UTM/AUTH/Zertifikate/Drittanbieter: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 24. Juni 2025, 11:32 Uhr

Drittanbieter Zertifikate aus Windows exportieren oder beantragen und importieren

Letzte Anpassung zur Version: 12.1

Neu:

Aktualisierung zum Redesign des Webinterfaces

Zuletzt aktualisiert:

Import Hinweis ergänzt

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

11.7.9

Beschreibung

Im folgenden wird beschrieben, wie ein Zertifikat von Drittanbietern (x509) in eine Securepoint UTM importiert werden kann, um dieses beispielsweise für den Reverse Proxy zu nutzen.
Für einen Import der Zertifikate müssen diese entweder im PEM-Format oder im PKCS12-Format und Base64-kodiert vorliegen.

Zertifikat exportieren

Auf dem Computer, auf dem das Zertifikat installiert wurde, muss die Microsoft Management Konsole (MMC) gestartet werden. In der Konsole das Zertifikate-Snap-In hinzufügen. Anschließend in der Eingabeaufforderung das Eigene Benutzerkonto anklicken, um das zu verwaltende Konto anzugeben. Mit einem Doppelklick in der MMC-Konsole auf Zertifikate – Aktueller Benutzer, anschließend auf Eigene Zertifikate und zuletzt auf Zertifikate, dann kann auf die Zertifikate zugegriffen werden. notempty Der Private Key muss vorhanden sein.	Das eigene Zertifikat in der MMC-Konsole
Im rechten Fensterbereich kann mit der rechten Maustaste auf das Zertifikat, welches exportiert werden soll, im aufklappendem Menü unter Alle Aufgaben und dann Exportieren der Zertifikatexport-Assistent gestartet werden. Ist der Zertifikatexport-Assistent gestartet, so muss zuerst auf Weiter geklickt werden. Auf der nachfolgenden Seite "Privaten Schlüssel exportieren" kann mit "Ja, privaten Schlüssel exportieren" fortgesetzt werden. Der Private Key ist erforderlich, damit die verschlüsselten Nachrichten auf dem Computer, auf dem der Schlüssel importiert wird, gelesen werden können.	Private Key exportieren
Auf der Seite Exportdateiformat die Standardeinstellungen akzeptieren und anschließend auf Weiter klicken. Auf der folgenden Seite Kennwort muss das Kennwort für den Private Key eingegeben werden. Auf der Seite Exportdatei den Pfad und den Namen der exportierten Zertifikatsdatei eintragen und dann auf Weiter klicken. Der Dateiname hat die Erweiterung ".pfx", diese muss anschließend konvertiert werden, damit das Zertifikat auf der Firewall importiert werden kann. Zuletzt auf Fertig stellen klicken, um das Zertifikat zu exportieren. notempty Die exportierte Zertifikatsdatei wird mit dem angegebenen Namen und der Erweiterung .pfx gespeichert.	Pfad für die Exportdatei

CSR für Drittanbieter Zertifikat erstellen

Um bei einer öffentlichen Zertifizierungsstelle (CA) ein Zertifikat zu beantragen wird ein Certificate Signing Request benötigt.
Dieser lässt sich mit OpenSSL erstellen.

Zunächst wird ein privates Zertifikat benötigt: openssl genrsa -out ttt-point.key 2048
Diese Datei enthält auch das private Zertifikat, das niemals Anderen mitgeteilt werden darf!
Aus diesem Zertifikat lässt sich der CSR erstellen: openssl req -new -key ttt-point.key -out ttt-point.csr
Anschließend werden diverse Angaben erfragt, die im Zertifikat mit angegeben werden.
Der fertige CSR kann dann bei der CA eingereicht werden.

CSR erstellen

Es ist mithilfe des Parameters -subj auch möglich, den gesamten Vorgang mit einem Befehl abzuhandeln:openssl req -new \
-newkey rsa:2048 -nodes -keyout ttt-point.key \
-out ttt-point.csr \
-subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"

CSR mit einer einzigen Befehlszeile erstellen

Import

Zertifikate und CAs lassen sich auf der UTM im Menü Authentifizierung Zertifikate im Reiter CA mit der Schaltfläche CA importieren bzw. im Reiter Zertifikate mit der Schaltfläche Zertifikat importieren importieren.

