Austausch SSL-Zertifikat WatchGuard Quarantine Server
Nach der Installation des WatchGuard Quarantine Servers ist dieser mit einem Self Signed Certificate ausgestattet. Dieses erzeugt bei allen Benutzern eine Vertraulichkeits-Warnung im Browser. Um dies zu umgehen, kann man ein offizielles SSL-Zertifikat auf den Quarantine Server hochladen und aktivieren.
Hintergrund
das Web Frontend des Quarantine Servers ist ein Apache, die Config-Dateien liegen typischerweise hier:
C:\ProgramData\WatchGuard\wqserver certs conf db htdocs keys tasks tmp wqserver.ini wqserver.pid
Kauf und Installation des offiziellen Zertifikats
Für das offizielle Zertifikat zu kaufen, benötigt man einen CSR (Certificate Signing Request), den man z.B. auf einem Linux-Host mit openssl erzeugen kann (Key und CSR). Bei der Zertifizierungsstelle Ihres Vertrauens kaufen Sie damit das Zertifikat.
Anschließend sollte sowohl der Key als auch das Zertifikat gesichert werden:
certs/wgagent.pem
und keys/wgagent.pem
jeweils umbenennen nach “.sik”.
Das Zertifikat wird dann im Verzeichnis certs/wgagent.pem
im Format für NGINX hinterlegt: in einer Datei zunächst das Zertifikat und darunter falls vorhanden das CA-Bundle-Zertifikat.
Der Key wird unter keys/wgagent.pem
hinterlegt.
Durchstarten des Quarantine-Servers
im ServerCenter kann der Quarantine Server nun durch Rechtsklick=>stop server, Rechtsklick=>start server durchgestartet werden. Nun sollte das offizielle Zertifikat ausgeliefert werden.
Funktioniert es nicht auch über eine interne Zertifizierungsstelle ein Zertifikat auszustellen und auf dem Quarantine Server zu importieren?
An welcher Stelle wollen Sie das importieren? der Artikel bezieht sich auf den Quarantine-Server, der im WSM-Paket enthalten ist – nicht auf die VM, die es früher zur XCSv gegeben hat.
Ich denke auch über den Quarantine Server den ich über den WSM installieren kann. Kann das Zertifikat nicht über eine Windows CA ausgestellt werden?
wo das Zertifikat herkommt, ist dem Quarantine-Server egal. Sie brauchen ein Zertifikat inklusivem dem Private-Key;
das Ganze im Base64/PEM Format.
Von einer Windows-CA exportiert dürfte es ein pcs7 oder pcs12 sein, das müßte dann noch irgendwie gewandelt werden.