Zertifikat für Web Authentication
Bei Nutzung von User Authentication melden sich die User an der von der WatchGuard Firebox selbst zur Verfügung gestellten Anmeldeseite https://ip-der-firewall:4100 an. Für die SSL-Verschlüsselung wird standardmäßig ein von WatchGuard selbst erzeugtes SSL-Zertifikat verwendet, das aber nicht gegenüber einer “offiziellen” Zertifizierungsstelle rückbestätigt ist. Daher bekommen die User zunächst die übliche Warnmeldung des Browsers gezeigt, die sie entsprechend übergehen müssen.
Der beste Ansatz, dieses Verhalten zu umgehen, ist der Einsatz eines offiziellen Webserver SSL-Zertifikats, das aber kostenpflichtig ist und im Regelfall pro Jahr ebenfalls kostenpflichtig erneuert werden muss. Die entsprechende Zertifikatskette kann dann über den Firebox System Manager im Menüpunkt View / Certificates… importiert werden. Anschließend steht das Zertifikat im Policy Manager unter Setup / Authentication / Web Server Certificate als Third Party Certificate zur Auswahl bereit. Alternativ dazu kann bei Vorhandensein einer (Windows) Active Directory Umgebung dort auch eine eigene (Windows-)Zertifizierungsstelle aufgesetzt und darüber ein eigenes Webserver-Zertifikat generiert werden. Computer, die Mitglied der Domäne sind, lernen dieses Zertifikat dann automatisch.
Wichtig: Der Import von Zertifikaten ist ein Feature der Zusatzoption Fireware Pro, die bei X Peak Geräten standardmäßig dabei ist, auf X Core Geräten jedoch separat lizensiert werden muss!
So wie ich das nun verstanden habe muss man zwingend dieses “Feature” kaufen, damit diese Warnung entfällt, egal ob das Zertifikat offiziell gekauft oder selbst erstellt wurde (CA)
Wenn das wirklich so ist, finde ich das nicht gerade nett von Watchguard…!
Vielen Danke für ein Feedback
3 Jahre später hilft dir diese Info vermutlich nicht weiter 😉 Aber dieser Eintrag ist bei den Suchmaschinen noch ganz weit oben…
Diese Aussage stimmt so nicht ganz. Bei einer alten X750 (X Core) konnte ich damals ein entsprechendes "gekauftes" Zertifikat auch ohne Fireware Pro importieren.
Heute ist dies auch bei einer aktuellen X505 ohne Pro erfolgreich gewesen.
Soweit ich weiß können Proxy-Zertifikate nur mit aktivem Pro importiert werden. Web Server Zertifikate gehen jedoch immer.
Einen großen Stolperstein gibt es jedoch:
Vor dem Import des eigentlichen Zertifikates muss erst das übergeordnete Root-CA und gegebenenfalls Domain-Validation-CA importiert werden.
Grüße
Sebastian Danek
Und vorher überlegen, ob man die WG CSR-Funktion nutzen will. In diesem Fall hat man keine Chance an den privaten Schlüssel zu kommen, falls man das Zertifikat später auch woanders nutzen will, zum beispiel wenn mehrere Namen (SAN) drin stehen.
Und peinlich genau darauf achten, dass beim Import (Copy and Paste) kein Leerzeichen am Ende des Zertifikates verblieben ist. Dann wird gemault und man weiß nicht recht warum.
Silvio