SSL-Zertifikatsanforderungen

Alle BeyondTrust-Softwarekommunikation erfolgt über sichere, verschlüsselte Verbindungen. Diese basieren auf dem branchenerprobten SSL-Standard und der DNS-Adresse des Geräts. Secure Remote Access-Geräte werden mit einem Standardzertifikat geliefert, das die anfängliche Verbindung zur Verwaltungsadresse 169.254.1.x sichert. Dies erfüllt jedoch nicht die Anforderungen der BeyondTrust-Client-Software, welche strengere Validierungsprüfungen als Standardwebbrowser durchführt. Bevor Ihnen BeyondTrust daher ein voll funktionsfähiges Softwarelizenzpaket zur Verfügung stellen kann, erfordert Ihr Secure Remote Access-Gerät zunächst die Installation eines gültigen SSL-Zertifikats, das dem DNS A-Eintrag entspricht, den Sie für Ihr Gerät registriert haben.

Ein gültiges SSL-Zertifikat kann entweder ein von einer Zertifizierungsstelle signiertes (CA-signiertes) SSL-Zertifikat oder ein selbstsigniertes SSL-Zertifikat sein. CA-signierte Zertifikate müssen alle BeyondTrust-Funktionen voll unterstützen (z. B. Click-to-Chat und mobile Clients), erfordern jedoch, dass Sie eine Anfrage zur Zertifikatsignierung (CSR) an die Zertifizierungsstelle senden. Die CSR-Anfrage ist ein Branchenstandard, der von allen Netzwerkgeräten und von Software mit SSL verwendet wird. Wenn statt eines selbstsignierten Zertifikats ein CSR/CA-signiertes Zertifikat verwendet wird, muss das CA-signierte Zertifikat von der Website der Zertifizierungsstelle (oder über die Zertifikat-Kauf-E-Mail) heruntergeladen und über die /appliance-Schnittstelle im Secure Remote Access-Gerät importiert werden. Neben der Funktion zur Anforderung eines Zertifikats bei einer Zertifizierungsstelle bietet BeyondTrust Funktionen zum Abruf und automatischen Verlängern eigener TLS-Zertifikate über die offene Zertifizierungsstelle Let‘s Encrypt.

Weitere Informationen zum Erstellen und Verwalten von SSL-Zertifikaten in BeyondTrust finden Sie in den folgenden Artikeln:

Der Abschnitt Ein SSL-Zertifikat erstellen beschreibt die nötigen Schritte für die Anfangskonfiguration im Detail. Nachfolgend finden Sie einen Überblick über das Verfahren.

  1. Melden Sie sich in der BeyondTrust /appliance-Schnittstelle an und erstellen Sie eine Zertifikatsignierungsanfrage (CSR) oder ein selbstsigniertes Zertifikat.

    Wenn das Secure Remote Access-Gerät eine Kopie des Zertifikats eines anderen Secure Remote Access-Geräts oder -Servers verwendet, ist kein CSR oder selbstsigniertes Zertifikat nötig. Exportieren Sie das Zertifikat stattdessen mit seinem privaten Schlüssel aus seinem aktuellen System und importieren Sie es in das Secure Remote Access-Gerät.

  2. Senden Sie dem technischen BeyondTrust-Support eine Kopie des SSL-Root-Zertifikates und/oder der Geräte-DNS-Adresse. Lassen Sie ihm außerdem eine Bildschirmaufnahme der Seite /appliance > Status > Grundlagen zukommen.

    Wird ein selbstsigniertes Zertifikat verwendet, dient das Zertifikat als sein eigenes Root-Zertifikat – aus diesem Grund sollte das selbstsigniertes Zertifikat an den technischen BeyondTrust-Support gesendet werden. Wird ein CA-signiertes Zertifikat verwendet, kontaktieren Sie CA, um eine Kopie des Root-Zertifikats anzufordern. Wenn Sie bei der Kontaktaufnahme mit der Zertifizierungsstelle Schwierigkeiten haben, finden Sie auf beyondtrust.com/docs/index.htm#support Artikel, die beim Bezug Ihres Root-Zertifikats nützlich sein könnten. In jedem Fall braucht der technische BeyondTrust-Support die DNS-Adresse des Geräts. Wenn Ihre DNS-Adresse öffentlich ist und das SSL-Zertifikat bereits installiert ist, kann der Support anhand der öffentlichen DNS-Adresse eine Kopie des Roots abrufen; in diesem Fall müssen Sie das Root-Zertifikat nicht manuell senden. Wenn Sie das SSL-Zertifikat senden, achten Sie darauf, dass es das Format PKCS#7 (.p7b) oder DER (.cer) aufweist. Senden Sie nicht im Format PKCS#12 (.p12 und .pfx).

Nach dem Abschluss der obigen Schritte enkodiert der technische BeyondTrust-Support den DNS-Hostnamen und das SSL-Root-Zertifikat in einem neuen Software-Lizenzpaket, sendet dies zur Kompilierung an die BeyondTrust-Lizenzserver und schickt Ihnen dann Anweisungen zur Installation des neu kompilierten Pakets.