Sicherheit

Zertifikate: Erstellen und Verwalten von SSL-Zertifikaten

Sicherheit :: Zertifikate

Verwalten von SSL-Zertifikaten, Erstellen von selbstsignierten Zertifikaten und Zertifikatanforderungen und Importieren von Zertifikaten, die von einer Zertifizierungsstelle signiert sind.

Zertifikat-Installation

Das Secure Remote Access Appliance wird mit einem bereits installierten selbstsignierten Zertifikat geliefert. Um Ihr Secure Remote Access Appliance jedoch effektiv nutzen zu können, müssen Sie außerdem zumindest ein selbstsigniertes Zertifikat erstellen; es wird jedoch empfohlen, ein von einer Zertifizierungsstelle signiertes Zertifikat anzufordern und hochzuladen.Neben der Funktion zur Anforderung eines Zertifikats bei einer Zertifizierungsstelle bietet BeyondTrust Funktionen zum Abruf und automatischen Verlängern eigener TLS-Zertifikate über die offene Zertifizierungsstelle Let‘s Encrypt.

Let's Encrypt

Let's Encrypt stellt signierte Zertifikate aus, die für 90 Tage gültig sind, aber die Fähigkeit haben, sich auf unbestimmte Zeit automatisch selbst zu verlängern. Um ein Let‘s Encrypt-Zertifikat anzufordern oder in Zukunft zu verlängern, müssen Sie folgende Anforderungen erfüllen:

  • Der DNS für den angeforderten Hostnamen muss zum Gerät aufgelöst werden.
  • Das Gerät muss Let‘s Encrypt auf TCP 443 erreichen können.
  • Let‘s Encrypt muss das Gerät auf TCP 80 erreichen können.

Weitere Informationen finden Sie in letsencrypt.org.

Sicherheit :: Let's Encrypt-Zertifikate

Um ein Let‘s Encrypt-Zertifikat zu implementieren, geben Sie im Bereich Security :: Let's Encrypt™-Zertifikate Folgendes an:

  • Geben Sie im Feld Hostname den voll qualifizierten Domänennamen (FQDN) des Geräts ein.
  • Wählen Sie im Dropdown-Menü die Art des Zertifikatschlüssels aus.
  • Klicken Sie auf Anfordern.

Solange die obigen Anforderungen erfüllt sind, erhalten Sie ein Zertifikat, das sich alle 90 Tage automatisch verlängert, sobald die Validitätsprüfung bei Let‘s Encrypt abgeschlossen ist.

Das Gerät startet den Zertifikatvelrängerungsprozess 30 Tage vor Ablauf des Zertifikats und erfordert den gleichen Vorgang wie beim ursprünglichen Anforderungsvorgang. Wenn der Vorgang 25 Tage vor Ablauf noch immer erfolglos ist, sendet das Gerät tägliche Administrator-E-Mail-Warnungen (falls E-Mail-Benachrichtigungen aktiviert sind). Der Status zeigt das Zertifikat in einem Fehlerzustand.

 

Da der DNS nur für ein Gerät gleichzeitig verwendet werden kann und da ein Gerät dem DNS-Hostnamen zugewiesen werden muss, für den es eine Zertifikat- oder Verlängerungsanforderung versendet, empfehlen wir, die Verwendung von Let‘s Encrypt-Zertifikaten bei Failover-Gerätepaaren zu vermeiden.

Andere von Zertifizierungsstellen ausgestellte Zertifikate

Sicherheit :: Andere Zertifikate

 

Sicherheit :: Zertifikate :: Neues Zertifikat

Um ein selbstsigniertes Zertifikat oder eine Zertifikatanforderung eines anderen Ausstellers zu erstellen, navigieren Sie zum Bereich Sicherheit :: Andere Zertifikate und klicken Sie auf Erstellen. Geben Sie in Aussagekräftiger Zertifikatname den Namen ein, den Sie zur Kennzeichnung dieses Zertifikats verwenden möchten. Wählen Sie im Dropdown-Menü Schlüssel aus, einen neuen Schlüssel zu erstellen, oder wählen Sie einen vorhandenen Schlüssel aus. Geben Sie die restlichen Informationen über Ihre Organisation ein.

Wenn das angeforderte Zertifikat eine Erneuerung ist, sollten Sie den bestehenden Schlüssel des Zertifikats wählen, das ersetzt wird.

Wenn das angeforderte Zertifikat ein Re-Key ist, sollten Sie Neuer Schlüssel für das Zertifikat auswählen.

Bei einem Re-Key sollten alle Informationen des Abschnitts Sicherheit :: Zertifikate :: Neues Zertifikat mit dem Zertifikat übereinstimmen, für das der Re-Key angefordert wird. Es sollte ein neuer, aussagekräftiger Zertifikatname verwendet werden, damit das Zertifikat leicht im Abschnitt Sicherheit :: Zertifikate identifiziert werden kann.

Die für den Re-Key erforderlichen Informationen können angefordert werden, indem Sie auf das ältere Zertifikat auf der Liste klicken, die im Abschnitt Sicherheit :: Zertifikate angezeigt wird.

Die Schritte zum Import sind bei neuen Schlüsseln und Re-Key-Zertifikaten identisch.

Andere von Zertifizierungsstellen ausgestellte Zertifikate

Um eine Zertifikatanforderung zu erstellen:

Sicherheit :: Andere Zertifikate

  • Navigieren Sie zum Bereich Sicherheit :: Andere Zertifikate und klicken Sie auf Erstellen.

 

Sicherheit :: Zertifikate :: Neues Zertifikat

  • Geben Sie in Zertifikatsanzeigename den Namen ein, den Sie zur Kennzeichnung dieses Zertifikats verwenden werden.
  • Wählen Sie im Dropdown Schlüssel den bestehenden Schlüssel Ihres *.beyondtrustcloud.com-Zertifikats.
  • Geben Sie die restlichen Informationen über Ihre Organisation ein.
  • Geben Sie im Feld Name (allgemeiner Name) eine Beschreibung für Ihre BeyondTrust-Website ein.
  • Geben Sie im Abschnitt Betreff-Alternativnamen den Hostnamen Ihrer BeyondTrust-Website ein und klicken Sie auf Hinzufügen. Fügen Sie einen SAN für jede benötigte DNS oder IP-Adresse hinzu, die von diesem SSL-Zertifikat geschützt wird.

 

DNS-Adressen können eingegeben werden als voll qualifizierte Domänennamen wie zugang.beispiel.com oder als Platzhalterzeichen-Domänennamen wie *.example.com. Ein Platzhalterzeichen-Domänenname deckt mehrere Unterdomämen wie access.example.com und so weiter ab.

Wenn Sie beabsichtigen, ein signiertes Zertifikat von einer Zertifizierungsstelle anzufordern, klicken Sie auf Zertifikatsanfrage erstellen. Andernfalls klicken Sie auf Selbstsigniertes Zertifikat erstellen.

Sicherheit :: Zertifikat importieren

Um ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden, kontaktieren Sie eine Zertifizierungsstelle Ihrer Wahl und erwerben Sie mit dem in BeyondTrust erstellten CSR ein neues Zertifikat. Nach dem Kauf sendet Ihnen die Zertifizierungsstelle eine oder mehrere Zertifikatsdateien, die Sie auf dem Secure Remote Access Appliance installieren müssen.

Um Zertifikate oder private Schlüssel hochzuladen, klicken Sie auf Importieren. Navigieren Sie zur ersten Datei und laden Sie sie hoch. Wiederholen Sie dies für jedes Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben. Oft sendet eine Zertifizierungsstelle nicht ihr Root-Zertifikat, das auf Ihrem Secure Remote Access Appliance installiert werden muss. Sollte das Root-Zertifikat fehlen, erscheint eine Warnung unter Ihrem neuen Zertifikat: „In der Zertifizierungskette fehlen offenbar Zertifizierungsstellen und die Kette endet nicht mit einem selbstsignierten Zertifikat.“

Um das Root-Zertifikat für Ihr Gerätezertifikat herunterzuladen, überprüfen Sie die von der Zertifizierungsstelle gesandten Informationen auf einen Link zum entsprechenden Zertifikat. Sollte es nicht vorhanden sein, kontaktieren Sie die Zertifizierungsstelle. Sollte dies nicht möglich sein, suchen Sie auf der Webseite nach dem Root-Zertifikatspeicher. Diese enthält alle Root-Zertifikate der Zertifizierungsstelle und alle großen Zertifizierungsstellen veröffentlichen ihren Root-Speicher online.

Das richtige Root-Zertifikat finden Sie in der Regel, indem Sie die Zertifikatdatei auf Ihrem lokalen System öffnen und den „Zertifizierungspfad“ bzw. die „Zertifizierungshierarchie“ überprüfen. Das übergeordneteste Zertifikat dieser Hierarchie bzw. dieses Pfads wird in der Regel ganz oben im Baum angezeigt. Machen Sie dieses Root-Zertifikat im Root-Speicher des Online-Root-Speichers Ihrer Zertifizierungsstelle ausfindig. Laden Sie es danach aus dem Root-Speicher der Zertifizierungsstelle herunter und importieren Sie es wie oben beschrieben in Ihrem Secure Remote Access Appliance.

Wenn das Zwischen- und/oder Root-Zertifikat von den aktuell verwendeten Zertifikaten abweicht (oder wenn ein selbstsigniertes Zertifikat verwendet wurde), fordern Sie bitte ein Update von BeyondTrust Technical Support an. BeyondTrust Technical Support wird eine Kopie des neuen Zertifikats und der Zwischen- und Root-Zertifikate benötigen.

Zertifikate

Eine Tabelle mit einer Liste aller Zertifikate, die auf dem Secure Remote Access Appliance in der /appliance-Schnittstelle verfügbar sind, wird angezeigt.

Zeigen Sie eine Tabelle der auf Ihrem Gerät verfügbaren SSL-Zertifikate an.

 

 

Für Verbindungen, die keine Server Name Indication (SNI) oder eine falsche SNI bereitstellen, wählen Sie ein SSL-Standardzertifikat aus der Liste für diese Verbindungen, indem Sie auf die Schaltfläche unterhalb der Spalte Standard klicken. Das SSL-Standardzertifikat darf kein selbstsigniertes Zertifikat und auch nicht das Standardzertifikat des Secure Remote Access Appliance sein, das für die Erstinstallation bereitgestellt wurde.

Um mehr über SNI zu erfahren, lesen Sie weiter unter Server Name Indication.

 

 

Sicherheit :: Andere Zertifikate :: Aktion wählen

Um eine oder mehrere Zertifikate zu exportieren, markieren Sie das Kästchen für jedes gewünschte Zertifikat, wählen Sie Exportieren im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.

 

Sicherheit :: Zertifikate :: Exportieren

Wenn Sie nur ein Zertifikat exportieren, können Sie sofort auswählen, das Zertifikat, den privaten Schlüssel (optional durch eine Passphrase gesichert) und/oder die Zertifikatkette einzubeziehen, je nach Verfügbarkeit des einzelnen Objekts. Klicken Sie auf Exportieren, um den Download zu starten.

 

Sicherheit :: Zertifikate :: Exportieren

Wenn Sie mehrere Zertifikate exportieren, haben Sie die Möglichkeit, jedes Zertifikat einzeln oder die Zertifikate in einer einzigen PKCS#7-Datei zu exportieren.

Wenn Sie auswählen, mehrere Zertifikate als eine Datei zu exportieren, klicken Sie auf Weiter, um den Download zu starten. Mit dieser Option werden nur die eigentlichen Zertifikatdateien ohne private Schlüssel oder Zertifikatketten exportiert.

 

Sicherheit :: Zertifikate :: Exportieren

Um private Schlüssel und/oder Zertifikatketten in den Export einzubeziehen, wählen Sie den individuellen Export, und klicken Sie auf Weiter, um alle ausgewählten Zertifikate anzuzeigen. Wählen Sie für jede Auflistung aus, das Zertifikat, den privaten Schlüssel (optional durch eine Passphrase gesichert) und/oder die Zertifikatkette einzubeziehen, je nach Verfügbarkeit des einzelnen Objekts. Klicken Sie auf Exportieren, um den Download zu starten.

Der private Schlüssel sollte nie oder nur selten von einem Gerät exportiert werden. Wird er gestohlen, könnte sich ein Angreifer leicht Zugriff zur BeyondTrust-Website verschaffen, die den Schlüssel erzeugt hat. Sollte der Schlüssel doch exportiert werden müssen, weisen Sie dem privaten Schlüssel unbedingt ein starkes Kennwort zu.

 

Sicherheit :: Andere Zertifikate :: Aktion wählen

Um ein oder mehrere Zertifikate zu löschen, markieren Sie das Kästchen für jedes gewünschte Zertifikat, wählen Sie Löschen im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.

Unter normalen Umständen sollte ein Zertifikat nie gelöscht werden, es sei denn, es wurde bereits durch einen einsatzfähigen Ersatz ausgetauscht.

 

Sicherheit :: Zertifikate :: Löschen

Um die Richtigkeit zu bestätigen, prüfen Sie die Zertifikate, die gelöscht werden sollen, und klicken Sie auf Löschen.

 

Zertifikatsanfragen

Zertifikatsanfragen

Zeigen Sie eine Tabelle der ausstehenden Anfragen für von Drittparteien signierte Zertifikate an. Klicken Sie auf den Namen der Zertifikatsanfrage, um die Details anzuzeigen.

 

Sicherheit :: Zertifikate :: Anfrage anzeigen

Die Detailansicht liefert außerdem die Anfragedaten, die Sie Ihrer bevorzugten Zertifizierungsstelle übermitteln, wenn Sie ein signiertes Zertifikat anfordern.

Wenn Sie ein Zertifikat erneuen, nutzen Sie die gleichen Zertifikatanfragedaten, die für das ursprüngliche Zertifikat verwendet wurden.

 

Zertifikatsanfragen :: Aktion wählen

Um eine oder mehrere Zertifikatsanfragen zu löschen, markieren Sie das Kästchen für jede gewünschte Anfrage, wählen Sie Löschen im Dropdown-Menü oben in der Tabelle, und klicken Sie auf Anwenden.

 

Sicherheit :: Anfragen :: Löschen

Um die Richtigkeit zu bestätigen, prüfen Sie die Zertifikatsanfragen, die gelöscht werden sollen, und klicken Sie auf Löschen.