Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 43: | Zeile 43: | ||
** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden. | ** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden. | ||
* | * durch einen '''{{hoover|ACME|Automatic Certificate Management Environment}}-Dienst''' ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier [https://letsencrypt.org/de/ Let's Encrypt]</p> | ||
| 3=<p>The Securepoint firewall uses digital certificates for authentication for various functions: | | 3=<p>The Securepoint firewall uses digital certificates for authentication for various functions: | ||
* VPN connections | * VPN connections | ||
| Zeile 56: | Zeile 56: | ||
** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created. | ** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created. | ||
* | * issued by a '''{{hoover|ACME|Automatic Certificate Management Environment}}''' service and certified by it. Available here [https://letsencrypt.org/en/ Let's Encrypt]</p>.}} | ||
{{var | Allgemeines--Hinweise | {{var | Allgemeines--Hinweise | ||
| Weitere Hinweise zu Zertifikaten anzeigen | | Weitere Hinweise zu Zertifikaten anzeigen | ||
| Zeile 78: | Zeile 78: | ||
* Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden. | * Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden. | ||
* Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{ | * Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{Alert|g}} Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht. | ||
</p> | </p> | ||
| 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance. | | 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance. | ||
| Zeile 97: | Zeile 97: | ||
* In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used. | * In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used. | ||
* A flag can also be set, which identifies the certificate as a server certificate. {{ | * A flag can also be set, which identifies the certificate as a server certificate. {{Alert|g}} This is required by OpenVPN for the server. OpenVPN always requires a server system with server certificate for a site, even for site-to-site connections. Other VPN protocols do not require this flag. | ||
</p>}} | </p>}} | ||
{{var | Zertifikatserstellung--UTM | {{var | Zertifikatserstellung--UTM | ||
| Zeile 161: | Zeile 161: | ||
| }} | | }} | ||
{{var | Common Name--desc | {{var | Common Name--desc | ||
| Eindeutiger Name. {{ | | Eindeutiger Name. {{Alert|gr}} Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden: | ||
* CA-''xyz'' für Certificate Authorities | * CA-''xyz'' für Certificate Authorities | ||
* CS-''xyz'' für Serverzertifikate (Certificate Server) | * CS-''xyz'' für Serverzertifikate (Certificate Server) | ||
* CC-''xyz'' für Clientzertifikate (Certificate Client) | * CC-''xyz'' für Clientzertifikate (Certificate Client) | ||
* ACME-''xyz'' für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll) | * ACME-''xyz'' für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll) | ||
| Distinctive name. {{ | | Distinctive name. {{Alert|gr}} The following scheme should be used for clear assignment of certificates: | ||
* CA-''xyz'' for Certificate Authorities | * CA-''xyz'' for Certificate Authorities | ||
* CS-''xyz'' for server certificates (Certificate Server) | * CS-''xyz'' for server certificates (Certificate Server) | ||
| Zeile 190: | Zeile 190: | ||
| Server certificate }} | | Server certificate }} | ||
{{var | Clientzertifikat--Bild | {{var | Clientzertifikat--Bild | ||
| UTM v12. | | UTM v12.4 Zertifikate Clientzertifikat.png | ||
| UTM v12. | | UTM v12.4 Zertifikate Clientzertifikat-en.png }} | ||
{{var | Clientzertifikat--cap | {{var | Clientzertifikat--cap | ||
| Clientzertifikat | | Clientzertifikat | ||
| Zeile 216: | Zeile 216: | ||
| ACME certificates (Let's Encrypt) }} | | ACME certificates (Let's Encrypt) }} | ||
{{var | ACME Zertifikate--desc | {{var | ACME Zertifikate--desc | ||
| Um ACME Zertifikate nutzen zu können, muss im Reiter {{Reiter|ACME}} unter {{b|{{ | | Um ACME Zertifikate nutzen zu können, muss im Reiter {{Reiter|ACME}} unter {{b|{{Kasten2|Allgemein}} }} {{b|Aktiviert:}} {{ButtonAn|Ja}} aktiviert werden | ||
| In order to use ACME certificates, the service must first be activated in the {{Reiter|ACME}} tab. }} | | In order to use ACME certificates, the service must first be activated in the {{Reiter|ACME}} tab. }} | ||
{{var | ACME Zertifikate--default--cap | {{var | ACME Zertifikate--default--cap | ||
| {{ | | {{Kasten2|ACME-Dienst |grau}} {{ButtonAn|Ein}} Dienst aktivieren | ||
| {{ | | {{Kasten2|ACME service |grau}} {{ButtonAn|On}} Enable service }} | ||
{{var | ACME Zertifikate--default--Bild | {{var | ACME Zertifikate--default--Bild | ||
| UTM v12.1 Zertifikate ACME-Default.png | | UTM v12.1 Zertifikate ACME-Default.png | ||
| Zeile 348: | Zeile 348: | ||
| 3=<nowiki>*</nowiki>.ttt-point.spdns.org }} | | 3=<nowiki>*</nowiki>.ttt-point.spdns.org }} | ||
{{var | SAN--Wildcard | {{var | SAN--Wildcard | ||
| Es können auch '''Wildcard'''-SANs verwendet werden. | | Es können auch '''Wildcard'''-SANs verwendet werden. | ||
| '''Wildcard''' SANs can also be used. | | '''Wildcard''' SANs can also be used. }} | ||
{{var | Wildcard-Hinweis für Captive Portal | {{var | Wildcard-Hinweis für Captive Portal | ||
| Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt | | Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt | ||
| Zeile 366: | Zeile 366: | ||
| ttt-point.spdns.org }} | | ttt-point.spdns.org }} | ||
{{var | Alias--spdyn--desc | {{var | Alias--spdyn--desc | ||
| Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen.<br>(Auch bei Wildcard-Domännen ohne ''*'' | | Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen.<br>(Auch bei Wildcard-Domännen ohne ''*'' ) | ||
| If the SAN is a spDYN hostname it is automatically taken on as alias.<br>(Also for wildcard domains without ''*'' | | If the SAN is a spDYN hostname it is automatically taken on as alias.<br>(Also for wildcard domains without ''*'' ) }} | ||
{{var | Token | {{var | Token | ||
| Token | | Token | ||
| Zeile 414: | Zeile 414: | ||
| The check can take several minutes. During this process, the dialog is updated regularly. }} | | The check can take several minutes. During this process, the dialog is updated regularly. }} | ||
{{var | Konfiguration prüfen--gültig--desc | {{var | Konfiguration prüfen--gültig--desc | ||
| Ist die Überprüfung erfolgreich wird der Status {{ | | Ist die Überprüfung erfolgreich wird der Status {{Kasten2|Gültig|grün}} angezeigt. | ||
| If the check is successful, the status {{ | | If the check is successful, the status {{Kasten2|Valid|grün}} is displayed. }} | ||
{{var | Konfiguration prüfen--DNS-Fehler--desc | {{var | Konfiguration prüfen--DNS-Fehler--desc | ||
| Mögliche Ursachen: | | Mögliche Ursachen: | ||
| Zeile 478: | Zeile 478: | ||
| DNS-Provider | | DNS-Provider | ||
| DNS-Provider }} | | DNS-Provider }} | ||
{{var | No-Delegation | {{var | 1=No-Delegation | ||
| Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. <br>{{Hinweis- | | 2=Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. <br>{{Hinweis-box| Ist die interne und die externe/öffentliche Domain identisch, sollte ein Wildcard-ACME-Zertifikat verwendet werden.<br>Beispiel: Hostname für das Captive Portal: ''portal.ttt-point.de'' → ACME Zertifikat: ''*.ttt-point.de''|g|fs__icon=none}} | ||
| The UTM must be able to resolve the host name correctly via external nameservers. <br>If the internal and the external/public domain are identical, the zone must also be delegated to the internal DNS. }} | | 3=The UTM must be able to resolve the host name correctly via external nameservers. <br>{{Hinweis-box| If the internal and the external/public domain are identical, the zone must also be delegated to the internal DNS.|g|fs__icon=none}} }} | ||
{{var | ACME-erstellen | {{var | ACME-erstellen | ||
| Erstellung des ACME Zertifikates | | Erstellung des ACME Zertifikates | ||
| Zeile 542: | Zeile 542: | ||
| Export in PKCS12 format }} | | Export in PKCS12 format }} | ||
{{var | 1=Zertifikat Export--pkcs12--desc | {{var | 1=Zertifikat Export--pkcs12--desc | ||
| 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br>{{ | | 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br>{{Alert}} Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden. | ||
| 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br>{{ | | 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br>{{Alert}}. Since the CA is also exported here, a password should be assigned for security reasons. }} | ||
{{var | Zertifikat Export--pkcs12--Bild | {{var | Zertifikat Export--pkcs12--Bild | ||
| UTM v12.1 Zertifikate export PKCS12.png | | UTM v12.1 Zertifikate export PKCS12.png | ||
| Zeile 702: | Zeile 702: | ||
| Renewal of ACME certificates }} | | Renewal of ACME certificates }} | ||
{{var | Verlängerung ACME--desc | {{var | Verlängerung ACME--desc | ||
| Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter {{b|{{ | | Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter {{b|{{Kasten2|Allgemein}} }} [[#Allgemein | (siehe oben)]] konfiguriert werden, statt. | ||
| The renewal of the ACME/Let's Encrypt certificates takes place via the nameservers used, which are configured under {{b|{{ | | The renewal of the ACME/Let's Encrypt certificates takes place via the nameservers used, which are configured under {{b|{{Kasten2|General}} }} [[#General | (see above)]] }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| Zeile 731: | Zeile 731: | ||
| Hier lassen sich die Nameserver für die ACME-Challenges eintragen. | | Hier lassen sich die Nameserver für die ACME-Challenges eintragen. | ||
| Here you can enter the nameservers for the ACME-Challenges. }} | | Here you can enter the nameservers for the ACME-Challenges. }} | ||
{{var | Export-pkcs12-deprecated | |||
| Konvertierung mit alten Hashfunktion und Verschlüsselungsverfahren | |||
| }} | |||
{{var | Probleme beim Import auf Dritt-Geräten | |||
| Hilfestellung zu Problemen beim Import auf Dritt-Geräten | |||
| }} | |||
{{var | 1=Probleme beim Import auf Dritt-Geräten--desc | |||
| 2=Bei der Verwendung auf Drittgeräten kann es zu Problemen kommen, wenn diese nicht die gleichen (neuesten) Hash- und Verschlüsselungsverfahren wie die UTM verwenden. Eine Lösung <u>kann</u> sein, die Zertifikate z.B. mit ''openssl'' in 2 Schritten zu konvertieren:<br>{{code|openssl pkcs12 -nodes < CC-Roadwarrior1.p12 > CC-Roadwarrior1-tmp.pem<br>openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -nomac -export -in CC-Roadwarrior1-tmp.pem -out CC-Roadwarrior1-neu.p12 -name "CC-Roadwarrior1" }} | |||
| 3= }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
UTM/AUTH/Zertifikate.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki