K (Der Seiteninhalt wurde durch einen anderen Text ersetzt: „XXX“) Markierung: Ersetzt |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{Lang}} | |||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{var | display | |||
| Zertifikate | |||
| Certificates }} | |||
{{var | head | |||
| Erstellen und Verwalten von Zertifikaten | |||
| Creation and managment of certificates }} | |||
{{var | neu--Überarbeitung | |||
| Allgemeine Überarbeitung | |||
| General revision }} | |||
{{var | neu--Letsencrypt | |||
| Zertifikate mit Hilfe von ACME verwalten (Let's Encrypt) | |||
| Manage certificates with the help of ACME (Let's Encrypt) }} | |||
{{var | Allgemeines | |||
| Allgemeines | |||
| Allgemeines }} | |||
{{var | Allgemeines--cap | |||
| Dialog Zertifikate | |||
| Dialog certificates }} | |||
{{var | Allgemeines--Bild | |||
| UTM v12.1 Zertifikate.png | |||
| UTM v12.1 Zertifikate.png }} | |||
{{var | 1=Allgemeines--desc | |||
| 2=<p>Die Securepoint Firewall benutzt digitale Zertifikate für die Authentifikation bei verschiedenen Funktionen: | |||
* VPN-Verbindungen | |||
* SSL-Interception | |||
* Captive Portal | |||
* Mailrelay | |||
* Reverse Proxy | |||
Die Zertifikate entsprechen dem x.509 Standard.</p> | |||
<p>Zertifikate sollen die Identität des Inhabers bescheinigen. <br> | |||
Sie werden | |||
* von der '''Securepoint Appliance''' ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. | |||
** Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden. | |||
* {{Hinweis| Neu ab v12 |12.1|gr}} durch einen '''{{hoover|ACME|Automatic Certificate Management Environment}}-Dienst''' ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier [https://letsencrypt.org/de/ Let's Encrypt]</p> | |||
| 3=<p>The Securepoint firewall uses digital certificates for authentication for various functions: | |||
* VPN connections | |||
* SSL Interception | |||
* Captive Portal | |||
* Mailrelay | |||
* Reverse Proxy | |||
The certificates comply with the x.509 standard.</p> | |||
<p>Certificates are intended to certify the identity of the holder. <br> | |||
They are | |||
* issued by the '''Securepoint Appliance''' and signed by the appliance's own CA (Certification Authority; also called root certificate). | |||
** The CA itself is also a certificate that must first be created on the Apliance in order to create certificates, because certificates must be signed with the CA when they are created. | |||
* {{Hinweis| New as of v12 |12.1|gr}} issued by a '''{{hoover|ACME|Automatic Certificate Management Environment}}''' service and certified by it. Available here [https://letsencrypt.org/en/ Let's Encrypt]</p>.}} | |||
{{var | Allgemeines--Hinweise | |||
| Weitere Hinweise zu Zertifikaten anzeigen | |||
| Show more notes on certificates }} | |||
{{var | 1=Allgemeines--Hinweise--desc | |||
| 2=Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde. | |||
<p>Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.<br> | |||
Dazu gehören: | |||
* Name des Zertifikats (CN) Common Name | |||
* Land (CO) Country | |||
* Bundesland/Region (ST) State | |||
* Ort (LO) Location | |||
* Firma (OR) Organisation | |||
* Abteilung (OU) Organisation Unit | |||
* E-Mail (email-address) | |||
* Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.<li class="list--element__alert list--element__hint">Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client). | |||
</li> | |||
* Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden. | |||
* Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. {{Hinweis|!|g}} Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht. | |||
</p> | |||
| 3=This signing confirms the authenticity of the certificate. Thus, the user can be sure that the certificate was really issued by the appliance. | |||
<p>To be able to uniquely assign the certificate, a distinguished name (DN) is generated from the individual details that must be set when the certificate is created.<br>. | |||
This includes: | |||
* Name of the certificate (CN) Common Name | |||
* Country (CO) Country | |||
* State/Region (ST) State | |||
* City (LO) Location | |||
* Company (OR) Organization | |||
* Department (OU) Organization Unit | |||
* E-mail (email-address) | |||
* An alias can still be specified to strengthen the uniqueness. This alias is either an email address, a DNS name or an IP address.<li class="list--element__alert list--element__hint">Some VPN software requires this alias for proper functionality (e.g. Windows 7 IPSec Client). | |||
</li> | |||
* In addition, a validity period must still be specified, whose start and expiration time is composed of time and date. The validity period is not prescribed and can be adapted to your own needs. After the expiration of this period, the certificate can no longer be used. | |||
* A flag can also be set, which identifies the certificate as a server certificate. {{Hinweis|!|g}} This is required by OpenVPN for the server. OpenVPN always requires a server system with server certificate for a site, even for site-to-site connections. Other VPN protocols do not require this flag. | |||
