(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Implementierung von Drittanbieter Zertifikaten (x509) | }} {{var | head | Drittanbieter…“) |
KKeine Bearbeitungszusammenfassung |
||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| Implementierung von Drittanbieter Zertifikaten (x509) | |||
| Implementation of third-party certificates (x509) }} | |||
{{var | head | {{var | head | ||
| Drittanbieter Zertifikate aus Windows exportieren oder beantragen und importieren | |||
| Export or request and import third-party certificates from Windows }} | |||
{{var | Beschreibung | {{var | Beschreibung | ||
| Beschreibung | |||
| Description }} | |||
{{var | Beschreibung--desc | {{var | Beschreibung--desc | ||
| Im folgenden wird beschrieben, wie ein Zertifikat von Drittanbietern (x509) in eine Securepoint UTM importiert werden kann, um dieses beispielsweise für den Reverse Proxy zu nutzen.<br> | |||
Für einen Import der Zertifikate müssen diese entweder im '''PEM-Format''' oder im '''PKCS12-Format''' und '''Base64-kodiert''' vorliegen. | Für einen Import der Zertifikate müssen diese entweder im '''PEM-Format''' oder im '''PKCS12-Format''' und '''Base64-kodiert''' vorliegen. | ||
| The following describes how a third-party certificate (x509) can be imported into a Securepoint UTM to use it for the reverse proxy, for example.<br> | |||
To import the certificates, they must be available either in '''PEM format''' or in '''PKCS12 format''' and '''Base64 encoded'''. }} | |||
{{var | Zertifikat exportieren | {{var | Zertifikat exportieren | ||
| Zertifikat exportieren | |||
| Export certificate }} | |||
{{var | 1=MMC-Konsole--desc | {{var | 1=MMC-Konsole--desc | ||
| 2=<li> Auf dem Computer, auf dem das Zertifikat installiert wurde, muss die Microsoft Management Konsole (MMC) gestartet werden.</li> | |||
<li> In der Konsole das Zertifikate-Snap-In hinzufügen. <br>Anschließend in der Eingabeaufforderung das '''Eigene Benutzerkonto''' anklicken, um das zu verwaltende Konto anzugeben.</li> | <li> In der Konsole das Zertifikate-Snap-In hinzufügen. <br>Anschließend in der Eingabeaufforderung das '''Eigene Benutzerkonto''' anklicken, um das zu verwaltende Konto anzugeben.</li> | ||
<li> Mit einem Doppelklick in der MMC-Konsole auf '''Zertifikate – Aktueller Benutzer''', anschließend auf '''Eigene Zertifikate''' und zuletzt auf '''Zertifikate''', dann kann auf die Zertifikate zugegriffen werden.</li> | <li> Mit einem Doppelklick in der MMC-Konsole auf '''Zertifikate – Aktueller Benutzer''', anschließend auf '''Eigene Zertifikate''' und zuletzt auf '''Zertifikate''', dann kann auf die Zertifikate zugegriffen werden.</li> | ||
| 3=<li>On the computer where the certificate was installed, the Microsoft Management Console (MMC) must be started.</li> | |||
<li>In the console, add the certificate snap-in. <br>Followed by clicking the '''My User Account''' in the prompt to specify the account to manage.</li>. | |||
<li> With a double click in the MMC console on '''Certificates - Current user''', then on '''Own certificates''' and finally on '''Certificates''', then the certificates can be accessed.</li>. }} | |||
{{var | MMC-Konsole--Bild | {{var | MMC-Konsole--Bild | ||
| Eigenes_Zertifikat.png | |||
| Eigenes_Zertifikat.png }} | |||
{{var | MMC-Konsole--cap | {{var | MMC-Konsole--cap | ||
| Das eigene Zertifikat in der MMC-Konsole | |||
| The own certificate in the MMC console }} | |||
{{var | MMC-Konsole--Hinweis | {{var | MMC-Konsole--Hinweis | ||
| Der ''Private Key'' muss vorhanden sein. | |||
| The ''Private Key'' must be present. }} | |||
{{var | 1=Private Key exportieren--desc | {{var | 1=Private Key exportieren--desc | ||
| 2=<li> Im rechten Fensterbereich kann mit der rechten Maustaste auf das Zertifikat, welches exportiert werden soll, im aufklappendem Menü unter '''Alle Aufgaben''' und dann '''Exportieren''' der Zertifikatexport-Assistent gestartet werden.</li> | |||
