Sicherheit
Zertifikate: Erstellen und Verwalten von TLS-Zertifikaten
Verwalten von TLS-Zertifikaten, Erstellen von selbstsignierten Zertifikaten und Zertifikatanforderungen und Importieren von Zertifikaten, die von einer Zertifizierungsstelle signiert sind.
Zertifikat-Installation
Das BeyondTrust Appliance B Series wird mit einem bereits installierten selbstsignierten Zertifikat geliefert. Um Ihr B Series Appliance jedoch effektiv nutzen zu können, müssen Sie außerdem zumindest ein selbstsigniertes Zertifikat erstellen; es wird jedoch empfohlen, ein von einer Zertifizierungsstelle signiertes Zertifikat anzufordern und hochzuladen. BeyondTrust bietet auch Funktionen zum Abrufen, Anfordern und automatischen Verlängern eigener TLS-Zertifikate von der offenen Zertifizierungsstelle Let's Encrypt.
Let's Encrypt
Let's Encrypt stellt signierte Zertifikate aus, die für 90 Tage gültig sind, aber die Fähigkeit haben, sich auf unbestimmte Zeit automatisch selbst zu verlängern. Um ein Let‘s Encrypt-Zertifikat anzufordern oder in Zukunft zu verlängern, müssen Sie folgende Anforderungen erfüllen:
- Der DNS für den angeforderten Hostnamen muss zum B Series Appliance aufgelöst werden.
- Das B Series Appliance muss Let‘s Encrypt auf TCP 443 erreichen können.
- Let‘s Encrypt muss das B Series Appliance auf TCP 80 erreichen können.
Weitere Informationen finden Sie in letsencrypt.org.
Um ein Let‘s Encrypt-Zertifikat zu implementieren, geben Sie im Bereich Security :: Let's Encrypt™-Zertifikate Folgendes an:
- Geben Sie im Feld Hostname den voll qualifizierten Domänennamen (FQDN) des B Series Appliances ein.
- Wählen Sie im Dropdown-Menü die Art des Zertifikatschlüssels aus.
- Klicken Sie auf Anfordern.
Solange die obigen Anforderungen erfüllt sind, erhalten Sie ein Zertifikat, das sich alle 90 Tage automatisch verlängert, sobald die Validitätsprüfung bei Let‘s Encrypt abgeschlossen ist.
Das B Series Appliance startet den Zertifikatverlängerungsprozess 30 Tage vor Ablauf des Zertifikats und erfordert den gleichen Vorgang wie beim ursprünglichen Anforderungsvorgang. Wenn der Vorgang 25 Tage vor Ablauf noch immer erfolglos ist, sendet das B Series Appliance tägliche Administrator-E-Mail-Warnungen (falls E-Mail-Benachrichtigungen aktiviert sind). Der Status zeigt das Zertifikat in einem Fehlerzustand.
Da der DNS nur für ein B Series Appliance gleichzeitig verwendet werden kann und da ein B Series Appliance dem DNS-Hostnamen zugewiesen werden muss, für den es eine Zertifikat- oder Verlängerungsanforderung versendet, empfehlen wir, die Verwendung von Let‘s Encrypt-Zertifikaten bei Failover-B Series Appliancee-Paaren zu vermeiden.
Wenn das angeforderte Zertifikat ein Re-Key ist, sollten Sie Neuer Schlüssel für das Zertifikat auswählen.
Bei einem Re-Key sollten alle Informationen des Abschnitts Sicherheit :: Zertifikate :: Neues Zertifikat mit dem Zertifikat übereinstimmen, für das der Re-Key angefordert wird. Es sollte ein neuer, zertifikatfreundlicher Name verwendet werden, damit das Zertifikat leicht im Abschnitt Sicherheit :: Zertifikate identifiziert werden kann.
Die für den Re-Key erforderlichen Informationen können angefordert werden, indem Sie auf das ältere Zertifikat auf der Liste klicken, die im Abschnitt Sicherheit :: Zertifikate angezeigt wird.
Die Schritte zum Import sind bei neuen Schlüsseln und Re-Key-Zertifikaten identisch.
Andere von Zertifizierungsstellen ausgestellte Zertifikate
Um eine Zertifikatanforderung zu erstellen:
- Navigieren Sie zum Bereich Sicherheit :: Andere Zertifikate und klicken Sie auf Erstellen.
- Geben Sie in Zertifikatsanzeigename den Namen ein, den Sie zur Kennzeichnung dieses Zertifikats verwenden werden.
- Wählen Sie im Dropdown Schlüssel den bestehenden Schlüssel Ihres *.beyondtrustcloud.com-Zertifikats.
- Geben Sie die restlichen Informationen über Ihre Organisation ein.
- Geben Sie im Feld Name (allgemeiner Name) eine Beschreibung für Ihre BeyondTrust-Website ein.
- Geben Sie im Abschnitt Betreff-Alternativnamen den Hostnamen Ihrer BeyondTrust-Website ein und klicken Sie auf Hinzufügen. Fügen Sie einen SAN für jede benötigte DNS oder IP-Adresse hinzu, die von diesem SSL-Zertifikat geschützt wird.
DNS-Adressen können eingegeben werden als voll qualifizierte Domänennamen wie access.example.com oder als Platzhalterzeichen-Domänennamen wie *.example.com. Ein Platzhalterzeichen-Domänenname deckt mehrere Unterdomänen wie access.example.com, remote.example.com und so weiter ab.
Klicken Sie auf Zertifikatanfrage erstellen.
