Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard.
----
Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.
Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
*Name des Zertifikats (CN) Common Name
*Land (CO) Country
*Bundesland/Region (ST) State
*Ort (LO) Location
*Firma (OR) Organisation
*Abteilung (OU) Organisation Unit
*E-Mail (email-address)
Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
== {{#var:Allgemeines}} ==
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).
Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.
Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.
*Klicken Sie auf der Navigationsleise auf den Punkt ''Authentifizierung'' und wählen Sie den Eintrag ''Zertifikate'' vom Dropdownmenü.<br/>Es öffnet sich der Dialog ''Zertifikate'' auf der Registerkarte ''CA''.
*Klicken Sie auf ''+CA hinzufügen''.<br/>Es öffnet sich der Dialog ''CA hinzufügen''.
*Tragen Sie im Feld ''Common Name'' einen eindeutigen Namen ein.
*Wählen Sie aus dem Dropdownfeld ''Schlüssellänge'' die Schlüssellänge für das Zertifikat aus..
*Tragen Sie in den Feldern ''Gültig seit'' und ''Gültig bis'', den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
*Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
*Wechseln Sie auf die Registerkarte ''Zertifikate'' und klicken Sie auf den Button ''+ Zertifikat hinzufügen''.<br/>Es öffnet sich der Dialog ''Zertifikat hinzufügen''.
{{#var:Zertifikat erstellen--desc}}
*Geben Sie im Feld ''Common Name'' einen Namen für das Zertifikat an.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''.<br/>Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:<br/>
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Geben Sie im Feld ''Staat'' die Region oder das Bundesland an.
**Geben Sie im Feld ''Stadt'' die Stadt an.
**Tragen Sie im Feld ''Organisation'' Ihre Firma oder Organisation ein.
**Tragen Sie im Feld ''Abteilung'' die Unterstruktur ein.
**Im Feld ''E-Mail'' tragen Sie eine E-Mail-Adresse ein.
*Für ein Serverzertifikat wählen Sie im Feld ''Alias'' den Eintrag ''DNS'' aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
*Aktivieren Sie die Checkbox ''Serverzertifikat''.
*Für ein Nutzerzertifikat wählen Sie als Alias ''Keine'' aus. die Checkbox ''Serverzertifikat'' bleibt deaktiviert.
Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden.
Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel in einer Datei beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen ''Begin Certificate'' und ''End Certificate'' und ''Begin Private Key'' und ''End Private Key'' gekennzeichnet. Die Datei hat die Endung ''.pem''. Die CA muss separat exportiert werden.
Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung ''.p12''.
Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt.
== {{#var:Zertifikate importieren}} ==
Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende [[VPN Client und Zertifikatsverwaltung#Importieren der Zertifikate| Anleitung]] in dieser Wiki.
{{#var:Zertifikate importieren--desc}}<br>
{{:UTM/AUTH/Zertifikate-Importformat}}
===Export im PEM Format===
== {{#var:Zertifikate exportieren}} ==
[[Datei:Export_pem.png|thumb|450px|<font size="1">Export im PEM Format</font>]]
<!--
*Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte ''Zertifikate''.
{{#var:Zertifikate exportieren--desc}}
*Wählen Sie das zu exportierende Zertifikat aus.
-->
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''.<br/>Es öffnet sich der Speicherdialog des Browsers.
{| class="sptable2 pd5"
*Klicken Sie auf ''Datei speichern''.<br/>Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.
[[Datei:Export_pem_CA.png|thumb|450px|<font size="1">Export CA im PEM Format</font>]]
|- class="Leerzeile"
*Wechseln Sie auf die Registerkarte CA.
|
*Wählen Sie das zugehörige Stammzertifikat.
|- class="Leerzeile"
*Klicken Sie in der entsprechenden Zeile auf die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PEM''.<br/>Es öffnet sich der Speicherdialog des Browsers.
*Klicken Sie auf ''Datei speichern''.<br/>Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.
|-
Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
[[Datei:Export_pkcs12.png|thumb|450px|<font size="1">Export im PKCS#12 Format</font>]]
Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss die Schaltfläche mit dem Disketten-Symbol und der Bezeichnung ''PKCS12'' benutzt werden. Es muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA.
[[Datei:Export_pkcs12_kennwort.png|thumb|<font size="1">Kennwort für PKCS12 angeben</font>]]
Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.
Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte ''Widerrufen'' geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte ''CRL'' (Certificate Revocation List) aufgenommen.