<li> Ist der Zertifikatexport-Assistent gestartet, so muss zuerst auf '''Weiter''' geklickt werden.</li> | <li> Ist der Zertifikatexport-Assistent gestartet, so muss zuerst auf '''Weiter''' geklickt werden.</li> | ||
<li> Auf der nachfolgenden Seite "Privaten Schlüssel exportieren" kann mit "Ja, privaten Schlüssel exportieren" fortgesetzt werden.</li> | <li> Auf der nachfolgenden Seite "Privaten Schlüssel exportieren" kann mit "Ja, privaten Schlüssel exportieren" fortgesetzt werden.</li> | ||
| 3=<li> In the right pane, right-click on the certificate to be exported in the pop-up menu under '''All Tasks''' and then '''Export''' to start the Certificate Export Wizard.</li>. | |||
<li> Once the certificate export wizard has been started, you must first click on '''Next'''.</li> | |||
<li>On the following page "Export private key" can be continued with "Yes, export private key"</li>. }} | |||
{{var | Private Key exportieren--Bild | {{var | Private Key exportieren--Bild | ||
| Zertifikatexport-Assistent.png | |||
| Zertifikatexport-Assistent.png }} | |||
{{var | Private Key exportieren--cap | {{var | Private Key exportieren--cap | ||
| Private Key exportieren | |||
| Export Private Key }} | |||
{{var | Private Key exportieren--Hinweis | {{var | Private Key exportieren--Hinweis | ||
| Der Private Key ist erforderlich, damit die verschlüsselten Nachrichten auf dem Computer, auf dem der Schlüssel importiert wird, gelesen werden können. | |||
| The Private Key is required so that the encrypted messages can be read on the computer where the key is imported. }} | |||
{{var | 1=Exportdatei--desc | {{var | 1=Exportdatei--desc | ||
| 2=<li> Auf der Seite '''Exportdateiformat''' die Standardeinstellungen akzeptieren und anschließend auf '''Weiter''' klicken.</li> | |||
<li> Auf der folgenden Seite '''Kennwort''' muss das Kennwort für den Private Key eingegeben werden.</li> | <li> Auf der folgenden Seite '''Kennwort''' muss das Kennwort für den Private Key eingegeben werden.</li> | ||
<li> Auf der Seite '''Exportdatei''' den Pfad und den Namen der exportierten Zertifikatsdatei eintragen und dann auf '''Weiter''' klicken.</li> | <li> Auf der Seite '''Exportdatei''' den Pfad und den Namen der exportierten Zertifikatsdatei eintragen und dann auf '''Weiter''' klicken.</li> | ||
<li> Der Dateiname hat die Erweiterung ".pfx", diese muss anschließend konvertiert werden, damit das Zertifikat auf der Firewall importiert werden kann.</li> | <li> Der Dateiname hat die Erweiterung ".pfx", diese muss anschließend konvertiert werden, damit das Zertifikat auf der Firewall importiert werden kann.</li> | ||
<li> Zuletzt auf '''Fertig stellen''' klicken, um das Zertifikat zu exportieren.</li> | <li> Zuletzt auf '''Fertig stellen''' klicken, um das Zertifikat zu exportieren.</li> | ||
| 3=<li> On the page '''Export File Format''' accept the default settings and then click on '''Next'''.</li> | |||
<li> On the following page '''Password''' the password for the private key must be entered.</li> | |||
<li> On the '''Export File''' page, enter the path and name of the exported certificate file and then click '''Next'''.</li> | |||
<li> The file name has the extension '''pfx''', this must then be converted so that the certificate can be imported on the firewall.</li> | |||
<li> Lastly, click on '''Finish''' to export the certificate.</li> }} | |||
{{var | Exportdatei--Bild | {{var | Exportdatei--Bild | ||
| Zertifikatexport-Assistent_3.png | |||
| Zertifikatexport-Assistent_3.png }} | |||
{{var | Exportdatei--cap | {{var | Exportdatei--cap | ||
| Pfad für die Exportdatei | |||
| Path for the export file }} | |||
{{var | Exportdatei--Hinweis | {{var | Exportdatei--Hinweis | ||
| Die exportierte Zertifikatsdatei wird mit dem angegebenen Namen und der Erweiterung {{whitebox|.pfx}} gespeichert. | |||
| The exported certificate file is saved with the specified name and extension {{whitebox|.pfx}}. }} | |||
{{var | Zertifikat konvertieren | {{var | Zertifikat konvertieren | ||
