Erstellen oder importieren Sie Zertifikate für öffentliche Schlüssel im X.509-Standardformat. Solche Zertifikate sind digital signierte Bescheinigungen, die üblicherweise von einer Zertifizierungsstelle (CA, Certificate Authority) ausgestellt werden und einen öffentlichen Schlüssel mit einem bestimmten Distinguished Name (DN) in X.500-Schreibweise verknüpfen. Die Verwendung von Let‘s Encrypt™ zur Erstellung von Zertifikaten wird ebenfalls unterstützt.
Sie können zwischen den folgenden Optionen wählen:
Sie können das Zertifikat entweder im PKCS#12- oder PEM-Format herunterladen. Die PEM-Datei enthält nur das Zertifikat selbst, wohingegen die PKCS#12-Datei auch noch den privaten Schlüssel sowie das CA-Zertifikat enthält, mit dem das Zertifikat signiert wurde.
Hinweis – Zertifikate haben einen Gültigkeitszeitraum. 30 Tage bevor ein Zertifikat ausläuft, wird eine Markierung im WebAdmin hinzugefügt und Sie erhalten eine E-Mail-Benachrichtigung.
Alle Zertifikate, die Sie erzeugen, enthalten einen RSA-Schlüssel. Sie sind von der selbst signierten Zertifizierungsstelle (CA) VPN Signing CA signiert, die automatisch mit den Informationen erstellt wurde, die Sie während der ersten Anmeldung am WebAdmin angegeben haben.
Um ein Zertifikat neu zu generieren, gehen Sie folgendermaßen vor:
Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfeld Zertifikat hinzufügen wird geöffnet.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.
Methode: Um ein Zertifikat zu erstellen, wählen Sie Generieren.
Schlüssellänge: Die Länge des RSA-Schlüssels. Je länger der Schlüssel, desto sicherer ist er. Sie können zwischen den Schlüssellängen 1024, 2048 oder 4096 Bit wählen. Verwenden Sie die größtmögliche Schlüssellänge, die mit Ihren Anwendungen und Ihrer Hardware kompatibel ist. Solange mit dem längeren Schlüssel keine kritischen Leistungsprobleme für Ihre spezifischen Zwecke auftreten, sollten Sie auf keinen Fall die Schlüssellänge reduzieren, um die Leistung zu optimieren.
VPN-ID-Typ: Legen Sie eine eindeutige Identifikation für das Zertifikat fest. Die folgenden Identifikationsarten sind verfügbar:
VPN-ID: Tragen Sie, abhängig von dem gewählten VPN-ID-Typ, den passenden Wert in das Feld ein. Beispiel: Wenn Sie in der Auswahlliste VPN-ID-Typ IP-Adresse gewählt haben, geben Sie eine IP-Adresse in dieses Textfeld ein. Beachten Sie, dass dieses Textfeld verborgen ist, wenn Sie in der Auswahlliste VPN-ID-TypDistinguished Name gewählt haben.
Verwenden Sie die Auswahllisten und Textfelder Land bis E-Mail, um die Informationen zum Zertifikatsinhaber einzutragen. Diese Informationen werden dazu verwendet, den Distinguished Name zu erstellen, d.h. den Namen der Instanz, deren öffentlichen Schlüssel das Zertifikat identifiziert. Dieser Name enthält viele persönliche Informationen im X.500-Standard, weswegen davon ausgegangen wird, dass dieser Name im gesamten Internet einzigartig ist. Falls das Zertifikat für eine Road-Warrior-Verbindung verwendet wird, geben Sie den Namen des Benutzers in das Feld Allgemeiner Name ein. Wenn das Zertifikat für einen Host ist, geben Sie einen Hostnamen ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Klicken Sie auf Speichern.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Um ein Zertifikat hochzuladen, gehen Sie folgendermaßen vor:
Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfeld Zertifikat hinzufügen wird geöffnet.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.
Methode: Um ein Zertifikat zu importieren, wählen Sie Hochladen aus.
Dateityp: Wählen Sie den Dateityp des Zertifikats aus. Sie können Zertifikate der folgenden Dateitypen hochladen: Sie können Zertifikate der folgenden Dateitypen hochladen:
Datei: Klicken Sie auf das Ordnersymbol neben dem Feld Datei und wählen Sie das Zertifikat aus, das hochgeladen werden soll.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Klicken Sie auf Speichern.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Erstellen Sie ein Let‘s Encrypt Zertifikat, um Webbrowsern für die zum Zertifikat gehörigen Domänen ein offiziell signiertes Zertifikat präsentieren zu können. Let‘s Encrypt erstellt ein signiertes Zertifikat sowie eine untergeordnete CA und ermöglich so eine Vertrauenskette.
Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfeld Zertifikat hinzufügen wird geöffnet.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.
Methode: Wählen Sie Let‘s Encrypt aus.
Schnittstelle: Wählen Sie eine Schnittstelle, über welche die Let‘s Encrypt Server die unten konfigurierten Domänen erreichen können.
Domänen: Fügen Sie eine oder mehrere Domänen hinzu, für welche die Zertifikate gültig sein sollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Klicken Sie auf Speichern.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Anfänglich sind neu erstellte Let‘s Encrypt Zertifikate durch eine selbst-signierte CA VPN Signing CA signiert, welche automatisch erstellt wurde auf Basis der Informationen, die Sie während der ersten Anmeldung an WebAdmin angegeben haben. Dadurch kann das Zertifikat sofort nach Erstellung verwendet werden.
Im Hintergrund werden die Domänen von Let‘s Encrypt überprüft.
Hinweis – Dies erfordert, dass HTTP-Verkehr für die Zertifikatsdomänen die UTM erreichen kann.
Sobald Let‘s Encrypt das Zertifikat ausstellt, wird das Zertifikatsobjekt automatisch aktualisiert. Dieser Vorgang wiederholt sich jedes Mal, wenn eine Aktualisierung für das Zertifikat fällig ist.
Verwandte Themen