</p>}} | |||
{{var | Zertifikatserstellung--UTM | |||
| Zertifikatserstellung durch die UTM | |||
| Certificate creation by the UTM }} | |||
{{var | Zertifikatserstellung--UTM--desc | |||
| Im Folgenden wird gezeigt, wie durch die UTM Zertifikate erstellt und signiert werden. | |||
| The following shows how certificates are created and signed by the UTM. }} | |||
{{var | CA erstellen | |||
| CA erstellen | |||
| Create CA }} | |||
{{var | CA erstellen--desc | |||
|* Menü {{Menu|Authentifizierung|Zertifikate}} | |||
* Reiter {{Reiter|CA}} | |||
* Schaltfläche {{Button|CA hinzufügen|+}} | |||
| * Menu {{Menu|Authentication|Certificates}} | |||
* Tab {{Reiter|CA}} | |||
* Button {{Button|Add CA|+}} }} | |||
{{var | CA erstellen--Bild | |||
| UTM v12.1 Zertifikate CA.png | |||
| UTM v12.1 Zertifikate CA-en.png }} | |||
{{var | CA erstellen--cap | |||
| Dialog CA hinzufügen | |||
| Dialog ''Add CA''}} | |||
{{var | Common Name | |||
| Common Name | |||
| Common Name }} | |||
{{var | Common Name--desc | |||
| Eindeutiger Name | |||
| Unique name }} | |||
{{var | Schlüssellänge | |||
| Schlüssellänge | |||
| Key length }} | |||
{{var | Schlüssellänge--desc | |||
| Schlüssellänge in Bit. Default {{ic|2048|dr}}<br>Weitere Werte: {{ic|1024|dr}} und {{ic|4096|dr}} | |||
| Key length in bit. Default {{ic|2048|dr}}<br>Other values: {{ic|1024|dr}} and {{ic|4096|dr}} }} | |||
{{var | Gültig bis | |||
| Gültig bis | |||
| Valid until }} | |||
{{var | Gültig bis--Hinweis | |||
| Mit der Gültigkeit der CA läuft auch die Gültigkeit der mit dieser CA signierten Zertifikate aus. | |||
| When the CA expires, the validity of the certificates signed with this CA also expires. }} | |||
{{var | Gültig bis--desc | |||
| Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT hh:mm:ss. Wenn mit der Maus in das Eingabefeld geklickt wird, öffnet sich automatisch ein Kalender, auf dem das Datum und die Uhrzeit ausgewählt werden kann. | |||
| The date must be entered in the following format YYYY/MM/DD hh:mm:ss. If the mouse is clicked in the input field, a calendar opens automatically, on which the date and time can be selected. }} | |||
{{var | CA--Speichern | |||
| Erstellen der CA mit der Schaltfläche {{Button|Speichern}} | |||
| Create the CA with the {{Button|Save}} button. }} | |||
{{var | Zertifikat erstellen | |||
| Server- und Clientzertifikat erstellen | |||
| Create server and client certificate }} | |||
{{var | Zertifikat erstellen--Menü | |||
| Reiter {{Reiter|Zertifikate}} Schaltfläche {{Button|Zertifikat hinzufügen|+}} | |||
| Tab {{Reiter|Certificates}} Button {{Button|Add Certificate|+}} }} | |||
{{var | Zertifikat erstellen--Reihenfolge | |||
| Erst nachdem eine CA angelegt wurde, können Zertifikate für die Appliance und für Nutzer angelegt werden. | |||
| Only after a CA has been created certificates can be created for the appliance and for users. }} | |||
{{var | Zertifikat erstellen--desc | |||
| | |||
| }} | |||
{{var | Zertifikat erstellen-- | |||
| | |||
| }} | |||
{{var | Common Name--desc | |||
| Eindeutiger Name. {{Hinweis|!|gr}} Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden: | |||
* CA-''xyz'' für Certificate Authorities | |||
* CS-''xyz'' für Serverzertifikate (Certificate Server) | |||
* CC-''xyz'' für Clientzertifikate (Certificate Client) | |||
* ACME-''xyz'' für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll) | |||
| Distinctive name. {{Hinweis|!|gr}} The following scheme should be used for clear assignment of certificates: | |||
* CA-''xyz'' for Certificate Authorities | |||
* CS-''xyz'' for server certificates (Certificate Server) | |||
* CC-''xyz'' for client certificates (Certificate Client) | |||
* ACME-''xyz'' for ACME certificates (xyz corresponds to the service for which the certificate is to be used) }} | |||
{{var | Werte aus CA laden | |||
| Werte aus CA laden | |||
| Loading values from CA }} | |||
{{var | Werte aus CA laden--desc | |||
| Übernimmt die Werte aus der CA. Nachträgliche Änderungen sind möglich. | |||
| Adopts the values from the CA. Subsequent changes are possible. }} | |||
{{var | CA-wählen--desc | |||
| {{ic|CA-Anyideas|dr}} Auswahl der CA, die das Zertifikat signieren soll | |||
| {{ic|CA-Anyideas|dr}} Selection of the CA that will sign the certificate }} | |||
{{var | Serverzertifikat | |||
| Serverzertifikat | |||
| Server certificate }} | |||
{{var | Serverzertifikat--Bild | |||
| UTM v12.1 Zertifikate Serverzertifikat.png | |||
| UTM v12.1 Zertifikate Serverzertifikat-en.png }} | |||
{{var | Serverzertifikat--cap | |||
| Serverzertifikat | |||
| Server certificate }} | |||
{{var | Clientzertifikat--Bild | |||
| UTM v12.1 Zertifikate Clientzertifikat.png | |||
| UTM v12.1 Zertifikate Clientzertifikat-en.png }} | |||
{{var | Clientzertifikat--cap | |||
| Clientzertifikat | |||