Da die Zertifikate nicht auf der UTM erstellt wurden, wird eine Meldung (UNABLE TO GET CERTIFICATE CRL) angezeigt. Diese ist in unproblematisch.
Solange der Status grün ist, kann das Zertifikat wie jedes andere genutzt werden.

Besondere Hinweise

Reihenfolge der Zertifikatskette

Folgende Reihenfolge sollte beim Import berücksichtigt werden:

CA
Intermediate Zertifikat 1 (falls vorhanden)
Intermediate Zertifikat 2 (falls vorhanden)
Webserver Zertifikate

Zertifikat konvertieren

Sollte ein Drittanbieter Zertifikat nicht im PEM- oder PKCS12-Format vorliegen, muss es konvertiert werden.

Importformat

Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.

Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:

Zertifikat	Befehl
X509 zu PEM	openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem
DER zu PEM	openssl x509 -inform der -in certificate.cer -out certificate.pem
P7B zu PEM	openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem

Fehlermeldung beim Import

Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen.
Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.
Ein Import ist meist möglich, wenn im Bereich Allgemein die Option Veraltete kryptografische Algorithmen unterstützen Ein aktiviert wird.

notempty

Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

Möglichkeiten für den Import von Zertifikaten:

Zertifikat in *.pem umwandeln

Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes
Alternativ mithilfe eines Online-Dienstes

CLI Befehle, um Zertifikate-Import mit veralteten Ciphern in der UTM zu erlauben:
extc global set variable GLOB_ENABLE_SSL_LEGACY value 1

appmgmt config application "securepoint_firewall"
appmgmt config application "fwserver"
system reboot

notempty

Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY 
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|0  

cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
OK

cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable              |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|1

cli> appmgmt config application "securepoint_firewall"
cli> appmgmt config application "fwserver"

Issuer

Sollte es zu der Meldung "no issuer found" kommen, fehlt zunächst das vorherige Zertifikat aus der Zertifikatskette.

Der Issuer eines Zertifikats kann mit dem Befehl herausgefunden werden.: openssl x509 -in file.pem -text