{| class="sptable2 pd5 zh1"
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
Die Securepoint Firewall benutzt digitale Zertifikate für die Authentifikation bei verschiedenen Funktionen:
VPN-Verbindungen
SSL-Interception
Captive Portal
Mailrelay
Reverse Proxy
Die Zertifikate entsprechen dem x.509 Standard.
Zertifikate sollen die Identität des Inhabers bescheinigen.
Sie werden
von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert.
Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.
durch einen Automatic Certificate Management Environment-Dienst ausgestellt und von diesem zertifiziert. Zur Verfügung steht hier Let's Encrypt
Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde.
Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert.
Dazu gehören:
Name des Zertifikats (CN) Common Name
Land (CO) Country
Bundesland/Region (ST) State
Ort (LO) Location
Firma (OR) Organisation
Abteilung (OU) Organisation Unit
E-Mail (email-address)
Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse.
Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).
Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.
Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.
Im Folgenden wird gezeigt, wie durch die UTM Zertifikate erstellt und signiert werden.
CA erstellen
Dialog CA hinzufügen
Menü Authentifizierung Zertifikate Bereich CA Schaltfläche CA hinzufügen
Wert
Beschreibung
Common Name
Eindeutiger Name. Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden:
CA-xyz für Certificate Authorities
CS-xyz für Serverzertifikate (Certificate Server)
CC-xyz für Clientzertifikate (Certificate Client)
ACME-xyz für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll)
Schlüssellänge:
Schlüssellänge des Zertifikates. Mögliche Werte:
Gültig bis
Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT hh:mm:ss. Wenn mit der Maus in das Eingabefeld geklickt wird, öffnet sich automatisch ein Kalender, auf dem das Datum und die Uhrzeit ausgewählt werden kann.
Mit der Gültigkeit der CA läuft auch die Gültigkeit der mit dieser CA signierten Zertifikate aus.
Erst nachdem eine CA angelegt wurde, können Server- und Clientzertifikate angelegt werden.
Nun kann ein Zertikikat für einen Server oder Client erstellt werden. Dies geht unter: Authentifizierung Zertifikate Bereich Zertifikate Schaltfläche Zertifikat hinzufügen
Wert
Beschreibung
Common Name
Eindeutiger Name. Für eine klare Zuordnung von Zertifikaten sollte folgendes Schema verwendet werden:
CA-xyz für Certificate Authorities
CS-xyz für Serverzertifikate (Certificate Server)
CC-xyz für Clientzertifikate (Certificate Client)
ACME-xyz für ACME Zertifikate (xyz entspricht dabei dem Dienst, für den das Zertifikat verwendet werden soll)
Schlüssellänge:
Schlüssellänge des Zertifikates. Mögliche Werte:
CA:
CA-Anyideas Auswahl der CA, die das Zertifikat signieren soll
Werte aus CA laden
Übernimmt die Werte aus der CA. Nachträgliche Änderungen sind möglich.
Aktiviert die Nutzung von ACME-Zertifikaten. Weitere Informationen siehe unten ACME Dienst aktivieren.
Systemweite Nameserver für ACME-Challenges verwenden:
Ja
Sollten die Adressen für die Server zur Verlängerung der ACME-Challenges nicht über den systemweiten Nameserver aufgelöst werden können (z.B. wg. konfigurierter Relay- oder Foreward-Zonen) können bei Deaktivierung Nein alternative Nameserver eingetragen werden.
Nameserver für ACME-Challenges: Bei deaktivierten systemweiten Nameserver für ACME-Challenges nutzbar
Hier lassen sich die Nameserver für die ACME-Challenges eintragen.
ACME Dienst aktivieren
ACME Dienst aktivieren
Um ACME Zertifikate nutzen zu können, muss dies unter Authentifizierung Zertifikate Bereich ACMEAktiviert:Ja aktiviert werden.
Sobald der Dienst aktiviert wurde und dies mit gespeichert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen aufrufen.
Mit der Schaltfläche AktivierenJa und dem Hinterlegen einer E-Mail Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben unter speichern.
Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert Ja werden müssen.
ACME-DienstEin Dienst aktivieren
Sobald der Dienst aktiviert wurde und dies mit gespeichert wurde, wird der Link zu den Nutzungsbedingungen geladen und es lassen sich die Einstellungen aufrufen.
Mit der Schaltfläche AktivierenJa und dem Hinterlegen einer E-Mail Adresse für Benachrichtigungen durch den ACME Dienstanbieter (hier: Let's Encrypt) lassen sich die Angaben unter speichern.
Daraufhin wird ein Dialog eingeblendet mit einem Link zu den Nutzungsbedingungen, die akzeptiert Ja werden müssen.
Daraufhin wird eine Registrierung bei dem ACME Dienstanbieter durchgeführt
Die erfolgreiche Registrierung wird mit dem Status OK angezeigt.
Token generieren
Token generieren
spDYN Für die Erzeugung der Zertifikate ist zunächst der ACME-Token im spDYN Portal zu generieren. Innerhalb des spDYN-Portals ist der entsprechende Host zu öffnen.
spDyn Host aufrufen
Im Dropdown Menü für Token den ACME Challenge Token wählen
Token generieren notempty
Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden.
Der Token sollte notiert und sicher aufbewahrt werden.
spDyn Host aufrufen
Im Dropdown Menü für Token den ACME Challenge Token wählen
Token generieren Der Token wird einmal bei der Generierung angezeigt und kann nicht erneut angezeigt werden. Der Token sollte notiert und sicher aufbewahrt werden.
Verlängerung der ACME Zertifikate
Verlängerung der ACME Zertifikate
notempty
Neu ab 12.4
Die Verlängerung der ACME/Let's Encrypt Zertifikate findet über die verwendeten Nameserver, welche unter Authentizifierung Zertifikate Bereich ACME (siehe oben) konfiguriert werden, statt.
ACME-Zertifikate
ACME-Zertifikate
Nach Abschluss der vorherigen Schritte kann nun das eigentliche Zertifikat erzeugt werden. Ein Klick im Bereich Zertifikate auf ACME-Zertifikat hinzufügen öffnet den entsprechenden Dialog.
UTM Dialog Authentifizierung Zertifikate Bereich Zertifikate Schaltfläche ACME-Zertifikat hinzufügen
Name
acme_ttt-Point
Name zur Identifizierung des Zertifikates
Schlüssellänge:
2048
Schlüssellänge des Zertifikates. Mögliche Werte:
ACME Account
Let's Encrypt
ACME Account der verwendet werden soll
Subject Alternative Name konfigurieren mit SAN hinzufügen
Subject Alternative Name hinzufügen
Subject Alternative Name
» ✕ttt-point.spdns.org
Der Subject Alternative Name (SAN) wird im Zertifikat hinterlegt und entspricht der aufgerufenen URL
Subject Alternative Name hinzufügen
» ✕*.ttt-point.spdns.org
Es können auch Wildcard-SANs verwendet werden.
Für die Verwendung mit einem Captive Portal werden Wildcard-Zertifikate benötigt
Wird für das Captive Portal im Nameserver eine Forward-Zone benötigt und für diese dann ein A-Record eingetragen, wird dieser nicht mehr im öffentlichen DNS aufgelöst. Die Überprüfung und Verlängerung eines ACME-Zertifikates auf diesen Namen schlägt dann fehl.
Alias
ttt-point.spdns.org
Ist der SAN ein spDYN Hostname wird er automatisch als Alias übernommen. (Auch bei Wildcard-Domännen ohne * )
Token
•••••••••••••
Der Token aus dem spDYN-Portal (s.o.) belegt dem ACME-Dienst, daß man über den Hostnamen verfügen darf. zeigt den Token an. Beim Einfügen des Tokens aus der Zwischenablage kann es vorkommen, daß vor oder nach dem eigentlichen Token Leerzeichen enthalten sind. Diese müssen entfernt werden
Konfiguration prüfen
Konfiguration prüfen
Status
Noch nicht geprüft
Vor der eigentlichen Generierung des Zertifiaktes muss zunächst die Konfiguration geprüft werden. Dies erfolgt durch einen Klick auf die Schaltfläche Konfiguration prüfen.
Die Überprüfung kann mehrere Minuten in Anspruch nehmen. Dabei wird der Dialog regelmäßig aktualisiert.
Gültig
Ist die Überprüfung erfolgreich wird der Status Gültig angezeigt.
DNS Fehler
Mögliche Ursachen:
falscher Token
DNS Auflösung gestört
Zonen Weiterleitung im DNS konfiguriert
lokale DNS-Zone im DNS konfiguriert
Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen.
• Unter Menu/Anwendungen/Nameserver/Zonen nach der Zone suchen • auf Bearbeiten klicken • Im Fenster auf +Eintrag hinzufügen klicken • unter Name: einen passenden Namen eintragen • bei Typ:CNAME auswählen • bei Wert: die Domaine eintragen
Subject Alternative Name für eine externe DNS-Zone konfigurieren mit SAN hinzufügen
SAN für externe DNS-Zone hinzufügen
Subject Alternative Name
ttt-point.anyideas.org
Der Subject Alternative Name (SAN) aus der externen DNS-Zone
Alias
ttt-point.spdns.org
Der Alias muss auch für die externe DNS auf den spDYN Namen lauten.
DNS-Provider
Beim DNS-Provider, der die externe Zone hostet (hier: ttt-point.anyideas.org) muss ein zusätzlicher CNAME-Record mit dem Prefix _acme-challenge und dem anschließenden Hostnamen angelegt werden und entsprechend auf den zugehörigen spDYN-Record mit vorangestellten _acme-challenge verwiesen. _acme-challenge.ttt-point.spdns.org. (Mit "." am Ende!)
Ein beispielhafter Auszug aus einem Zonefile für die Konfiguration der beiden Hostnamen mx.ttt-point.de und exchange.ttt-point.de sieht wie folgt aus:
_acme-challenge.mx.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.
_acme-challenge.exchange.ttt-point.anyideas.org. IN CNAME _acme-challenge.ttt-point.spdns.org.
Der Hostname muss im öffentlichen DNS auflösbar sein. Die Erstellung von Zertifkaten für .local, .lan, etc. Zonen ist nicht möglich.
Die UTM muss den Hostnamen über externe Nameserver korrekt auflösen können. notempty
Ist die interne und die externe/öffentliche Domain identisch, sollte ein Wildcard-ACME-Zertifikat verwendet werden. Beispiel: Hostname für das Captive Portal: portal.ttt-point.de → ACME Zertifikat: *.ttt-point.de
Konfiguration prüfen
Weitere SANs können hinzugefügt und geprüft werden, solang die Schaltfläche noch nicht betätigt wurde.
Nach dem Speichern des Zertifikates lassen sich keine Änderungen mehr vornehmen. Es kann lediglich bei bestehenden SANs der Alias und der Token geändert werden.
Werden zusätzliche oder andere SANs benötigt muss ein neues Zertifikat angelegt und das Bestehende widerrufen werden.
Erstellung des ACME Zertifikates
Erstellung des ACME Zertifikates
Wurden die vorherigen Schritte erfolgreich abgeschlossen wird durch einen Klick auf Speichern der eigentliche Prozess zur Validierung und Generierung des Zertifikates angestoßen.
Dieser Vorgang kann einige Zeit in Anspruch nehmen. Um den Status zu aktualiseren ist der Dialog manuell neu zu laden.
Das ACME Zertifikat ist ungültig und kann nicht verwendet werden
DNS-Fehler
Ein DNS-Fehler ist aufgetreten
Mögliche Ursachen:
falscher Token
DNS Auflösung gestört
Zonen Weiterleitung im DNS konfiguriert
lokale DNS-Zone im DNS konfiguriert
Falls im Nameserver der UTM eine Zone für eine Domain liegt, welche auch das ACME-Zertifikat nutzt, schlägt die DNS Auflösung fehl. Lösung: Für diese Zone einen CNAME-Eintrag für diese Domain erstellen.
• Unter Menu/Anwendungen/Nameserver/Zonen nach der Zone suchen • auf Bearbeiten klicken • Im Fenster auf +Eintrag hinzufügen klicken • unter Name: einen passenden Namen eintragen • bei Typ:CNAME auswählen • bei Wert: die Domaine eintragen
Widerrufen
Das ACME Zertifikat ist widerrufen worden
Entweder wurde es manuell widerrufen, oder es hat seine Gültigkeit verloren. Zum Beispiel ist das ACME Zertifikat ausgelaufen und wurde nicht verlängert.
Initialisieren
Die Überprüfung des ACME Zertifikats wird eingeleitet
Dies kann mehrere Minuten in Anspruch nehmen. Der Status wird regelmäßig aktualisiert.
Aufgeschoben
Die Überprüfung des ACME Zertifikats wird verschoben
Die Aktualisierung des Status wird einige Zeit in Anspruch nehmen, da das Limit der Anfragen bereits erreicht wurde
Initialisiert
Das ACME Zertifikat wird überprüft
Die Überprüfung des ACME Zertifikats wird eingeleitet
Zertifikate / CAs importieren
Zertifikate und CAs lassen sich mit mit der Schaltfläche CA importieren bzw. Zertifikat importieren importieren.
Importformat
Zertifikate und CAs, die in eine UTM importiert werden sollen, müssen im PEM-Format (Dateiendung meist .pem) oder PKCS12-Format (Dateiendung meist .p12 oder .pfx) vorliegen.
Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden:
Beim Import kann es zur Fehlermeldung "The certificate format is not supported…" kommen. Passwortgeschützte Zertifikate im pkcs12-Format (.p12 , .pfx , .pkcs12) in Verbindung mit älteren Ciphern können diesen Fehler auslösen.
Ein Import ist meist möglich, wenn im Reiter Allgemeinnotempty
Neu ab v12.5.1
die Option Veraltete kryptografische Algorithmen unterstützenEin aktiviert wird.
notempty
Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!
Möglichkeiten für den Import von Zertifikaten:
Zertifikat in *.pem umwandeln Mit dem für alle gängigen Plattformen erhältlichen Tool openssl (Bestandteil von Linux, Aufruf über die Konsole) und den folgenden Befehlen können Zertifikate konvertiert werden: openssl pkcs12 -in Zertifikat.pfx -out Zertifikat.pem -nodes Alternativ mithilfe eines Online-Dienstes
CLI Befehle, um Zertifikate-Import mit veralteten Ciphern in der UTM zu erlauben: extc global set variable GLOB_ENABLE_SSL_LEGACY value 1 appmgmt config application "securepoint_firewall" appmgmt config application "fwserver" system reboot notempty
Erfordert einen Dabei werden alle Verbindungen (incl. VPN-Verbindungen) zur UTM unterbrochen!
cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|0
cli> extc global set variable GLOB_ENABLE_SSL_LEGACY value 1
OK
cli> extc global get variable GLOB_ENABLE_SSL_LEGACY
variable |value
----------------------+-----
GLOB_ENABLE_SSL_LEGACY|1
cli> appmgmt config application "securepoint_firewall"
cli> appmgmt config application "fwserver"
Zertifikate / CAs exportieren
Über die Schaltfläche ➊ (oben links im Dialog) wird das Exportformat der CA bzw. des Zertifikats ➋ (Beschreibung der Formate siehe unten) ausgewählt
Über die Schaltfläche ➌ wird der Download im entsprechendem Format gestartet || class="Bild" rowspan="1" |
CA Export
'
Exportieren
Startet den Export im PEM-Format mit der Endung .crt
Base64 kodiertes Format
Beinhaltet den öffentlichen und den privaten Schlüssel in einer Datei Kennzeichnung der beiden Schlüssel sind mit den Bezeichnungen:
-----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- für den öffentlichen Schlüssel
-----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- für den privaten Schlüssel
Wird die CA ebenfalls benötigt, kann diese über den Bereich CA separat im PEM oder PKCS12 Format exportiert werden
In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
[[Datei: ]]
'
Exportieren
Startet den Export im PKCS12-Format mit der Endung .p12 Da hierbei die CA ebenfalls mit exportiert wird, sollte aus Sicherheitsgründen ein Passwort vergeben werden.
In der Datei ist der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.
[[Datei: ]]
'
Exportieren
Startet den Export im CRL-Format (Certificate Revokation List)
[[Datei: ]]
Zertifikate / CAs widerrufen
Bereich CA / Zertifikate
Widerruft ein Zertifikat oder eine CA. Die Sicherheitsabfrage muss mit Ja bestätigt werden. Sollen mehrere Zertifikate widerrufen werden, kann das Einblenden der Sicherheitsabfrage vorübergehend deaktiviert werden.
Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen.
Widerrufene Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert.
Widerrufene Zertifikate werden in der Zertifikatsverwaltung unter der Registerkarte Widerrufen geführt und können dort wiederhergestellt werden
Widerrufene Zertifikate werden in der Zertifikatssperrliste auf der Registerkarte CRLs (Certificate Revocation List) aufgenommen.
Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht.
Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden CRL importieren, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.
Zertifikate / CAs widerrufen
Sicherheitsabfrage
Widerrufen
Zeigt alle widerrufenen CAs und Certifikate mit zugehörigen CAs an
Widerrufene Zertifikate
Entsperrt eine CA oder ein Zertifikat und stellt es wieder her.
Das sollte nur bei lokalen CAs oder Zertifikaten, deren CRL noch nicht exportiert wurde, durchgeführt werden!
Löscht das Zertifikat
Das sollte nur bei lokalen CAs oder Zertifikaten, die nicht in Produktivumgebungen genutzt wurden, durchgeführt werden!
CRLs
Zeigt alle CAs und Zertifikate mit ihrem Status und dem Typ der CRL an
CRLs
Exportiert die CRL einer CA bzw eines Zertifikates