| Client certificate }} | |||
{{var | Serverzertifikat--desc | |||
| Wird für ein Serverzertifikat aktiviert.<br>Zusätzlich ist mindest eine weiterer Alias erforderlich: | |||
* {{ic|DNS|dr}} DNSName des Servers (z.B. beispiel.spdns.de) | |||
* {{ic|E-Mail|dr}} E-Mailadresse | |||
* {{ic|IP|dr}} IP-Adresse des Servers | |||
Hinzufügen des Alias mit der Schaltfläche {{Button||+}} | |||
| Is activated for a server certificate.<br>In addition, at least one further alias is required: | |||
* {{ic|DNS|dr}} DNSName of the server (e.g. example.spdns.en). | |||
* {{ic|E-mail|dr}} Email address | |||
* {{ic|IP|dr}} IP address of the server | |||
Adding the alias with the {{Button||+}} button. }} | |||
{{var | Clientzertifikat--desc | |||
| Wird für ein Clientzertifikat nicht verwendet | |||
| Not used for a client certificate }} | |||
{{var | CC--Speichern | |||
| Erstellen dez Zertifikates mit der Schaltfläche {{Button|Speichern}} | |||
| Create the certificate with the {{Button|Save}} button. }} | |||
{{var | ACME Zertifikate | |||
| ACME Zertifikate (Let's Encrypt) | |||
| ACME certificates (Let's Encrypt) }} | |||
{{var | ACME Zertifikate--desc | |||
| Um ACME Zertifikate nutzen zu können muss der Dienst im Reiter {{Reiter|ACME}} zunächst aktiviert werden | |||
| In order to use ACME certificates, the service must first be activated in the {{Reiter|ACME}} tab. }} | |||
{{var | ACME Zertifikate--default--cap | |||
| {{Kasten|ACME-Dienst |grau}} {{ButtonAn|Ein}} Dienst aktivieren | |||
| {{Kasten|ACME service |grau}} {{ButtonAn|On}} Enable service }} | |||
{{var | ACME Zertifikate--default--Bild | |||
| UTM v12.1 Zertifikate ACME-Default.png | |||
| UTM v12.1 Zertifikate ACME-Default-en.png }} | |||
{{var | ACME Zertifikate--NB-laden--cap | |||
| Sobald der Dienst aktiviert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen {{Button||w}} aufrufen | |||
| Once the service has been activated, the link to the terms of use is loaded and the settings {{Button||w}} can be accessed }} | |||
{{var | ACME Zertifikate--NB-laden--Bild | |||
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen geladen.png | |||
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen geladen-en.png }} | |||
{{var | ACME Zertifikate--aktivieren--cap | |||
| Mit der Schaltfläche {{b|Aktivieren}} {{ButtonAn|Ja}} und dem hinterlegen einer {{b|E-Mail}} Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben {{Button|Speichern}} | |||
| With the button {{b|Activate}} {{ButtonAn|Yes}} and the storage of an {{b|Email}} address for notifications by the ACME service provider (here: Let's Encrypt), the information can be {{Button|Saved}} }} | |||
{{var | ACME Zertifikate--aktivieren--Bild | |||
| UTM v12.1 Zertifikate ACME-Aktivieren.png | |||
| UTM v12.1 Zertifikate ACME-Aktivieren-en.png }} | |||
{{var | ACME Zertifikate--NB-bestätigen--cap | |||
| Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert {{ButtonAn|Ja}} werden müssen. | |||
| A dialog will appear with a link to the Terms of Use, which must be accepted {{ButtonAn|Yes}}. }} | |||
{{var | ACME Zertifikate--NB-bestätigen--Bild | |||
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen Letsencrypt bestätigen.png | |||
| UTM v12.1 Zertifikate ACME-Nutzungsbedingungen Letsencrypt bestätigen-en.png }} | |||
{{var | ACME Zertifikate--Registrierung--cap | |||
| Daraufhin wird eine Registrierung bei dem ACME Dienstanbieter durchgeführt | |||
| A registration with the ACME service provider is then performed }} | |||
{{var | ACME Zertifikate--Registrierung--Bild | |||
| UTM v12.1 Zertifikate ACME-Registrierung.png | |||
| UTM v12.1 Zertifikate ACME-Registrierung-en.png }} | |||
{{var | ACME Zertifikate--Registriert--cap | |||
| Die erfolgreiche Registrierung wird mit dem Status {{spc|OK|buttongr}} angezeigt. | |||
| Successful registration is indicated with the status {{spc|OK|buttongr}}. }} | |||
{{var | ACME Zertifikate--Registriert--Bild | |||
| UTM v12.1 Zertifikate ACME-Registriert.png | |||
| UTM v12.1 Zertifikate ACME-Registriert-en.png }} | |||
{{var | ACME-aktivieren | |||
| ACME Dienst aktivieren | |||
| Activate ACME service }} | |||
{{var | Token generieren | |||
| Token generieren | |||
| Generate token }} | |||
{{var | Token generieren--desc | |||
| Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im [https://spDYN.de spDYN Portal] zu generieren.<br> Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen. | |||
| To generate the certificates, the ACME token must first be generated in the [https://spDYN.de spDYN portal].<br> Within the spDYN portal, the corresponding host must be opened. }} | |||
{{var | spDyn-Token--Host--Bild | |||
| spDYN Token.png | |||
| spDYN Token-en.png }} | |||
{{var | spDyn-Token--Host--cap | |||
| spDyn Host aufrufen | |||
| Call up spDyn Host }} | |||
{{var | spDyn-Token--Token-wählen--Bild | |||
| spDYN ACME Token waehlen.png | |||
| spDYN ACME Token waehlen-en.png }} | |||
{{var | spDyn-Token--Token-wählen--cap | |||