Unter dem Punkt "Issuer:" kann nun der beim Aussteller zum Download befindliche Issuer einsehen werden.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/AUTH/Zertifikate/Drittanbieter.lang}}
+{{var	| neu--Import Hinweis
+		| [[#Import|Import Hinweis]] ergänzt
+		| Added [[#Import| note for import]] }}
-</div>{{DISPLAYTITLE:{{#var:display}} }}{{TOC2}} {{Select_lang}}
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-'''{{#var:head}}'''
+{{Header|12.1|
+* {{#var:neu--rwi}}
-{{#var:ver}} '''12.1'''
+| zuletzt=06.2025
+* {{#var:neu--Import Hinweis}}
-{{cl|{{#var:neu}} |
+|[[UTM/AUTH/Zertifikate/Drittanbieter_v11.7.9 | 11.7.9]]
-* {{#var:Layoutanpassung}}
+}}
-* {{#var:neu--keine Konvertierung}}
+----
-* {{#var:neu--kein anpassen}}
-* {{#var:neu--CSR-Hinweis}}
-}}<br>
-{{#var:prev}} [[UTM/AUTH/Zertifikate/Drittanbieter_v11.7.9 | 11.7.9]]
+=== {{#var:Beschreibung}} ===
-== {{#var:Beschreibung}} ==
 <div class="Einrücken">
 {{#var:Beschreibung--desc}}
 </div>
+----
+=== {{#var:Zertifikat exportieren}} ===
-== {{#var:Zertifikat exportieren}} ==
+{| class="sptable2 pd5 zh1 Einrücken noborder"
-<div class="Einrücken">
+| <ol>{{#var:MMC-Konsole--desc}}</ol>
-{{pt3| {{#var:MMC-Konsole--Bild}}| {{#var:MMC-Konsole--cap}} }}
+{{Hinweis-box|{{#var:MMC-Konsole--Hinweis}}|g}}
-<ol>
+| class=Bild | {{Bild|{{#var:MMC-Konsole--Bild}}|{{#var:MMC-Konsole--cap}} }}
-{{#var:MMC-Konsole--desc}}</ol>
+|-
-{{Hinweis| ! {{#var:MMC-Konsole--Hinweis}} | g | c=graul}}
+| <ol start="4">{{#var:Private Key exportieren--desc}}</ol>
-</div><br clear=all>
-{{pt3| {{#var:Private Key exportieren--Bild}} | {{#var:Private Key exportieren--cap}} }}
-<div class="Einrücken">
-<ol start="4">{{#var:Private Key exportieren--desc}}</ol>
 <li class="list--element__alert list--element__hint">{{#var:Private Key exportieren--Hinweis}}</li>
-</div><br clear=all>
+| class=Bild | {{Bild|{{#var:Private Key exportieren--Bild}}|{{#var:Private Key exportieren--cap}} }}
+|-
-{{pt3| {{#var:Exportdatei--Bild}} | {{#var:Exportdatei--cap}} }}
+| <ol start="7">{{#var:Exportdatei--desc}}</ol>
-<div class="Einrücken"><ol start="7">{{#var:Exportdatei--desc}}</ol>
+{{Hinweis-box|{{#var:Exportdatei--Hinweis}}|g}}
-{{Hinweis| ! {{#var:Exportdatei--Hinweis}} |g|c=graul}}
+| class=Bild | {{Bild|{{#var:Exportdatei--Bild}}|{{#var:Exportdatei--cap}} }}
-</div><br clear=all>
+|}
+----
+=== {{#var:CSR erstellen}} ===
+{| class="sptable2 pd5 zh1 Einrücken noborder"
+| {{#var:CSR erstellen--desc}}
+| class=Bild | {{Bild|{{#var:CSR erstellen--Bild}}|{{#var:CSR erstellen--cap}} }}
+|-
+| {{#var:CSR erstellen--einzeilig--desc}}
+| class=Bild | {{Bild|{{#var:CSR erstellen--einzeilig--Bild}}|{{#var:CSR erstellen--einzeilig--cap}} }}
+|}
+----
-== {{#var:CSR erstellen}} ==
+=== {{#var:Import}} ===
-{{pt3| {{#var:CSR erstellen--Bild}} | {{#var:CSR erstellen--cap}} }}
-<div class="Einrücken">
-{{#var:CSR erstellen--desc}}
-</div>
-<br clear=all>
-{{pt3| {{#var:CSR erstellen--einzeilig--Bild}} | {{#var:CSR erstellen--einzeilig--cap}} }}
-{{#var:CSR erstellen--einzeilig--desc}}
-</div><br clear=all>
-== {{#var:Import}} ==
 <div class="Einrücken">
 {{#var:Import--desc}}
+<li class="list--element__alert list--element__hint">{{#var:Import--Hinweis}}</li>
 </div>
+----
+=== {{#var:Besondere Hinweise}} ===
-== {{#var:Besondere Hinweise}} ==
+==== {{#var:Reihenfolge der Zertifikatskette}} ====
-=== {{#var:Reihenfolge der Zertifikatskette}} ===
 <div class="Einrücken">
 {{#var:Reihenfolge der Zertifikatskette--desc}}
@@ Zeile 74: / Zeile 63: @@
 </div>
+==== {{#var:Zertifikat konvertieren}} ====
-=== {{#var:Zertifikat konvertieren}} ===
 <div class="Einrücken">{{#var:Zertifikat konvertieren--desc}}<br>
 {{:UTM/AUTH/Zertifikate-Importformat}}
+</div>
 ----
 </div>
-=== {{#var:Issuer}} ===
+==== {{#var:Issuer}} ====
 <div class="Einrücken">
 {{#var:Issuer--desc}}
 </div>
 <!--
@@ Zeile 98: / Zeile 86: @@
 -->
 <!--
-===Zertifikat anpassen (PEM)===
+==== Zertifikat anpassen (PEM)====
 Um Importschwierigkeiten zu umgehen, sollte das Hauptzertifikat (PEM) ein wenig angepasst, bzw. einige Einträge entfernt werden. Hierzu das eben konvertierte Zertifikat mit einem Text-Editor öffnen.