SSL-Zertifikatanforderung für das Secure Remote Access Appliance

Alle BeyondTrust-Softwarekommunikation erfolgt über sichere, verschlüsselte Verbindungen. Diese basieren auf dem branchenerprobten SSL-Standard und der DNS-Adresse des Geräts. Secure Remote Access Appliance werden mit einem Standard-Zertifikat ausgeliefert, das alle Verbindungen auf allen IP-Adressen sichert. Dies erfüllt jedoch nicht die Anforderungen der BeyondTrust-Client-Software, welche strengere Validierungsprüfungen als Standardwebbrowser durchführt. Bevor Ihnen BeyondTrust daher ein voll funktionsfähiges Softwarelizenzpaket zur Verfügung stellen kann, erfordert Ihr Secure Remote Access Appliance zunächst die Installation eines gültigen SSL-Zertifikats, das dem DNS A-Eintrag entspricht, den Sie für Ihr Gerät registriert haben.

Ein gültiges SSL-Zertifikat kann entweder ein von einer Zertifizierungsstelle signiertes (CA-signiertes) SSL-Zertifikat oder ein selbstsigniertes SSL-Zertifikat sein. CA-signierte Zertifikate müssen alle BeyondTrust-Funktionen voll unterstützen (z. B. Click-to-Chat und mobile Clients), erfordern jedoch, dass Sie eine Anfrage zur Zertifikatsignierung (CSR) an die Zertifizierungsstelle senden. Die CSR-Anfrage ist ein Branchenstandard, der von allen Netzwerkgeräten und von Software mit SSL verwendet wird. Wenn statt eines selbstsignierten Zertifikats ein CSR/CA-signiertes Zertifikat verwendet wird, muss das CA-signierte Zertifikat von der Website der Zertifizierungsstelle (oder über die Zertifikat-Kauf-E-Mail) heruntergeladen und über die /appliance-Schnittstelle im Secure Remote Access Appliance importiert werden. Neben der Funktion zur Anforderung eines Zertifikats bei einer Zertifizierungsstelle bietet BeyondTrust Funktionen zum Abruf und automatischen Verlängern eigener TLS-Zertifikate über die offene Zertifizierungsstelle Let‘s Encrypt.

Weitere Informationen dazu, wie BeyondTrust SSL-Zertifikate verwendet sowie detaillierte Konfigurationsschritte zur Anforderung und Installation von Zertifikaten in BeyondTrust finden Sie im SSL-Zertifikatshandbuch.

Der Abschnitt Ein SSL-Zertifikat erstellen beschreibt die nötigen Schritte für die Anfangskonfiguration im Detail. Nachfolgend finden Sie einen Überblick über das Verfahren.

  1. Melden Sie sich in der BeyondTrust /appliance-Schnittstelle an und erstellen Sie eine Zertifikatsignierungsanfrage (CSR) oder ein selbstsigniertes Zertifikat.

    Wenn das Secure Remote Access Appliance eine Kopie des Zertifikats eines anderen Secure Remote Access Appliance oder Server verwendet, ist kein CSR oder selbstsigniertes Zertifikat nötig. Exportieren Sie das Zertifikat stattdessen mit seinem privaten Schlüssel aus seinem aktuellen System und importieren Sie es in das Secure Remote Access Appliance. Weitere Einzelheiten finden Sie im Abschnitt SSL-Zertifikat im Failover und in Atlas-Geräten replizieren im Leitfaden für SSL-Zertifikate.

  2. Weisen Sie das neue Zertifikat der/den IP-Adresse(n) des Secure Remote Access Appliance zu.
  3. Senden Sie dem BeyondTrust Technical Support eine Kopie des SSL-Root-Zertifikates und/oder der Geräte-DNS-Adresse.

    Wird ein selbstsigniertes Zertifikat verwendet, dient das Zertifikat als sein eigenes Root-Zertifikat – aus diesem Grund sollte das selbstsignierte Zertifikat an das BeyondTrust Technical Support gesendet werden. Wird ein CA-signiertes Zertifikat verwendet, kontaktieren Sie CA, um eine Kopie des Root-Zertifikats anzufordern. Wenn Sie bei der Kontaktaufnahme mit der Zertifizierungsstelle Schwierigkeiten haben, finden Sie auf beyondtrustcorp.service-now.com/csm Artikel, die beim Bezug Ihres Root-Zertifikats nützlich sein könnten. In jedem Fall braucht der BeyondTrust Technical Support die DNS-Adresse des Geräts. Wenn Ihre DNS-Adresse öffentlich ist und das SSL-Zertifikat bereits installiert ist, kann der Support anhand der öffentlichen DNS-Adresse eine Kopie des Roots abrufen; in diesem Fall müssen Sie das Root-Zertifikat nicht manuell senden.

Nach dem Abschluss der obigen Schritte enkodiert der BeyondTrust Technical Support den DNS-Hostnamen und das SSL-Root-Zertifikat in einem neuen Software-Lizenzpaket, sendet dies zur Kompilierung an die BeyondTrust-Lizenzserver und schickt Ihnen dann Anweisungen zur Installation des neu kompilierten Pakets.