Beveiliging

Certificaten: TLS-certificaten maken en beheren

Screenshot van een kop

Beheer TLS-certificaten, maak zelf-ondertekende certificaten en certificaataanvragen en importeer certificaten die door een certificeringsautoriteit zijn ondertekend.

Installatie van certificaat

Het BeyondTrust Appliance B Series wordt geleverd met een zelf-ondertekend certificaat vooraf geïnstalleerd. Om uw B Series Appliance effectief te gebruiken, moet u echter ten minste een zelf-ondertekend certificaat aanmaken en bij voorkeur een door een certificeringsautoriteit ondertekend certificaat aanvragen en uploaden. BeyondTrust bevat ook een functie om zijn eigen TLS-certificaten aan te vragen, te verkrijgen en automatisch te verlengen via de open certificaatautoriteit Let's Encrypt.

Let's Encrypt

Let's Encrypt geeft ondertekende certificaten af die 90 dagen geldig zijn en zichzelf automatisch oneindig kunnen verlengen. U moet aan de volgende vereisten voldoen om een Let's Encrypt-certificaat aan te vragen of om deze in de toekomst te verlengen:

  • De DNS voor de hostnaam die u aanvraagt, moet uitkomen op het B Series Appliance.
  • Het B Series Appliance moet toegang tot Let's Encrypt hebben via TCP-poort 443.
  • Let's Encrypt moet toegang tot het B Series Appliance hebben via TCP-poort 80.

Ga voor meer informatie naar letsencrypt.org.

Beveiliging :: Let's Encrypt-certificaten

Ga in het gedeelte Beveiliging :: Let's Encrypt™-certificaten als volgt te werk om een Let's Encrypt-certificaat te implementeren:

  • Voer in het veld Hostnaam de volledig gekwalificeerde domeinnaam (FQDN) van het B Series Appliance in.
  • Gebruik de vervolgkeuzelijst om het type certificaatsleutel te kiezen.
  • Klik op Aanvragen.

Zolang aan bovenstaande vereisten wordt voldaan, resulteert dit in een certificaat dat automatisch elke 90 dagen zal worden verlengd nadat de geldigheidscontrole bij Let's Encrypt is uitgevoerd.

Het B Series Appliance start het proces voor het verlengen van het certificaat 30 dagen voordat het certificaat zal vervallen en vereist hetzelfde proces als voor de oorspronkelijke aanvraag. Als het proces 25 dagen voor het vervallen mislukt, stuurt het B Series Appliance dagelijks meldingen via e-mail naar de beheerder (als e-mailmeldingen zijn ingeschakeld). Het apparaat zal een foutmelding voor het certificaat weergeven.

 

Omdat DNS slechts op één B Series Appliance apparaat tegelijk van toepassing kan zijn en omdat een B Series Appliance apparaat de DNS-hostnaam toegewezen moet krijgen waarvoor een certificaat- of verlengingsaanvraag wordt uitgevoerd, adviseren we u om geen Let's Encrypt-certificaten te gebruiken voor B Series Appliance twee apparaten waarvoor automatische omschakeling is geconfigureerd.

Als het aangevraagde certificaat een vervanging is, moet u de bestaande sleutel van het te vervangen certificaat selecteren.

Als het aangevraagde certificaat een vervangende sleutel moet krijgen, dan moet u de Nieuwe sleutel voor het certificaat selecteren.

Voor een vervangende sleutel moet alle informatie in de sectie Beveiliging :: Certificaten :: Nieuw certificaat gelijk zijn aan het certificaat waar u een vervangende sleutel voor aanvraagt. U moet een nieuwe vriendelijke naam voor het certificaat gebruiken zodat u het certificaat eenvoudig in de sectie Beveiliging :: Certificaten kunt terugvinden.

U kunt de vereiste informatie voor de vervangende sleutel verkrijgen door op het eerdere certificaat in de lijst in de sectie Beveiliging :: Certificaten te klikken.

Voor een nieuwe sleutel of een vervangende sleutel zijn de stappen voor het importeren gelijk.

Overige certificaten die door een CA zijn uitgegeven

Beveiliging :: Overige certificaten

Ga als volgt te werk om een certificaataanvraag te maken:

  • Ga naar Beveiliging :: Overige certificaten en klik op Maken.

Beveiliging :: Certificaten :: Nieuw certificaat

  • Voer bij Beschrijvende naam van certificaat een naam in die u gebruikt om dit certificaat te herkennen.
  • Kies in het vervolgkeuzemenu Sleutel de optie Bestaande sleutel of uw *.beyondtrustcloud.com-certificaat.
  • Voer de overige informatie over uw organisatie in.
  • Voer in het veld Naam (algemene naam) een beschrijvende titel in voor uw BeyondTrust-site.
  • Voer onder Alternatieve namen voor onderwerp de hostnaam van uw BeyondTrust-site in en klik op Toevoegen. Voeg een SAN toe voor alle DNS-namen of IP-adressen die door dit SSL-certificaat moeten worden beveiligd.

DNS-adressen kunnen worden ingevoerd als volledig gekwalificeerde domeinnamen, zoals toegang.voorbeeld.nl, of als domeinnaam met jokertekens, zoals *.voorbeeld.nl. Een domeinnaam met jokertekens beslaat meerdere subdomeinen, zoals toegang.voorbeeld.nl, extern.voorbeeld.nl, enzovoorts.

Klik op Certificaataanvraag aanmaken.

Beveiliging :: Certificaat importeren

Om een door een CA ondertekend certificaat te gebruiken, moet u contact opnemen met een certificeringsautoriteit naar keuze en een nieuw certificaat kopen met behulp van het CSR dat u in BeyondTrust hebt gemaakt. De CA stuurt na aankoop een of meer nieuwe certificaatbestanden toe, die u op het B Series Appliance moet installeren.

Klik op Importeren om uw nieuwe certificaatbestanden te uploaden. Blader naar het eerste bestand en begin met uploaden. Herhaal dit voor alle certificaten die u van uw CA hebt ontvangen. Vaak stuurt een CA niet het basiscertificaat, dat wel op uw B Series Appliance moet worden geïnstalleerd. Als het basiscertificaat ontbreekt verschijnt de volgende waarschuwing onder uw nieuwe certificaat: 'Er ontbreken een of meer certificeringsautoriteiten in de certificaatketen en deze lijkt niet te eindigen in een zelf-ondertekend certificaat'.

Controleer of de informatie die u van uw certificaatautoriteit hebt ontvangen een koppeling bevat om het basiscertificaat voor uw B Series Appliance te downloaden. Als er geen is, moet u contact opnemen met de CA en er een aanvragen. Als dit niet praktisch is, ga dan naar hun website en zoek naar hun archief met basiscertificaten. Hier zijn alle basiscertificaten van de CA opgeslagen; alle belangrijke CA's publiceren hun basisarchief online.

Meestal kunt u de juiste hoofdmap voor uw certificaat het gemakkelijkst vinden door het certificaatbestand op uw lokale systeem te openen en Certificaatpad of Certificaathiërarchie te bekijken. De basis van deze hiërarchie of dit pad is meestal boven aan de boom weergegeven. Zoek naar dit basiscertificaat. Daarna kunt u het downloaden uit het basisarchief van de CA en in uw B Series Appliance importeren volgens de methode die hierboven is beschreven.

Certificaten

Beveiliging :: Overige certificaten

Geef een tabel weer van de SSL-certificaten die beschikbaar zijn op uw B Series Appliance.

Voor verbindingen die geen Server Name Indication (SNI) of een onjuiste SNI opgeven, kunt u een standaard SSL-certificaat uit de lijst selecteren om deze verbindingen te maken door op de knop in de kolom Standaard te klikken. Het standaard SSL-certificaat kan geen zelf-ondertekend certificaat zijn –en evenmin het standaard B Series Appliance-certificaat dat voor de oorspronkelijke installatie is verstrekt.

Raadpleeg Server Name Indication voor meer informatie over SNI.

 

Beveiliging :: Certificaten :: Bewerken

Klik op de naam van een certificaat om details weer te geven en de certificaatketen te beheren.

 

Beveiliging :: Overige certificaten

U kunt een of meer certificaten exporteren door de vakjes voor de betreffende certificaten aan te vinken. Selecteer vervolgens Exporteren in het vervolgkeuzemenu bovenaan de tabel en klik op Toepassen.

 

Beveiliging :: Certificaten :: Exporteren

Als u maar één certificaat wilt downloaden, kunt u onmiddellijk kiezen om het certificaat en/of de certificaatketen op te nemen, als deze beschikbaar is. Klik op Exporteren om met downloaden te beginnen.

 

Beveiliging :: Certificaten :: Exporteren

Als u meerdere certificaten wilt downloaden, kunt u of de individuele certificaten downloaden of alle certificaten samen in een PKCS#7=bestand.

Wanneer u ervoor kiest meerdere certificaten als één bestand te downloaden, klikt u op Doorgaan om met downloaden te beginnen. Met deze optie worden alleen de certificaatbestanden zelf geëxporteerd –niet de certificaatketens.

 

Beveiliging :: Certificaten :: Exporteren

Om ook de certificaatketens te exporteren, selecteert u individuele export en klikt u op Doorgaan om alle geselecteerde certificaten weer te geven. Voor elk certificaat op uw lijst, kunt u apart selecteren of u het certificaat en/of de certificaatketen, als deze beschikbaar is, wilt exporteren. Klik op Exporteren om met downloaden te beginnen.

 

Beveiliging :: Overige certificaten

U kunt een of meer certificaten verwijderen door voor elk gewenst certificaat het vakje aan te vinken en in het vervolgkeuzemenu bovenaan de tabel Verwijderen te selecteren. Klik vervolgens op Toepassen.

Onder normale omstandigheden worden certificaten nooit verwijderd, tenzij ze worden vervangen door een ander functionerend certificaat.

 

Controleer of u de certificaten die u hebt aangevinkt, inderdaad wilt verwijderen en klik dan op Verwijderen.

Certificaataanvragen

Certificaataanvragen

Geef een tabel weer van de aanvragen voor certificaten van derden die in behandeling zijn. Klik op de naam van een certificaataanvraag om details weer te geven.

 

Beveiliging :: Certificaten :: Aanvraag bekijken

In de detailsweergave ziet u ook de aanvraaggegevens die u aan uw certificeringsautoriteit stuurt om een ondertekend certificaat aan te vragen.

Als u een certificaat vernieuwt, gebruikt u dezelfde aanvraaggegevens als voor het oorspronkelijke certificaat.

 

Beveiliging :: Overige certificaten

Om een of meer certificaataanvragen te verwijderen, vinkt u het vakje voor het gewenste certificaat aan en selecteert u Verwijderen in het vervolgkeuzemenu bovenaan de tabel. Daarna klikt u op Toepassen.

 

Beveiliging :: Aanvragen :: Verwijderen

Controleer of u de certificaataanvragen die u hebt aangevinkt, inderdaad wilt verwijderen en klik dan op Verwijderen.