Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Zeile 50: Zeile 50:
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''.<br/>
*Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche ''Werte aus CA laden''.<br/>Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:<br/>
Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.  
**Tragen Sie mit den Felder ''Gültig seit'' und ''Gültig bis'' die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.  
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.
**Wählen sie im Feld ''Land'' die Landeskennung aus dem Dropdownfeld.

Version vom 15. April 2014, 12:15 Uhr

Vorlage:V11

Allgemeines

Von der Securepoint Firewall werden digitale Zertifikate für die Authentifikation bei VPN-Verbindungen benutzt. Die Zertifikate entsprechen dem x.509 Standard. Zertifikate sollen die Identität des Inhabers bescheinigen. Sie werden von der Securepoint Appliance ausgestellt und von der Appliance eigenen CA (Certification Authority; auch Stammzertifikat genannt) signiert. Diese Signierung bestätigt die Echtheit des Zertifikats. So kann der Benutzer sicher sein, dass das Zertifikat wirklich von der Appliance ausgestellt wurde. Die CA selbst ist ebenfalls ein Zertifikat, welches zuerst auf der Apliance erstellt werden muss, damit man Zertifikate erstellen kann, denn Zertifikate müssen bei der Erstellung mit der CA signiert werden.

Um das Zertifikat eindeutig zuordnen zu können, wird aus den einzelnen Angaben, die bei der Erstellung des Zertifikats gesetzt werden müssen, ein Distinguished Name (DN) generiert. Dazu gehören:

  • Name des Zertifikats (CN) Common Name
  • Land (CO) Country
  • Bundesland/Region (ST) State
  • Ort (LO) Location
  • Firma (OR) Organisation
  • Abteilung (OU) Organisation Unit
  • E-Mail (email-address)

Es kann noch ein Alias angegeben werden, um die Eindeutigkeit zu verstärken. Dieser Alias ist entweder eine E-Mail-Adresse, ein DNS Name oder eine IP-Adresse. Von mancher VPN Software wird dieser Alias für eine einwandfreie Funktionalität verlangt (z.B. Windows 7 IPSec Client).

Außerdem muss noch ein Gültigkeitszeitraum angegeben werden, dessen Anfangs- und Ablaufzeitpunkt sich aus Uhrzeit und Datum zusammensetzt. Die Zeitspanne der Gültigkeit ist nicht vorgeschrieben und kann den eigenen Bedürfnissen angepasst werden. Nach Ablauf dieser Zeitspanne, kann das Zertifikat nicht mehr verwendet werden.

Es kann noch ein Flag gesetzt werden, welches das Zertifikat als Serverzertifikat kennzeichnet. Dieses wird von OpenVPN für den Server verlangt. OpenVPN benötigt für eine Seite immer ein Serversystem mit Server Zertifikat auch bei Site-to-Site Verbindungen. Andere VPN Protokolle verlangen diese Kennzeichnung nicht.

Zertifikatserstellung auf der Appliance

Im Folgenden wird gezeigt, wie Sie im Webinterface der Securepoint Appliance Zertifikate erstellen.

CA erstellen
  • Klicken Sie auf der Navigationsleise auf den Punkt Authentifizierung und wählen Sie den Eintrag Zertifikate vom Dropdownmenü.
    Es öffnet sich der Dialog Zertifikate auf der Registerkarte CA.
CA anlegen
  • Klicken Sie auf +CA hinzufügen.
    Es öffnet sich der Dialog CA hinzufügen.
  • Tragen Sie im Feld Common Name einen eindeutigen Namen ein.
  • Wählen Sie aus dem Dropdownfeld Schlüssellänge die Schlüssellänge für das Zertifikat aus..
  • Tragen Sie in den Feldern Gültig seit und Gültig bis, den Zeitraum ein, in der die CA gültig ist. Die Angaben sind in Datum und Uhrzeit zu machen. Beachten Sie, dass mit der Gültigkeit der CA auch die Gültigkeit der mit dieser CA signierten Zertifikate ausläuft. Das Datum ist im folgenden Format anzugeben JJJJ/MM/TT. Wenn Sie mit der Maus in das Eingabefeld klicken, öffnet sich automatisch ein Kalender, auf dem Sie das Datum und die Uhrzeit auswählen können.
  • Wählen Sie die Landeskennung und tragen Sie das Bundesland, den Ort, den Namen der Firma, der Abteilung und eine E-Mail-Adresse ein.
  • Klicken Sie dann auf Speichern.


Server- und Nutzerzertifikat erstellen

Nachdem die CA angelegt ist, können Sie Zertifikate für die Appliance und Zertifikate für Nutzer anlegen.