Um ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden, kontaktieren Sie eine Zertifizierungsstelle Ihrer Wahl und erwerben Sie mit dem in BeyondTrust erstellten CSR ein neues Zertifikat. Nach dem Kauf sendet Ihnen die Zertifizierungsstelle eine oder mehrere Zertifikatsdateien, die Sie auf dem B Series Appliance installieren müssen.
Um Ihre neuen Zertifikatdateien hochzuladen, klicken Sie auf Importieren. Navigieren Sie zur ersten Datei und laden Sie sie hoch. Wiederholen Sie dies für jedes Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben. Oft sendet eine Zertifizierungsstelle nicht ihr Root-Zertifikat, das auf Ihrem B Series Appliance installiert werden muss. Sollte das Root-Zertifikat fehlen, erscheint eine Warnung unter Ihrem neuen Zertifikat: „In der Zertifizierungskette fehlen offenbar Zertifizierungsstellen und die Kette endet nicht mit einem selbstsignierten Zertifikat.“
Um das Root-Zertifikat für Ihr B Series Appliance-Zertifikat herunterzuladen, überprüfen Sie die von der Zertifizierungsstelle gesandten Informationen auf einen Link zum entsprechenden Zertifikat. Sollte es nicht vorhanden sein, kontaktieren Sie die Zertifizierungsstelle. Sollte dies nicht möglich sein, suchen Sie auf der Website nach dem Root-Zertifikatspeicher. Diese enthält alle Root-Zertifikate der Zertifizierungsstelle und alle großen Zertifizierungsstellen veröffentlichen ihren Root-Speicher online.
Das richtige Root-Zertifikat finden Sie in der Regel, indem Sie die Zertifikatdatei auf Ihrem lokalen System öffnen und den Zertifizierungspfad bzw. die Zertifizierungshierarchie überprüfen. Das übergeordneteste Zertifikat dieser Hierarchie bzw. dieses Pfads wird in der Regel ganz oben im Baum angezeigt. Machen Sie dieses Root-Zertifikat ausfindig. Laden Sie es danach aus dem Root-Speicher der Zertifizierungsstelle herunter und importieren Sie es wie oben beschrieben in Ihrem B Series Appliance.
Zertifikate
Zeigen Sie eine Tabelle der auf Ihrem B Series Appliance verfügbaren SSL-Zertifikate an.
Für Verbindungen, die keine Server Name Indication (SNI) oder eine falsche SNI bereitstellen, wählen Sie ein SSL-Standardzertifikat aus der Liste für diese Verbindungen, indem Sie auf die Schaltfläche unterhalb der Spalte Standard klicken. Das SSL-Standardzertifikat darf kein selbstsigniertes Zertifikat und auch nicht das Standardzertifikat des B Series Appliance sein, das für die Erstinstallation bereitgestellt wurde.
Um mehr über SNI zu erfahren, lesen Sie weiter unter Server Name Indication.
Klicken Sie auf einen Zertifikatnamen, um Einzelheiten dazu anzuzeigen und die Zertifikatkette zu verwalten.
Um eine oder mehrere Zertifikate zu exportieren, markieren Sie das Kästchen für jedes gewünschte Zertifikat, wählen Sie Exportieren im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.
Wenn Sie nur ein Zertifikat exportieren, können Sie sofort auswählen, das Zertifikat oder die Zertifikatkette einzubeziehen, falls verfügbar. Klicken Sie auf Exportieren, um den Download zu starten.
Wenn Sie mehrere Zertifikate exportieren, haben Sie die Möglichkeit, jedes Zertifikat einzeln oder in einer einzigen PKCS#7-Datei zu exportieren.
Wenn Sie auswählen, mehrere Zertifikate als eine Datei zu exportieren, klicken Sie auf Weiter, um den Download zu starten. Mit dieser Option werden nur die eigentlichen Zertifikatdateien ohne Zertifikatketten exportiert.
Um Zertifikatketten in den Export einzubeziehen, wählen Sie den individuellen Export, und klicken Sie auf Weiter, um alle ausgewählten Zertifikate anzuzeigen. Wählen Sie für jede Auflistung aus, das Zertifikat und/oder die Zertifikatkette einzubeziehen, je nach Verfügbarkeit. Klicken Sie auf Exportieren, um den Download zu starten.
Um ein oder mehrere Zertifikate zu löschen, markieren Sie das Kästchen für jedes gewünschte Zertifikat, wählen Sie Löschen im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.
Unter normalen Umständen sollte ein Zertifikat nie gelöscht werden, es sei denn, es wurde bereits durch einen einsatzfähigen Ersatz ausgetauscht.
Um die Richtigkeit zu bestätigen, prüfen Sie die Zertifikate, die gelöscht werden sollen, und klicken Sie auf Löschen.
Zertifikatsanfragen
Zeigen Sie eine Tabelle der ausstehenden Anfragen für von Drittparteien signierte Zertifikate an. Klicken Sie auf den Namen der Zertifikatsanfrage, um die Details anzuzeigen.
Die Detailansicht liefert außerdem die Anfragedaten, die Sie Ihrer bevorzugten Zertifizierungsstelle übermitteln, wenn Sie ein signiertes Zertifikat anfordern.
Wenn Sie ein Zertifikat erneuen, nutzen Sie die gleichen Zertifikatanfragedaten, die für das ursprüngliche Zertifikat verwendet wurden.
Um eine oder mehrere Zertifikatsanfragen zu löschen, markieren Sie das Kästchen für jede gewünschte Anfrage, wählen Sie Löschen im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.
Um die Richtigkeit zu bestätigen, prüfen Sie die Zertifikatsanfragen, die gelöscht werden sollen, und klicken Sie auf Löschen.
