Tag Archives: Zertifikat

HOWTO: Erstellen eines Zertifikats als Proxy Authority für die WatchGuard Firebox

Comment

In diesem Blog-Artikel zeigen wir Schritt für Schritt, wie ein Zertifikat als Proxy Authority für die WatchGuard Firebox mithilfe einer bestehenden Microsoft-Zertifizierungsstelle (CA) erstellt werden kann. Die Proxy Authority wird auf der Firewall dazu verwendet, den entschlüsselten Datentransfer nach dem durchlaufen der Deep-Inspection wieder zu verschlüsseln.

Hinweis: Voraussetzung ist eine funktionierende Zertifikatsinfrastruktur auf Basis von Microsoft Active Directory Certificate Services. Die grundlegende Einrichtung dieser Infrastruktur ist nicht Bestandteil dieses Artikels – hierzu gibt es zahlreiche Anleitungen online.

Schritte im Überblick:

  1. Zertifikatsanforderung erstellen
  2. Zertifikatanforderung bei der CA einreichen
  3. Zertifikat importieren und PFX exportieren

Weiterlesen »

HOWTO: Erstellen eines Zertifikats für den Webserver der WatchGuard Firebox

Comment

In diesem Blog-Artikel zeigen wir Schritt für Schritt, wie ein Zertifikat für den Webserver einer Watchguard Firebox mithilfe einer bestehenden Microsoft-Zertifizierungsstelle (CA) erstellt werden kann. Das Ziel ist, die bekannten Zertifikatswarnungen beim Zugriff auf das Webinterface, das Access Portal oder die Anmeldeseite zu vermeiden. Auch für den SSL-VPN-Zugriff kann dieses Zertifikat verwendet werden.

Hinweis: Voraussetzung ist eine funktionierende Zertifikatsinfrastruktur auf Basis von Microsoft Active Directory Certificate Services. Die grundlegende Einrichtung dieser Infrastruktur ist nicht Bestandteil dieses Artikels – hierzu gibt es zahlreiche Anleitungen online.

Schritte im Überblick:

  1. Zertifikatsanforderung erstellen
  2. Zertifikatanforderung bei der CA einreichen
  3. Zertifikat importieren und PFX exportieren

Weiterlesen »

BestPractices.live – Firebox Zertifikate

Comment

Zertifikate verbinden die Identität einer Person oder eines Unternehmens mit einer Methode, die es anderen ermöglicht, diese Identität zu überprüfen und die Kommunikation zu sichern. In dieser Webinaraufzeichnung erfahren Sie mehr über Zertifikate auf der Firebox. Es geht dabei vor allem darum, wie Sie häufige Fallstricke vermeiden können und welche Best Practices für die Bereitstellung und Verwaltung von Zertifikaten in Ihrer Umgebung gelten. Es werden verschiedene Möglichkeiten der Nutzung von Zertifikaten durch die WatchGuard Firebox behandelt, darunter:

  • VPNs mit Zertifikaten zur Authentifizierung
  • Inhaltsprüfung für ausgehendes HTTPS unter Verwendung eines Zertifikats zur Wiederverschlüsselung des Datenverkehrs nach der Entschlüsselung für die Prüfung
  • Firebox-Verwaltungssitzungsdaten

Weiterlesen »

HOWTO: Zertifikat Import und Installation auf der WatchGuard Firebox

Comment

Wenn Benutzer über einen Webbrowser eine Verbindung zu Ihrer Firebox herstellen, wird häufig eine Sicherheitswarnung angezeigt. Diese Warnung tritt auf, weil das Standard-Webserverzertifikat nicht vertrauenswürdig ist oder weil das Zertifikat nicht mit der für die Authentifizierung verwendeten IP-Adresse oder dem Domänennamen übereinstimmt. Sie können das Standard-Webserverzertifikat durch ein signiertes CA-Zertifikat ersetzen und damit dem Webbrowser automatisch vertrauen. Weiterlesen »

Kompatibilität HTTPS-Reverse-Proxy und Exchange/Outlook

1 Comment

Um Pfade wie /ECP/ (Exchange Admin Center) vor Zugriffen aus dem Internet zu schützen, können Sie wie >> hier beschrieben eine HTTP-Content-Action inkl. Deep Inspection verwenden. Damit der Zugriff auf Mails, OWA, etc. wie gewohnt funktioniert, ist Folgendes zu beachten:

  1. Zertifikat, welches den Exchange-Server inkl. AutoDiscover abdeckt (Bsp.: autodiscover.maildomain.xy, mx.maildomain.xy)
  2. Exchange-Server und Client müssen >> MAPI over HTTP unterstützen:

    Quelle: Microsoft

Weitere Informationen und eine Hilfestellung finden Sie in unserem Blogartikel HTTP-Content-Action am Beispiel von OWA – Blocken von /ecp/.

HOWTO: Proxy-CA ausrollen via GPO

1 Comment

Damit mittels WatchGuard Firebox auch SSL/TLS verschlüsselter Traffic untersucht werden kann, ist eine Deep-Inspection nötig. Da bei der Deep-Inspection die WatchGuard Firebox den Traffic erneut verschlüsseln muss, sollte das Zertifikat der WatchGuard im Betriebssystem als vertrauenswürdig eingestuft werden (ansonsten erscheint eine Fehlermeldung bei jeder Website). Der nachfolgende Artikel beschreibt das Ausrollen des WatchGuard Zertifikats via Gruppenrichtlinie, was besonders für diejenigen interessant sein sollte, die keine Enterprise Root CA betreiben möchten/können. Weiterlesen »

HOWTO: Erzeugen eines Zertifikats für eine untergeordnete Zertifizierungsstelle mit Windows-CA

Comment

Für die HTTPS-Deep-Inspection auf einer WatchGuard Firewall wird ein Zertifikat für eine untergeordnete Zertifizierungsstelle benötigt. Dazu verwendet man entweder das Zertifikat der Firebox selbst (das muss man dann allerdings auf alle Clients ausrollen), oder man erzeugt dieses Zertifikat selbst (wenn man eine Windows-CA im Active Directory hat). Weiterlesen »

AuthPoint-Warnung: Zertifikat läuft in Kürze ab

Comment
Das AuthPoint-Zertifikat kann für einige Anwender, die AuthPoint schon länger nutzen, in Kürze ablaufen.

Wenn Ihr Konto betroffen ist und Sie dieses Zertifikat nicht vor Ablauf ersetzen, können Ihre AuthPoint-Nutzer sich nicht mehr bei einer Ihrer SAML-Ressourcen authentifizieren. Bitte überprüfen Sie deshalb das Ablaufdatum und tauschen Sie gegebenenfalls das Zertifikat aus.

Wichtige Fragen und Antworten:

Weiterlesen »

HTTP-Content-Action am Beispiel OWA – Blocken von /ecp/

8 Comments

Seit der aktuellen Version unterstützt WatchGuard im Content-Filter die Auswahl eines SSL-Zertifikates, sowie mehrere SSL-Zertifikate für TLS/Proxy-Inbound Inspection.

Am Beispiel des Outlook-Webaccess wird die Konfiguration einer HTTP-Content-Action in Verbindung mit eingehender Deep Inspection über HTTPS-Proxy aufgezeigt.

Weiterlesen »