  • Wechseln Sie auf die Registerkarte Zertifikate und klicken Sie auf den Button + Zertifikat hinzufügen.
    Es öffnet sich der Dialog Zertifikat hinzufügen.
  • Geben Sie im Feld Common Name einen Namen für das Zertifikat an.
  • Wählen Sie aus dem Dropdownfeld die Schlüssellänge für das Zertifikat.
  • Wählen Sie aus dem Dropdownfeld die CA aus, mit der das neue Zertifikat signiert werden soll.
  • Sie haben jetzt die Möglichkeit für die nächsten Eingaben die Werte aus der CA zu übernehmen. Klicken Sie dafür auf die Schaltfläche Werte aus CA laden.
    Nutzen Sie diese Möglichkeit nicht, müssen Sie noch folgende Werte eingeben:
    • Tragen Sie mit den Felder Gültig seit und Gültig bis die Gültigkeit des Zertifikats ein. Diese muss dem Zeitraum der CA entsprechen oder innerhalb des Zeitraums der CA liegen.
    • Wählen sie im Feld Land die Landeskennung aus dem Dropdownfeld.
    • Geben Sie im Feld Staat die Region oder das Bundesland an.
    • Geben Sie im Feld Stadt die Stadt an.
    • Tragen Sie im Feld Organisation Ihre Firma oder Organisation ein.
    • Tragen Sie im Feld Abteilung die Unterstruktur ein.
    • Im Feld E-Mail tragen Sie eine E-Mail-Adresse ein.
  • Für ein Serverzertifikat wählen Sie im Feld Alias den Eintrag DNS aus dem Dropdownfeld und tragen in dem erscheinenden Feld den Hostnamen des Servers ein.
  • Aktivieren Sie die Checkbox Serverzertifikat.
  • Für ein Nutzerzertifikat wählen Sie als Alias Keine aus. die Checkbox Serverzertifikat bleibt deaktiviert.
  • Klicken Sie auf Speichern.
Serverzertifikat anlegen
Roadwarriorzertifikat anlegen

















Zertifikate exportieren

Zertifikate können in zwei Formaten für den externen Gebrauch exportiert werden. Das PEM Format ist ein Base64 kodiertes Format, welches den öffentlichen und privaten Schlüssel beinhaltet. Die beiden Schlüssel sind mit den Bezeichnungen Begin Certificate End Certificate und Begin Private Key End Private Key gekennzeichnet. Die Datei hat die Endung .pem. Die CA muss separat exportiert werden. Das PKCS#12 Format exportiert nicht nur das Zertifikat, sondern auch die zugehörige CA in einer Kennwort gesicherten Datei. Die Datei hat die Endung .p12.

Für SSL VPN mit dem Securepoint Client wird das PEM Format benutzt. Möchten Sie die VPN Clients von Microsoft Windows 7 nutzen, müssen Sie PKCS#12 benutzen. Zum Import der Zertifikate lesen Sie die entsprechende Anleitung in dieser Wiki.

Export im PEM Format
  • Wechseln Sie In der Zertifikatsverwaltung auf die Registerkarte Zertifikate.
  • Wählen Sie das zu exportierende Zertifikat aus.
  • Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol. Export pem icon.png
Es öffnet sich der Speicherdialog des Browsers.
  • Klicken Sie auf Datei Speichern.
Das Zertifikat wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem Zertifikatsnamen.


  • Wechseln Sie auf die Registerkarte CA.
  • Wählen Sie das zugehörige Stammzertifikat.
  • Klicken Sie in der entsprechenden Zeile auf den Button mit dem Disketten-Symbol.
Es öffnet sich der Speicherdialog des Browsers.
  • Klicken Sie auf Datei Speichern.
Auch die CA wird auf Ihrem Rechner gespeichert. Der Dateiname entspricht dem CA-Namen.

Wie beim Zertifikat ist in der Datei der CA auch der private Schlüssel enthalten. Dieser sollte vor der Weitergabe der Daten aus der Datei gelöscht werden.

Export im PKCS#12 Format

Der Export entspricht dem vorherig beschriebenem Vorgang. Hier muss allerdings der Button mit dem Schloss-Symbol Export pkcs12 icon.png benutzt werden. Außerdem muss nur das Zertifikat exportiert werden. Die exportierte Datei beinhaltet schon die CA. Da die Datei verschlüsselt abgespeichert wird, werden Sie zur Eingabe eines Kennwortes aufgefordert.

Zertifikate widerrufen

Sollen Zertifikate nicht mehr genutzt werden, obwohl der Gültigkeitszeitraum noch aktiv ist, werden die Zertifikate nicht gelöscht, sondern widerrufen. Die widerrufenen Zertifikate verbleiben weiterhin im System, sind aber als ungültig erklärt und werden nicht mehr akzeptiert. Sie werden in der Zertifikatsverwaltung unter der Registerkarte Widerrufen geführt. Gleichzeitig wird es in der Zertifikatssperrliste auf der Registerkarte CRL (Certificate Revocation List) aufgenommen. Die Sperrliste wird gleichzeitig mit der CA angelegt. Wird ein Zertifikat widerrufen, wird es in der Liste als ungültig hinterlegt, die der signierenden CA entspricht. Die Sperrliste kann ebenfalls exportiert werden, um auf andere Systeme geladen zu werden, damit diese die widerrufenen Zertifikate ebenfalls nicht akzeptieren.

  • Zum Widerrufen eines Zertifikats, wechseln Sie auf die Registerkarte Zertifikate.
  • Klicken Sie in der Zeile des Zertifikats auf den Button mit dem Abfalleimer-Symbol.
  • Bestätigen Sie die Sicherheitsabfrage (Einmal widerrufene Zertifikate können nicht wiederhergestellt werden.).

Zertifikate löschen

Wie im vorherigen Abschnitt erwähnt, können einzelne Zertifikate nicht gelöscht werden. Sie können aber alle Zertifikate, die mit der gleichen CA signiert wurden, vom System entfernen. Dazu müssen Sie die CA löschen. Durch diese Löschung werden die CA, die damit signierten Zertifikate auch widerrufene Zertifikate und die zugehörige Sperrliste entfernt.

  • Wechseln Sie zum Löschen der CA auf die Registerkarte CA.
  • Klicken Sie in der Zeile der betreffenden CA auf den Button mit dem Abfalleimer-Symbol.
  • Bestätigen Sie die Sicherheitsabfrage. Die CA sowie alle zugehörigen Zertifikate und die Sperrliste werden entfernt.