| Im Dropdown Menü für {{b|Token}} den {{ic|ACME Challenge Token|dr}} wählen | |||
| Select the {{ic|ACME Challenge Token|dr}} from the {{b|Token}} drop-down menu. }} | |||
{{var | spDyn-Token--Token generieren--Bild | |||
| spDYN ACME Token.png | |||
| spDYN ACME Token-en.png }} | |||
{{var | spDyn-Token--Token generieren--cap | |||
| Token generieren | |||
| Generate token }} | |||
{{var | spDyn-Token--Hinweis | |||
| Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden. | |||
| The token is displayed once during generation and cannot be displayed again. }} | |||
{{var | spDyn-Token--Token notieren | |||
| Der Token sollte notiert und sicher aufbewahrt werden. | |||
| The token should be noted and stored safely. }} | |||
{{var | ACME-Zertifikat erstellen | |||
| ACME-Zertifikat erstellen | |||
| Create ACME certificate }} | |||
{{var | ACME-Zertifikate | |||
| ACME-Zertifikate | |||
| ACME Certificates }} | |||
{{var | ACME-Zertifikat erstellen--desc | |||
| Nach Abschluss der vorherigen Schritte kann nun das eigentliche Zertifikat erzeugt werden. Ein Klick im Reiter {{Reiter | Zertifikate}} auf {{Button|ACME-Zertifikat hinzufügen|+}} öffnet den entsprechenden Dialog. | |||
| After completing the previous steps, the actual certificate can now be generated. A click on {{Button|Add ACME certificate|+}} in the {{Reiter|Certificates}} tab opens the corresponding dialog. }} | |||
{{var | Authentifizierung | |||
| Authentifizierung | |||
| Authentifizierung }} | |||
{{var | Zertifikate | |||
| Zertifikate | |||
| Certificates }} | |||
{{var | ACME-Zertifikat hinzufügen | |||
| ACME-Zertifikat hinzufügen | |||
| Add ACME certificate }} | |||
{{var | Dialog | |||
| Dialog | |||
| Dialog }} | |||
{{var | ACME-Zertifikat hinzufügen--Bild | |||
| UTM v12.1 Zertifikate ACME hinzufügen.png | |||
| UTM v12.1 Zertifikate ACME hinzufügen-en.png }} | |||
{{var | Name | |||
| Name | |||
| Name }} | |||
{{var | Name--desc | |||
| Name zur Identifizierung des Zertifikates | |||
| Name to identify the certificate }} | |||
{{var | Schlüssellänge | |||
| Schlüssellänge: | |||
| Key length: }} | |||
{{var | Schlüssellänge--desc | |||
| Schlüssellänge des Zertifikates. Mögliche Werte: {{ic|1024|dr}} / {{ic|2048|dr}} (default) / {{ic|4096|dr}} | |||
| Key length of the certificate. Possible values: {{ic|1024|dr}} / {{ic|2048|dr}} (default) / {{ic|4096|dr}} }} | |||
{{var | ACME-Account | |||
| ACME Account | |||
| ACME Account }} | |||
{{var | ACME-Account--desc | |||
| ACME Account der verwendet werden soll | |||
| ACME account which should be used }} | |||
{{var | SAN--hinzufügen | |||
| Subject Alternative Name konfigurieren mit {{Button|SAN hinzufügen|+}} | |||
| Subject Alternative Name configure with {{Button|Add SAN|+}} }} | |||
{{var | SAN--hinzufügen--Bild | |||
| UTM v12.1 Zertifikate ACME SAN.png | |||
| UTM v12.1 Zertifikate ACME SAN-en.png }} | |||
{{var | SAN--hinzufügen--cap | |||
| Subject Alternative Name hinzufügen | |||
| Add Subject Alternative Name}} | |||
{{var | SAN--spdyn--val | |||
| ttt-point.spdns.org | |||
| ttt-point.spdns.org }} | |||
{{var | SAN--spdyn--desc | |||
| Der Subject Alternative Name ('''SAN''') wird im Zertifikat hinterlegt und entspricht der aufegrufenen URL | |||
| The Subject Alternative Name ('''SAN'') is stored in the certificate and corresponds to the called URL }} | |||
{{var | 1=SAN--Wildcard--val | |||
| 2=<nowiki>*</nowiki>.ttt-point.spdns.org | |||
| 3=<nowiki>*</nowiki>.ttt-point.spdns.org }} | |||
{{var | SAN--Wildcard | |||
| Es können auch '''Wildcard'''-SANs verwendet werden. {{Hinweis| ab v12.1.9|12.2}} | |||
| '''Wildcard''' SANs can also be used. {{Hinweis| as of v12.1.9|12.2}}}} | |||
{{var | Wildcard-Hinweis für Captive Portal | |||
| Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt | |||
| Wildcard certificates are strongly recommended for use with a captive portal }} | |||
{{var | Wildcard-Hinweis für Captive Portal--info | |||
| Wird für das Captive Portal im Nameserver eine Forward-Zone benötigt und für diese dann ein A-Record eingetragen, wird dieser nicht mehr im öffentlichen DNS aufgelöst.<br>Die Überprüfung und Verlängerung eines ACME-Zertifikates auf diesen Namen schlägt dann fehl. | |||
| }} | |||
{{var | Subject Alternative Name | |||
| Subject Alternative Name | |||
| Subject Alternative Name }} | |||
{{var | Alias | |||
| Alias | |||
| Alias }} | |||
{{var | Alias--spdyn--val | |||
| ttt-point.spdns.org | |||
| ttt-point.spdns.org }} | |||
{{var | Alias--spdyn--desc | |||
| Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen.<br>(Auch bei Wildcard-Domännen ohne ''*'' {{Hinweis| § ab v12.1.9|12.2}}) | |||
| If the SAN is a spDYN hostname it is automatically taken on as alias.<br>(Also for wildcard domains without ''*'' {{Hinweis| § as of v12.1.9|12.2}}) }} | |||
{{var | Token | |||
| Token | |||
| Token }} | |||
{{var | Token--desc | |||