| Zertifikat konvertieren | |||
| Convert certificate }} | |||
{{var | Zertifikat konvertieren--desc | {{var | Zertifikat konvertieren--desc | ||
| Sollte ein Drittanbieter Zertifikat '''nicht im ''PEM-'' oder ''PKCS12-Format'' vorliegen, muss es konvertiert werden. | |||
| If a third-party certificate '''is not in the ''PEM'' or ''PKCS12 format'', it must be converted. }} | |||
{{var | Reihenfolge der Zertifikatskette | {{var | Reihenfolge der Zertifikatskette | ||
| Reihenfolge der Zertifikatskette | |||
| Sequence of the certificate chain }} | |||
{{var | Reihenfolge der Zertifikatskette--desc | {{var | Reihenfolge der Zertifikatskette--desc | ||
| Folgende Reihenfolge sollte beim Import berücksichtigt werden: | |||
# CA | # CA | ||
# Intermediate Zertifikat 1 (falls vorhanden) | # Intermediate Zertifikat 1 (falls vorhanden) | ||
# Intermediate Zertifikat 2 (falls vorhanden) | # Intermediate Zertifikat 2 (falls vorhanden) | ||
# Webserver Zertifikate | # Webserver Zertifikate | ||
| The following order should be considered during import: | |||
# CA | |||
# Intermediate certificate 1 (if available) | |||
# Intermediate certificate 2 (if available) | |||
# Web server certificates }} | |||
{{var | Issuer | {{var | Issuer | ||
| Issuer | |||
| Issuer }} | |||
{{var | Issuer--desc | {{var | Issuer--desc | ||
| Sollte es zu der Meldung '''"no issuer found"''' kommen, fehlt zunächst das vorherige Zertifikat aus der Zertifikatskette.<br> | |||
Der Issuer eines Zertifikats kann mit dem Befehl herausgefunden werden.: | Der Issuer eines Zertifikats kann mit dem Befehl herausgefunden werden.: | ||
| Zeile 90: | Zeile 103: | ||
Unter dem Punkt '''"Issuer:"''' kann nun der beim '''Aussteller''' zum '''Download''' befindliche Issuer einsehen werden. | Unter dem Punkt '''"Issuer:"''' kann nun der beim '''Aussteller''' zum '''Download''' befindliche Issuer einsehen werden. | ||
| If the message '''"no issuer found"''' occurs, the previous certificate is initially missing from the certificate chain.<br> | |||
The issuer of a certificate can be found out with the command: | |||
{{code|openssl x509 -in file.pem -text}} | |||
Under the item '''"Issuer:"''' you can now view the issuer located at the '''issuer''' for '''download''''. }} | |||
{{var | Layoutanpassung | {{var | Layoutanpassung | ||
| Allgemeine Layoutanpassung | |||
| General layout adjustment }} | |||
{{var | neu--keine Konvertierung | {{var | neu--keine Konvertierung | ||
| Eine Konvertierung ist in den meisten Fällen nicht mehr erforderlich, das das pkcs12-Format direkt importiert werden kann | |||
| Conversion is no longer necessary in most cases, as the pkcs12 format can be imported directly. }} | |||
{{var | neu--kein anpassen | {{var | neu--kein anpassen | ||
| Eine Anpassung des Zertifikates (entfernen überflüssiger Textteile) ist nicht mehr erforderlich | |||
| Adaptation of the certificate (removal of superfluous text parts) is no longer necessary }} | |||
{{var | Besondere Hinweise | {{var | Besondere Hinweise | ||
| Besondere Hinweise | |||
| Special notes }} | |||
{{var | Import | {{var | Import | ||
| Import | |||
| Import }} | |||
{{var | Import--desc | {{var | Import--desc | ||
| Zertifikate und CAs lassen sich auf der UTM im Menü {{Menu|Authentifizierung|Zertifikate}} im Reiter {{Reiter|CA}} mit der Schaltfläche {{Button|CA importieren|u}} bzw. im Reiter {{Reiter|Zertifikate}} mit der Schaltfläche {{Button|Zertifikat importieren|u}} importieren. | |||
| Certificates and CAs can be imported on the UTM in the {{Menu|Authentication|Certificates}} menu in the {{Reiter|CA}} tab with the {{Button|Import CA|u}} button or in the {{Reiter|Certificates}} tab with the {{Button| Import Certificate|u}} button. }} | |||
{{var | CSR erstellen | {{var | CSR erstellen | ||
| CSR für Drittanbieter Zertifikat erstellen | |||
| Create CSR for third-party certificate }} | |||
{{var | CSR erstellen--desc | {{var | CSR erstellen--desc | ||
| Um bei einer öffentlichen Zertifizierungsstelle (CA) ein Zertifikat zu beantragen wird ein {{hover|CSR|Certificate Signing Request}} benötigt.<br>Dieser lässt sich mit OpenSSL erstellen.<br> | |||
# Zunächst wird ein privates Zertifikat benötigt: {{code|openssl genrsa -out ''ttt-point''.key 2048}}<br>{{Hinweis|! }} Diese Datei enthält auch das private Zertifikat, das niemals Anderen mitgeteilt werden darf! | # Zunächst wird ein privates Zertifikat benötigt: {{code|openssl genrsa -out ''ttt-point''.key 2048}}<br>{{Hinweis|! }} Diese Datei enthält auch das private Zertifikat, das niemals Anderen mitgeteilt werden darf! | ||
# Aus diesem Zertifikat lässt sich der CSR erstellen: {{code|openssl req -new -key ''ttt-point''.key -out ''ttt-point''.csr}} | # Aus diesem Zertifikat lässt sich der CSR erstellen: {{code|openssl req -new -key ''ttt-point''.key -out ''ttt-point''.csr}} | ||
# Anschließend werden diverse Angaben erfragt, die im Zertifikat mit angegeben werden. | # Anschließend werden diverse Angaben erfragt, die im Zertifikat mit angegeben werden. | ||
# Der fertige CSR kann dann bei der CA eingereicht werden. | # Der fertige CSR kann dann bei der CA eingereicht werden. | ||
| To request a certificate from a public certification authority (CA) a {{hover|CSR|Certificate Signing Request}} is needed.<br>This can be created with OpenSSL.<br> | |||
# First, a private certificate is needed: {{code|openssl genrsa -out ''ttt-point''.key 2048}}<br>{{Hinweis|! }} This file also contains the private certificate, which must never be shared with others! | |||
# The CSR can be created from this certificate: {{code|openssl req -new -key ''ttt-point''.key -out ''ttt-point''.csr}} | |||
# Then various details are requested, which will be stated in the certificate. | |||
# The completed CSR can then be submitted to the CA. }} | |||
{{var | CSR erstellen--Bild | {{var | CSR erstellen--Bild | ||
| OpenSSL-CSR.png | |||
| OpenSSL-CSR.png }} | |||
{{var | CSR erstellen--cap | {{var | CSR erstellen--cap | ||
| CSR erstellen | |||
| Create CSR }} | |||
{{var | CSR erstellen--einzeilig--desc | {{var | CSR erstellen--einzeilig--desc | ||
| Es ist mithilfe des Parameters {{code|-subj}} auch möglich, den gesamten Vorgang mit einem Befehl abzuhandeln:{{code|<nowiki>openssl req -new \</nowiki><br><nowiki> | |||
-newkey rsa:2048 -nodes -keyout ttt-point.key \</nowiki><br><nowiki> | -newkey rsa:2048 -nodes -keyout ttt-point.key \</nowiki><br><nowiki> | ||
-out ttt-point.csr \</nowiki><br><nowiki> | -out ttt-point.csr \</nowiki><br><nowiki> | ||
-subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"</nowiki> }} | -subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"</nowiki> }} | ||
| It is also possible to handle the entire operation with one command using the {{code|-subj}} parameter:{{code|<nowiki>openssl req -new \</nowiki><br><nowiki> | |||
-newkey rsa:2048 -nodes -keyout ttt-point.key \</nowiki><br><nowiki> | |||
-out ttt-point.csr \</nowiki><br><nowiki> | |||
-subj "/C=DE/ST=Niedersachsen/L=/O=TTT-Point AG/OU=Support/CN=*.ttt-point.de"</nowiki> }} }} | |||
{{var | CSR erstellen--einzeilig--Bild | {{var | CSR erstellen--einzeilig--Bild | ||
| OpenSSL-CSR einzeilig.png | |||
| OpenSSL-CSR einzeilig.png }} | |||
{{var | CSR erstellen--einzeilig--cap | {{var | CSR erstellen--einzeilig--cap | ||
| CSR mit einer einzigen Befehlszeile erstellen | |||
| Create CSR with one single commandline }} | |||
{{var | | {{var | neu--CSR-Hinweis | ||
| Hinweis zur [[#CSR_f.C3.BCr_Drittanbieter_Zertifikat_erstellen | Erstellung eines Certificate Signing Request]] | |||
| Note on [[#CSR_f.C3.BCr_Drittanbieter_Zertifikat_erstellen | ]Creation of a Certificate Signing Request] }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
---- | ---- | ||
{{var | | {{var | | ||
| | |||
| }} | |||
</div> | </div> | ||
UTM/AUTH/Zertifikate/Drittanbieter.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki