sollte nur bei lokalen CAs oder Zertifikaten, die nicht in Produktivumgebungen genutzt wurden, durchgeführt werden!
| Deletes the certificate }}
| Deletes the certificate.<br> {{Hinweis-box||r}} This should only be done for local CAs or certificates that have not been used in production environments! }}
{{var | Reiter CA-Zertifikate
{{var | Reiter CA-Zertifikate
| Reiter {{Reiter|CA}} / {{Reiter|Zertifikate}}
| Bereich {{Reiter|CA}} / {{Reiter|Zertifikate}}
| Tab {{Reiter|CA}} / {{Reiter|Certificates}} }}
| Tab {{Reiter|CA}} / {{Reiter|Certificates}} }}
{{var | CRLs
| CRLs
| CRLs }}
{{var | CRLs--desc
{{var | CRLs--desc
| Zeigt alle CAs und Zertifikate mit ihrem Status und dem Typ der CRL an
| Zeigt alle CAs und Zertifikate mit ihrem Status und dem Typ der CRL an
| Displays all CAs and certificates with their status and the type of CRL }}
| Displays all CAs and certificates with their status and the type of CRL }}
{{var | CRLs--Bild
{{var | CRLs--Bild
| UTM v12.1 Zertifikate CRLs.png
| UTM v12.6 Zertifikate CRLs.png
| UTM v12.1 Zertifikate CRLs-en.png }}
| UTM v12.6 Zertifikate CRLs-en.png }}
{{var | CRL--Export
|
}}
{{var | CRL--Export--desc
{{var | CRL--Export--desc
| Exportiert die CRL einer CA bzw eines Zertifikates
| Exportiert die CRL einer CA bzw eines Zertifikates
Zeile 642: Zeile 276:
| Importiert eine CRL
| Importiert eine CRL
| Imports a CRL }}
| Imports a CRL }}
{{var | ACME
| ACME
| ACME }}
{{var | ACME--desc
{{var | ACME--desc
| Aktiviert ACME Dienste (Automatic Certificate Management Environment)<br>Siehe [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Zertifikate]]
| Aktiviert ACME Dienste (Automatic Certificate Management Environment)<br> Siehe [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Zertifikate]]
| Enables ACME services (Automatic Certificate Management Environment)<br>See [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Certificates]]}}
| Enables ACME services (Automatic Certificate Management Environment)<br> See [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Certificates]]}}
{{var | Zertifikate importieren--desc
{{var | Zertifikate importieren--desc
| Zertifikate und CAs lassen sich mit mit der Schaltfläche {{Button|CA importieren|u}} bzw. {{Button|Zertifikat importieren|u}} importieren.
| Zertifikate und CAs lassen sich mit mit der Schaltfläche {{Button|CA importieren|u}} bzw. {{Button|Zertifikat importieren|u}} importieren.
Zeile 654: Zeile 285:
| Zertifikate / CAs importieren
| Zertifikate / CAs importieren
| Import certificates / CAs }}
| Import certificates / CAs }}
{{var | Übersicht Statusmeldungen
| Übersicht Statusmeldungen
| Overview status messages }}
{{var | Key-OK--desc
| Der öffentliche und private Schlüssel liegen vor
| The public and private key are present }}
{{var | Key-fail--desc
| Der private Schlüssel liegt nicht vor
| The private key is not present }}
{{var | Key-fail--Hinweis
| Bei Import z.B. einer öffentlichen CA wird nur der PublicKey importiert
| When importing e.g. a public CA, only the PublicKey is imported }}
{{var | unable-crl--desc
| Es ist keine aktuelle CRL vorhanden.
| There is no current CRL available. }}
{{var | unable-crl--Hinweis
| Eine CRL ist für den Betrieb im Webserver oder Mailrelay nicht relevant.
| A CRL is not relevant for operation in the web server or Mailrelay. }}
{{var | unable-issuer--desc
| Der lokale Aussteller kann nicht gefunden werden.
| The local issuer cannot be found. }}
{{var | unable-issuer--Hinweis
| Bei importierten CAs kann es keinen lokalen Aussteller geben
| For imported CAs, there can be no local issuer }}
{{var | VALID--OK--desc
| Das Zertifikat ist gültig
| The certificate is valid }}
{{var | INIT--desc
| Das Zertifikat wird gerade initialisiert (Nur ACME-Zertifikate)
| The certificate is being initialized (ACME certificates only) }}
{{var | grün
| grün
| green }}
{{var | gelb
| gelb
| yellow }}
{{var | rot
| rot
| red }}
{{var | ACME Zertifikat Zone CNAME
| Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen.
| If there is a zone in the nameserver of the UTM for a domain that also uses the ACME certificate, the DNS resolution fails. Solution: Create a CNAME record for this domain.  }}
{{var | ACME Zertifikat Zone CNAME Info
| • Unter '''Menu/Anwendungen/Nameserver/Zonen''' nach der Zone suchen<br>• auf '''Bearbeiten''' klicken<br>• Im Fenster auf '''+Eintrag hinzufügen''' klicken<br>• unter '''Name:''' einen passenden Namen eintragen<br>• bei '''Typ:''' '''CNAME''' auswählen<br>• bei '''Wert:''' die Domaine eintragen
| • Search for the zone under '''Menu/Applications/Nameserver/Zones'''<br>• click on '''Edit'''<br>•  Click on '''+Add Entry''' in the window<br>• enter a suitable name under '''Name:''''<br>• select '''CNAME''' under '''Type:'''<br>• enter the domain under '''Value:''' }}
{{var | ACME Zertifikate Menu
| {{Menu|Authentifizierung|Zertifikate|ACME}}
| {{Menu|Authentication|Certificates|ACME}} }}
{{var | Verlängerung ACME
| Verlängerung der ACME Zertifikate
| Renewal of ACME certificates }}
{{var | Verlängerung ACME--desc
| Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter  {{b|{{Kasten2|Allgemein}} }} [[#Allgemein | (siehe oben)]] konfiguriert werden, statt.
| The renewal of the ACME/Let's Encrypt certificates takes place via the nameservers used, which are configured under {{b|{{Kasten2|General}} }} [[#General | (see above)]] }}
{{var | Allgemein
| Allgemein
| General }}
{{var | Allgemein--Bild
| UTM v12.4 Zertifikate ACME Nameserver.png
| UTM v12.4 Zertifikate ACME Nameserver-en.png }}
{{var | Aktiviert
| Aktiviert:
| Activated: }}
{{var | Aktiviert--desc
| Aktiviert die Nutzung von ACME-Zertifikaten.<br>Weitere Informationen siehe unten [[#ACME_Dienst_aktivieren | ACME Dienst aktivieren]].
| Enables the use of ACME certificates.<br>For more information see below  [[#Activate_ACME_service | Activate ACME service]]. }}
{{var | Systemweite Nameserver ACME
| Systemweite Nameserver für ACME-Challenges verwenden:
| Use system-wide nameservers for ACME challenges: }}
{{var | Systemweite Nameserver ACME--desc
| Sollten die Adressen für die Server zur Verlängerung der ACME-Challenges nicht über den systemweiten Nameserver aufgelöst werden können (z.B. wg. konfigurierter Relay- oder Foreward-Zonen) können bei Deaktivierung {{ButtonAus|Nein}} alternative Nameserver eingetragen werden.
| If the addresses for the servers for the extension of the ACME challenges cannot be resolved via the system-wide nameserver (e.g. due to configured relay or foreward zones), alternative nameservers can be entered by deactivating {{ButtonAus|No}}. }}
{{var | Nameserver ACME
| Nameserver für ACME-Challenges:
| Nameserver for ACME challenges: }}
{{var | Nameserver ACME eingeblendet
| Bei deaktivierten systemweiten Nameserver für ACME-Challenges nutzbar
| Can be used for ACME challenges when system-wide nameserver is disabled }}
{{var | Nameserver ACME--desc
| Hier lassen sich die Nameserver für die ACME-Challenges eintragen.
| Here you can enter the nameservers for the ACME-Challenges. }}
{{var | Export-pkcs12-deprecated
| Konvertierung mit alten Hashfunktionen und Verschlüsselungsverfahren
| Conversion with old hash functions and encryption methods }}
{{var | Probleme beim Import auf Dritt-Geräten
{{var | Probleme beim Import auf Dritt-Geräten
| Hilfestellung zu Problemen beim Import auf Dritt-Geräten
| Hilfestellung zu Problemen beim Import auf Dritt-Geräten
| Help with import problems on third party devices }}
| Help with import problems on third party devices }}
{{var | 1=Probleme beim Import auf Dritt-Geräten--desc
{{var | 1=Probleme beim Import auf Dritt-Geräten--desc
| 2=Bei der Verwendung auf Drittgeräten kann es zu Problemen kommen, wenn diese nicht die gleichen (neuesten) Hash- und Verschlüsselungsverfahren wie die UTM verwenden. Eine Lösung <u>kann</u> sein, die Zertifikate z.B. mit  ''openssl'' in 2 Schritten zu konvertieren:<br>{{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br>openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }}
| 2=Bei der Verwendung auf Drittgeräten kann es zu Problemen kommen, wenn diese nicht die gleichen (neuesten) Hash- und Verschlüsselungsverfahren wie die UTM verwenden. Eine Lösung <u>kann</u> sein, die Zertifikate z.B. mit  ''openssl'' in 2 Schritten zu konvertieren:<br> {{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br> openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }}
| 3=When used on third-party devices, problems may occur if they do not use the same (latest) hashing and encryption methods as the UTM. A solution <u>can</u> be to convert the certificates e.g. with ''openssl'' in 2 steps:<br>{{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br>openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }} }}
| 3=When used on third-party devices, problems may occur if they do not use the same (latest) hashing and encryption methods as the UTM. A solution <u>can</u> be to convert the certificates e.g. with ''openssl'' in 2 steps:<br> {{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br> openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }} }}
{{var |  
{{var | 1=Certificate--deprecated length
|  
| 2=Die Unterstützung für Zertifikate mit einer Schlüssellänge von <u>'''1024 Bit''' oder weniger</u> wird ab der Version 14.2 eingestellt
 
| 3= }}
{{var | 1=Certificate--deprecated length--desc
| 2=* HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!
* Unsichere Zertifikate sollten dringend ausgetauscht werden!<br>Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und ''SHA256''<br><small>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile</small><p>'''Die Default-Einstellung der UTM für neue Zertifikate ist 3072 Bit'''</p>
| 3= }}
{{var | Certificate--deprecated length--Hinweis
| Solche unsicheren Zertifikate sollten dringend ausgetauscht werden!
|  }}
|  }}
{{var |  
{{var | Certificate--deprecated Cipher
|  
| Die Unterstützung für Zertifikate mit '''''SHA1'' Cipher''' wird ab der Version 14.2 eingestellt
|  }}
|  }}
{{var |
|
|  }}


----
----

Aktuelle Version vom 8. Oktober 2025, 08:03 Uhr

In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden








































Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AUTH/Zertifikate.lang&oldid=98865