| Der Token aus dem spDYN-Portal (s.o.) belegt dem ACME-Dienst, daß man über den Hostnamen verfügen darf.<br>{{Button||class=fal fa-eye}} zeigt den Token an. | |||
| The token from the spDYN portal (see above) proves to the ACME service that you are allowed to dispose of the hostname.<br>{{Button||class=fal fa-eye}} displays the token. }} | |||
{{var | Speichern | |||
| Speichern | |||
| Save }} | |||
{{var | Speichern--desc | |||
| Übernimmt diesen SAN in das Zertifikat | |||
| Transfers this SAN to the certificate }} | |||
{{var | Token--Hinweis | |||
| Beim Einfügen des Tokens aus der Zwischenablage kann es vorkommen, daß vor oder nach dem eigentlichen Token Leerzeichen enthalten sind. Diese müssen entfernt werden | |||
| When inserting the token from the clipboard it can happen that there are blanks before or after the actual token. These must be removed }} | |||
{{var | Konfiguration prüfen | |||
| Konfiguration prüfen | |||
| Check configuration }} | |||
{{var | Konfiguration prüfen--desc | |||
| Vor der eigentlichen Generierung des Zertifiaktes muss zunächst die Konfiguration geprüft werden. Dies erfolgt durch einen Klick auf die Schaltfläche {{Button|Konfiguration prüfen|class=fal fa-check}}. | |||
|Before the actual generation of the certificate, the configuration must first be checked. This is done by clicking on the {{Button|Check configuration|class=fal fa-check}} button. }} | |||
{{var | Konfiguration prüfen--Bild | |||
| UTM v12.1 Zertifikate ACME initialisiert.png | |||
| UTM v12.1 Zertifikate ACME initialisiert.png }} | |||
{{var | initialisieren | |||
| initialisieren | |||
| initialize }} | |||
{{var | Initialisiert | |||
| Initialisiert | |||
| Initializes }} | |||
{{var | Noch nicht geprüft | |||
| Noch nicht geprüft | |||
| Not yet checked }} | |||
{{var | Gültig | |||
| Gültig | |||
| Valid }} | |||
{{var | DNS Fehler | |||
| DNS Fehler | |||
|DNS error }} | |||
{{var | Status | |||
| Status | |||
| Status }} | |||
{{var | Konfiguration prüfen--prüfen--desc | |||
| Die Überprüfung kann mehrere Minuten in Anspruch nehmen. Dabei wird der Dialog regelmäßig aktualisiert. | |||
| The check can take several minutes. During this process, the dialog is updated regularly. }} | |||
{{var | Konfiguration prüfen--gültig--desc | |||
| Ist die Überprüfung erfolgreich wird der Status {{Kasten|Gültig|grün}} angezeigt. | |||
| If the check is successful, the status {{Kasten|Valid|grün}} is displayed. }} | |||
{{var | Konfiguration prüfen--DNS-Fehler--desc | |||
| Mögliche Ursachen: | |||
* falscher Token | |||
* DNS Auflösung gestört | |||
* Zonen Weiterleitung im DNS konfiguriert | |||
* lokale DNS-Zone im DNS konfiguriert | |||
| Possible causes: | |||
* wrong token | |||
* DNS resolution disturbed | |||
* zone forwarding configured in DNS | |||
* local DNS zone configured in DNS }} | |||
{{var | SAN--extern | |||
| Subject Alternative Name für eine externe DNS-Zone konfigurieren mit {{Button|SAN hinzufügen|+}} | |||
| Configure Subject Alternative Name for an external DNS zone with {{Button|Add SAN|+}} }} | |||
{{var | SAN--extern--h4 | |||
| SAN für externe DNS-Zone hinzufügen | |||
| Add SAN for external DNS zone }} | |||
{{var | SAN--extern--desc | |||
| Der Subject Alternative Name (SAN) aus der externen DNS-Zone | |||
| The Subject Alternative Name (SAN) from the external DNS zone.}} | |||
{{var | SAN--extern--Bild | |||
| UTM v12.1 Zertifikate ACME SAN extern.png | |||
| UTM v12.1 Zertifikate ACME SAN extern-en.png }} | |||
{{var | SAN--extern--val | |||
| ttt-point.anyideas.org | |||
| ttt-point.anyideas.org }} | |||
{{var | Alias--extern--desc | |||
| Der Alias muss auch für die externe DNS auf den spDYN Namen lauten. | |||
| The alias must also be the spDYN name for the external DNS. }} | |||
{{var | 1=SAN--extern--acme-challange | |||
| 2=Grundsätzlich wird ein zusätzlicher CNAME-Record mit dem Prefix _acme-challenge und dem anschließenden Hostnamen angelegt und entsprechend auf den zugehörigen spDYN-Record mit vorangestellten _acme-challenge verwiesen. {{code|_acme-challenge.ttt-point.spdns.org.}} (Mit "." am Ende!)<br> | |||
Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus:<pre> | |||
_acme-challenge.mx.ttt-point.de. IN CNAME _acme-challenge.ttt-point.spdns.org. | |||
_acme-challenge.exchange.ttt-point.de. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre> | |||
| 3= Basically, an additional CNAME record is created with the Prefix _acme-challenge followed by the host name and referenced accordingly to the associated spDYN record preceded by _acme-challenge. {{code|_acme-challenge.ttt-point.spdns.org.}} (With "." at the end!)<br> | |||
An example excerpt from a Zonefile for the configuration of the two hostnames mx.ttt-point.de and exchange.ttt-point.de looks like this:<pre> | |||
_acme-challenge.mx.ttt-point.de. IN CNAME _acme-challenge.ttt-point.spdns.org. | |||
_acme-challenge.exchange.ttt-point.de. IN CNAME _acme-challenge.ttt-point.spdns.org.</pre>}} | |||
{{var | 1=SAN--extern--Hinweis | |||
| 2=Der Hostname muss im öffentlichen DNS auflösbar sein. <br>Die Erstellung von Zertifkaten für <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. Zonen ist nicht möglich. | |||
| 3=The hostname must be resolvable in the public DNS. <br>Certificate creation for <span class="whitebox">.local</span>, <span class="whitebox">.lan</span>, etc. zones is not possible. }} | |||
{{var | SAN--extern--prüfen | |||
| Weitere SANs können hinzugefügt und geprüft werden, solang die Schaltfläche {{Button|Speichern}} noch nicht betätigt wurde. | |||
| Additional SANs can be added and checked as long as the {{Button|Save}} button has not been pressed. }} | |||
{{var | SAN--Speichern | |||
| Nach dem Speichern des Zertifikates lassen sich keine Änderungen mehr vornehmen. Es kann lediglich bei bestehenden SANs der Alias und der Token geändert werden. | |||
| Once the certificate has been saved, no more changes can be made. Only the alias and the token can be changed for existing SANs. }} | |||
{{var | SAN--Widerrufen | |||
| Werden zusätzliche oder andere SANs benötigt muss ein neues Zertifikat angelegt und das bestehende widerrufen werden. | |||
| If additional or different SANs are required, a new certificate must be created and the existing one has to be revoked. }} | |||
{{var | SAN--extern--prüfen--Bild | |||
| UTM v12.1 Zertifikate ACME SAN überprüft.png | |||
| UTM v12.1 Zertifikate ACME SAN überprüft.png }} | |||
{{var | SAN--gültig | |||
| Sind alle benötigten SAN erolfgreich geprüft, kann das Zertifikat gespeichert werden. | |||
| Once all the required SANs have been successfully checked, the certificate can be saved. }} | |||
{{var | SAN--gültig--Bild | |||
| UTM v12.1 Zertifikate ACME SAN gültig.png | |||
| UTM v12.1 Zertifikate ACME SAN gültig.png }} | |||
{{var | DNS-Provider | |||
| DNS-Provider | |||
| DNS-Provider }} | |||
{{var | No-Delegation | |||
| Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. Die Delegierung der Zone an interne DNS-Server ist nicht möglich. | |||
| The UTM must be able to resolve the host name correctly via external name servers. Delegation of the zone to internal DNS servers is not possible. }} | |||
{{var | ACME-erstellen | |||
| Erstellung des ACME Zertifikates | |||
| Creation of the ACME certificate }} | |||
{{var | ACME-erstellen--desc | |||
| Wurden die vorherigen Schritte erfolgreich abgeschlossen wird durch einen Klick auf Speichern der eigentliche Prozess zur Validierung und Generierung des Zertifikates angestoßen. | |||
<br> | |||
Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden. | |||
| If the previous steps have been completed successfully, the actual process for validating and generating the certificate is triggered by clicking Save. | |||
<br> | |||
This process may take some time. To update the status, the dialog must be reloaded manually.}} | |||
{{var | ACME-erstellen--Bild | |||
| UTM v12.1 Zertifikate ACME-init-valid.png | |||
| UTM v12.1 Zertifikate ACME-init-valid-en.png }} | |||
{{var | Zertifikate exportieren | |||
| Zertifikate / CAs exportieren | |||
| Export certificates / CAs }} | |||
{{var | 1=Zertifikate exportieren--desc | |||
| 2=Zertifikate und CAs können in zwei Formaten für den externen Gebrauch exportiert werden: | |||
* Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate und End Certificate und Begin Private Key und End Private Key gekennzeichnet. Die Datei hat die Endung <span class="whitebox">.crt</span> Die CA muss ggf. separat exportiert werden. | |||
* Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12. | |||
<!-- | |||
Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen | |||
--> | |||
| 3=Certificates and CAs can be exported in two formats for external use: | |||
* The PEM format is a Base64 encoded format that contains the public and private key in one file. The two keys are labeled Begin Certificate and End Certificate and Begin Private Key and End Private Key. The file has the ending <span class="whitebox">.crt</span> The CA may have to be exported separately. | |||
* The PKCS#12 format exports not only the certificate, but also the associated CA in a password-secured file. The file has the extension .p12. | |||
<!-- | |||
For SSL VPN with the Securepoint Client the PEM format is used. If you want to use the VPN clients of Microsoft Windows 7, you have to use PKCS#12 | |||
--> }} | |||
{{var | Zertifikat Export | |||
| Aufruf des Export-Dialogs mit der Schaltfläche {{Button||d}} | |||
| Call the export dialog with the {{Button||d}} button. }} | |||
{{var | Zertifikat Export--Bild | |||
| UTM v12.1 Zertifikate export.png | |||
| UTM v12.1 Zertifikate export-en.png }} | |||
{{var | Zertifikat Export--cap | |||
| Zertifikat Export | |||
| Certificate export }} | |||
{{var | 1=Zertifikat Export--pem | |||
| 2=Export im PEM Format | |||
| 3=Export in PEM format }} | |||
{{var | Zertifikat Export--pem--Bild | |||
| UTM v12.1 Zertifikate export PEM.png | |||
| UTM v12.1 Zertifikate export PEM-en.png }} | |||
{{var | 1=Zertifikat Export--pem--desc | |||
| 2=* Startet den Export im PEM-Format mit der Endung <span class="whitebox">.crt</span> | |||
* Base64 kodiertes Format | |||
* Beinhaltet den öffentlichen und den privaten Schlüssel in einer Datei<br>Kennzeichnung der beiden Schlüssel sind mit den Bezeichnungen: | |||
** ''-----BEGIN CERTIFICATE-----'' und ''-----END CERTIFICATE-----'' <br>für den öffentlichen Schlüssel | |||
** ''-----BEGIN PRIVATE KEY-----'' und ''-----END PRIVATE KEY-----'' <br>für den privaten Schlüssel | |||
| 3=* Starts the export in PEM format with the extension <span class="whitebox">.crt</span>. | |||
* Base64 encoded format | |||
* Contains the public and the private key in one file<br>Labeling of the two keys are with the labels: | |||
** ''-----BEGIN CERTIFICATE-----'' and ''-----END CERTIFICATE-----'' <br>for the public key. ** ''-----BEGIN PRIVATE KEY-----'' and ''-----END PRIVATE KEY-----'' <br>for the private key. }} | |||
{{var | Exportieren | |||
| Exportieren | |||
| Export }} | |||
{{var | Zertifikat Export--pkcs12 | |||
| Export im PKCS12 Format | |||
| Export in PKCS12 format }} | |||
{{var | 1=Zertifikat Export--pkcs12--desc | |||
| 2=* Startet den Export im PKCS12-Format mit der Endung <span class="whitebox">.p12</span><br>{{Hinweis|!}} Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden. | |||
| 3=* Starts the export in PKCS12 format with the extension <span class="whitebox">.p12</span><br>{{Hinweis|!}}. Since the CA is also exported here, a password should be assigned for security reasons. }} | |||
{{var | Zertifikat Export--pkcs12--Bild | |||
| UTM v12.1 Zertifikate export PKCS12.png | |||
| UTM v12.1 Zertifikate export PKCS12-en.png }} | |||
{{var | Hinweis CA | |||
| Wird die CA ebenfalls benötigt, kann diese über den Reiter {{Reiter|CA}} separat im PEM oder PKCS12 Format exportiert werden | |||
| If the CA is also required, it can be exported separately in PEM or PKCS12 format via the {{Reiter|CA}} tab }} | |||
{{var | Zertifikat Export--CRL | |||
| Export im CRL Format | |||
| Export in CRL format }} | |||
{{var | Zertifikat Export--CRL--desc | |||
| Startet den Export im CRL-Format (Certificate Revokation List) | |||
| Starts the export in CRL format (Certificate Revocation List) }} | |||
{{var | Zertifikat Export--CRL--Bild | |||
| UTM v12.1 Zertifikate export CRL.png | |||
| UTM v12.1 Zertifikate export CRL-en.png }} | |||
{{var | Zertifikat Export--private-key--Hinweis | |||
| In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden. | |||
| The file contains the private key. This should be deleted from the file before passing on the data. }} | |||
{{var | Zertifikate widerrufen | |||
| Zertifikate / CAs widerrufen | |||
| Revoke certificates / CAs }} | |||
{{var | Zertifikate widerrufen--desc | |||
| Widerruft ein Zertifikat oder eine CA.<br>Die Sicherheitsabfrage muss mit Ja bestätigt werden.<br>Sollen mehrere Zertifikate widerrufen werden, kann das Einblenden der Sicherheitsabfrage vorübergehend deaktiviert werden. | |||
| Revokes a certificate or a CA.<br>The security prompt must be confirmed with Yes.<br>If multiple certificates are to be revoked, the display of the security prompt can be temporarily disabled. }} | |||
{{var | Zertifikate widerrufen--Bild | |||
| UTM v12.1 Zertifikate widerrufen.png | |||
| UTM v12.1 Zertifikate widerrufen-en.png }} | |||
{{var | Zertifikate widerrufen--Sicherheitsabfrage--Bild | |||
| UTM v12.1 Zertifikate widerrufen Sicherheitsabfrage.png | |||
| UTM v12.1 Zertifikate widerrufen Sicherheitsabfrage-en.png }} | |||
{{var | Zertifikate widerrufen--Sicherheitsabfrage | |||
| Sicherheitsabfrage | |||
| Security query }} | |||
{{var | Zertifikate widerrufen--ausführlich | |||
|* Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. | |||
* Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. | |||
* Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte {{Reiter|Widerrufen}} geführt und können dort wiederhergestellt werden | |||
* Widerrufene Zertifikate werden in der Zertifikatssperrliste auf der Registerkarte {{Reiter|CRLs}} (Certificate Revocation List) aufgenommen. | |||
* Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. | |||
* Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden {{Button|CRL importieren|u}}, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren. | |||
| * If certificates are no longer to be used even though the validity period is still active, the certificates are not deleted but revoked. | |||
* Revoked certificates remain in the system, but are declared invalid and are no longer accepted | |||
* Revoked certificates are managed in the certificate management under the {{Reiter|Revoke}} tab and can be restored there. | |||
* Revoked certificates are included in the certificate revocation list on the {{Reiter|CRLs}} tab. (Certificate Revocation List). | |||
* The revocation list is created at the same time as the CA. If a certificate is revoked, it is deposited as invalid in the list corresponding to the signing CA. | |||
* The revocation list can also be exported to be loaded onto other systems {{Button|Import CRL|u}} so that they also do not accept the revoked certificates. }} | |||
{{var | Widerrufen | |||
| Widerrufen | |||
| Revoke }} | |||
{{var | Widerrufen--desc | |||
| Zeigt alle widerrufenen CAs und Certifikate mit zugehörigen CAs an | |||
| Displays all revoked CAs and certificates with associated CAs }} | |||
{{var | Widerrufen--Bild | |||
| UTM v12.1 Zertifikate Reiter Widerrufen.png | |||
| UTM v12.1 Zertifikate Reiter Widerrufen-en.png }} | |||
{{var | Widerrufen--cap | |||
| Reiter {{Reiter|Widerrufen}} | |||
| Tab {{Reiter|Revoked}} }} | |||
{{var | Entsperren--Hinweis | |||
| Das sollte nur bei lokalen CAs oder Zertifikaten, deren CRL noch nicht exportiert wurde, durchgeführt werden! | |||
| This should only be done for local CAs or certificates whose CRL has not yet been exported! }} | |||
{{var | Entsperren--desc | |||
| Entsperrt eine CA oder ein Zertifikat und stellt es wieder her. | |||
| Unblocks a CA or certificate and restores it. }} | |||
{{var | Löschen--Hinweis | |||
| Das sollte nur bei lokalen CAs oder Zertifikaten, die nicht in Produktivumgebungen genutzt wurden, durchgeführt werden! | |||
| This should only be done for local CAs or certificates that have not been used in production environments! }} | |||
{{var | Löschen--desc | |||
| Löscht das Zertifikat | |||
| Deletes the certificate }} | |||
{{var | Reiter CA-Zertifikate | |||
| Reiter {{Reiter|CA}} / {{Reiter|Zertifikate}} | |||
| Tab {{Reiter|CA}} / {{Reiter|Certificates}} }} | |||
{{var | CRLs | |||
| CRLs | |||
| CRLs }} | |||
{{var | CRLs--desc | |||
| Zeigt alle CAs und Zertifikate mit ihrem Status und dem Typ der CRL an | |||
| Displays all CAs and certificates with their status and the type of CRL }} | |||
{{var | CRLs--Bild | |||
| UTM v12.1 Zertifikate CRLs.png | |||
| UTM v12.1 Zertifikate CRLs-en.png }} | |||
{{var | CRL--Export | |||
| | |||
| }} | |||
{{var | CRL--Export--desc | |||
| Exportiert die CRL einer CA bzw eines Zertifikates | |||
| Exports the CRL of a CA or certificate }} | |||
{{var | CRL importieren | |||
| CRL importieren | |||
| Import CRL }} | |||
{{var | CRL importieren--desc | |||
| Importiert eine CRL | |||
| Imports a CRL }} | |||
{{var | ACME | |||
| ACME | |||
| ACME }} | |||
{{var | ACME--desc | |||
| Aktiviert ACME Dienste (Automatic Certificate Management Environment)<br>Siehe [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Zertifikate]] | |||
| Enables ACME services (Automatic Certificate Management Environment)<br>See [[#ACME_Zertifikate_.28Let.27s_Encrypt.29 | ACME Certificates]]}} | |||
{{var | Zertifikate importieren--desc | |||
| Zertifikate und CAs lassen sich mit mit der Schaltfläche {{Button|CA importieren|u}} bzw. {{Button|Zertifikat importieren|u}} importieren. | |||
| Certificates and CAs can be imported with the {{Button|Import CA|u}} or {{Button|Import Certificate|u}} button. }} | |||
{{var | Zertifikate importieren | |||
| Zertifikate / CAs importieren | |||
| Import certificates / CAs }} | |||
{{var | Übersicht Statusmeldungen | |||
| Übersicht Statusmeldungen | |||
| Overview status messages }} | |||
{{var | Key-OK--desc | |||
| Der öffentliche und private Schlüssel liegen vor | |||
| The public and private key are present }} | |||
{{var | Key-fail--desc | |||
| Der private Schlüssel liegt nicht vor | |||
| The private key is not present }} | |||
{{var | Key-fail--Hinweis | |||
| Bei Import z.B. einer öffentlichen CA wird nur der PublicKey importiert | |||
| When importing e.g. a public CA, only the PublicKey is imported }} | |||
{{var | unable-crl--desc | |||
| Es ist keine aktuelle CRL vorhanden. | |||
| There is no current CRL available. }} | |||
{{var | unable-crl--Hinweis | |||
| Eine CRL ist für den Betrieb im Webserver oder Mailrelay nicht relevant. | |||
| A CRL is not relevant for operation in the web server or Mailrelay. }} | |||
{{var | unable-issuer--desc | |||
| Der lokale Aussteller kann nicht gefunden werden. | |||
| The local issuer cannot be found. }} | |||
{{var | unable-issuer--Hinweis | |||
| Bei importierten CAs kann es keinen lokalen Aussteller geben | |||
| For imported CAs, there can be no local issuer }} | |||
{{var | VALID--OK--desc | |||
| Das Zertifikat ist gültig | |||
| The certificate is valid }} | |||
{{var | INIT--desc | |||
| Das Zertifikat wird gerade initialisiert (Nur ACME-Zertifikate) | |||
| The certificate is being initialized (ACME certificates only) }} | |||
{{var | grün | |||
| grün | |||
| green }} | |||
{{var | gelb | |||
| gelb | |||
| yellow }} | |||
{{var | rot | |||
| rot | |||
| red }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
---- | |||
{{var | | |||
| | |||
| }} | |||
</div> | |||
UTM/AUTH/Zertifikate.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki