UTM/AUTH/Zertifikate-Importformat: Unterschied zwischen den Versionen

Version vom 25. Juli 2023, 14:48 Uhr

Letzte Anpassung: 07.2023

Neu:

Hinweis zum Vorgehen bei Importfehlern

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Anzeige des Inhalts dieser Seite auf

UTM/AUTH/Zertifikate (Vorlageneinbindung) ‎ (← Links)
UTM/APP/Captive Portal-extern (Vorlageneinbindung) ‎ (← Links)
UTM/APP/Captive Portal (Vorlageneinbindung) ‎ (← Links)
UTM/AUTH/Zertifikate/Drittanbieter (Vorlageneinbindung) ‎ (← Links)
UTM/AUTH/Zertifikate v12.4 (Vorlageneinbindung) ‎ (← Links)
UTM/AUTH/Zertifikate-Importformat v11.8 ‎ (← Links)
UTM/AUTH/Zertifikate v12.5.1 (Vorlageneinbindung) ‎ (← Links)

Importformat

Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.

Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:

Zertifikat	Befehl
X509 zu PEM	openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
DER zu PEM	openssl x509 -inform der -in certificate.cer -out certificate.pem
P7B zu PEM	openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem

Fehlermeldung beim Import

Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen.
Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.

Zertifikat in *.pem umwandeln
Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes
Alternativ mithilfe eines Online-Dienstes
Ein Import ist meist möglich, wenn im Reiter Allgemein notempty
Neu ab v12.5.1
die Option Veraltete kryptografische Algorithmen unterstützen Ein aktiviert wird.
extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
appmgmt config application "securepoint_firewall"
appmgmt config application "fwserver"
system reboot
notempty
Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY 
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|0  

cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
OK

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|1

cli> appmgmt config application "securepoint_firewall"
cli> appmgmt config application "fwserver"

@@ Zeile 3: / Zeile 3: @@
 {{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/AUTH/Zertifikate-Importformat.lang}}
+{{var	| neu--Hinweis Importfehler
+		| Hinweis zum Vorgehen bei [[#Fehlermeldung beim Import | Importfehlern]]
+		|  }}
-{{var	| Zertifikate-Importformat
+</div><noinclude>{{Select_lang}}
-	| Importierte Zertifikate und CAs müssen im PEM-Format (Dateiendung meist {{whitebox|.pem}}) oder PKCS12-Format (Dateiendung meist {{whitebox|.p12}} oder {{whitebox|.pfx}}) vorliegen.
+{{Header|07.2023|
-	| Imported certificates and CAs must be in the format {{whitebox|.pem}} or {{whitebox|.p12}} (pkcs12). }}
+* {{#var:neu--Hinweis Importfehler}}
-{{var	| display
+| Menu={{Menu|{{#var:Authentifizierung}}|{{#var:Zertifikate}} }}
-	| Importformat für Zertifikate und CAs
-	| Import format for certificates and CAs }}
-{{var	| neu--pkcs12
-	| Zertifikat im Format ''pkcs12'' können jetzt direkt importiert werden.<br>Eine Konvertierung in das Format ''pem'' ist nicht mehr erforderlich.
-	| Certificate in the format ''pkcs12'' can now be imported directly.<br>Conversion to the format ''pem'' is no longer necessary. }}
-{{var	| Anzeige auf
-	| Anzeige des Inhalts dieser Seite auf
-	| Display the content of this page at  }}
-{{var	| Importformat
-	| Importformat
-	| Import format }}
-----
-{{var	|
-	|
-	|  }}
-{{var |CPE10	| Hinweise zur Konvertierung anzeigen
-		| Show notes on conversion }}
-{{var |CPE11a	| ausblenden
-		| hide }}
-{{var |CPE11	| Mit dem für alle gängigen Plattformen erhältlichen Tool ''openssl'' (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
-		| Certificates can be converted with the tool ''openssl'' - available for all common platforms (part of Linux, call via console) - and the following commands: }}
-{{var |CPE12	| Zertifikat
-		| Certificate }}
-{{var |CPE13	| Befehl
-		| Command }}
-{{var |CPE14	| zu PEM
-		| to PEM}}
-{{var |CPE15	| openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
-		| openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem}}
-{{var |CPE16	| openssl x509 -inform der -in certificate.cer -out certificate.pem
-		| openssl x509 -inform der -in certificate.cer -out certificate.pem }}
-{{var |CPE17	| openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
-		| openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem }}
-{{var |CPE18	| openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes
-		| openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes }}
-</div><noinclude>{{DISPLAYTITLE:{{#var:display}} }}{{Select_lang}}
-{{#var:ver}} '''11.8'''
-{{cl|{{#var:neu}} |
-* {{#var:neu--pkcs12}}
 }}
@@ Zeile 58: / Zeile 19: @@
 == {{#var:Importformat}} ==
 </noinclude>
-<li class="list--element__alert list--element__warning">{{#var:Zertifikate-Importformat}}<br>
-{{Einblenden| {{#var:CPE10| Hinweise zur Konvertierung anzeigen}} | {{#var:CPE11a| ausblenden}} | true | dezent|id=Importformat}}
+===== {{#var:Importformat}} =====
-{{#var:CPE11| Mit dem für alle gängigen Plattformen erhältlichen Tool ''openssl'' (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:}}
+<div class="Einrücken">
+<span class="lh--16">{{#var:Zertifikate-Importformat}}<br></span>
+{{Einblenden| {{#var:CPE10| Hinweise zur Konvertierung anzeigen}} | {{#var:CPE11a| ausblenden}} | true | bigdezent|id=Importformat}}
+{{#var:Zertifikate mit openssl konvertieren}}
 {| class="sptable pd5"
 ! {{#var:CPE12| Zertifikat}} !! {{#var:CPE13| Befehl}}
@@ Zeile 74: / Zeile 38: @@
 -->
 |}
-</li>
+</div></div></span>
-</span></div>
+</div><!-- <li class="list--element__alert list--element__warning lh--16"></li> -->
+===== {{#var:Fehlermeldung beim Import}} =====
+<div class="Einrücken">
+{{#var:Fehlermeldung beim Import--desc}}
+{{Einblenden| {{#var:Workaround anzeigen}} | {{#var:hide}} | true | bigdezent |id=Importfehler5}}
+* '''{{#var:Zertifikat in pem umwandeln--desc}}'''{{#var:Zertifikate mit openssl konvertieren}}<br>{{code| openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes }}<br>{{#var:Alternative Online-Dienst}}
+* {{#var:Import mit veralteten Ciphern erlauben}}<br>{{Whitebox|extc global set variable GLOB_ENABLE_SSL_LEGACY value 1 <br>appmgmt config application "securepoint_firewall"<br>appmgmt config application "fwserver"<br>system reboot| class=inline-flex }}<br>{{Hinweis-box|{{#var:Neustart--Hinweis}} }}
+<div class="Einrücken">
+ cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
+ variable              |value
+ ----------------------+-----
+ GLOB_ENABLE_SSL_LEGACY|0
+ cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
+ OK
+ cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
+ variable              |value
+ ----------------------+-----
+ GLOB_ENABLE_SSL_LEGACY|1
+ cli> appmgmt config application "securepoint_firewall"
+ cli> appmgmt config application "fwserver"
+</div></div></span>
+</div>