Tag Archives: Zertifikat

HOWTO: Erzeugen eines Zertifikats für eine untergeordnete Zertifizierungsstelle mit Windows-CA

Für die HTTPS-Deep-Inspection auf einer WatchGuard Firewall wird ein Zertifikat für eine untergeordnete Zertifizierungsstelle benötigt. Dazu verwendet man entweder das Zertifikat der Firebox selbst (das muss man dann allerdings auf alle Clients ausrollen), oder man erzeugt dieses Zertifikat selbst (wenn man eine Windows-CA im Active Directory hat). Weiterlesen »

AuthPoint-Warnung: Zertifikat läuft in Kürze ab

Das AuthPoint-Zertifikat kann für einige Anwender, die AuthPoint schon länger nutzen, in Kürze ablaufen.

Wenn Ihr Konto betroffen ist und Sie dieses Zertifikat nicht vor Ablauf ersetzen, können Ihre AuthPoint-Nutzer sich nicht mehr bei einer Ihrer SAML-Ressourcen authentifizieren. Bitte überprüfen Sie deshalb das Ablaufdatum und tauschen Sie gegebenenfalls das Zertifikat aus.

Wichtige Fragen und Antworten:

Weiterlesen »

HTTP-Content-Action am Beispiel OWA – Blocken von /ecp/

Seit der aktuellen Version unterstützt WatchGuard im Content-Filter die Auswahl eines SSL-Zertifikates, sowie mehrere SSL-Zertifikate für TLS/Proxy-Inbound Inspection.

Am Beispiel des Outlook-Webaccess wird die Konfiguration einer HTTP-Content-Action in Verbindung mit eingehender Deep Inspection über HTTPS-Proxy aufgezeigt.

Weiterlesen »

Best Practices – Zertifikatsverwaltung für Firebox Systeme

Inhalt:

Digitale Zertifikate werden in vielen IT-Bereichen verwendet um Kommunikation zwischen Systemen gesichert zu ermöglichen und die Integrität der Kommunikation zu gewährleisten. Firebox Systeme verwenden Zertifikate für verschiedene Zwecke und Funktionen – dieses Webinar stellt die üblichen Funktionen vor und zeigt praxisnahe Beispiele der Zertifikatsverwaltung mit Firebox Appliances.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt online für dieses kostenfreie Webinar registrieren

Ersetzen eines Webserver-Zertifikates auf der Firebox im Fully Managed Mode

Kürzlich ist folgender Fall aufgetreten:

  • SSL-Zertifkate werden typischerweise auf der Firebox über den Firebox System Manager erledigt. Dort konnte das Zertifikat auch hochgeladen werden.
  • Das Zertifikat muß anschließend aber über den Policy Manager unter Setup => Authentication => Web Server Certificate ausgewählt werden.
  • Das geht aber nicht, weil das Zertifikat dort nicht erscheint.

Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.

Workaraound:

  • Zertifikat mittels Firebox System Manager wie üblich auf der Box installieren
  • Box kurzfristig vom fully managed mode in den basic managed mode schalten.
  • Box danach sofort wieder vom basic managed mode in den fully managed mode zurückschalten
  • Policy Manager öffnen und das Zertifikat entsprechend Setup => Authentication => Web Server Certificate  unter auswählen.

Was passiert hier?

  • beim Wechsel vom fully managed mode in den basic managed mode wird auf der Box nur der “managed mode” geändert.
  • beim Wechsel vom basic managed mode in den fully managed mode wird die komplette policy neu von der Box geladen und in den Management Server geschrieben.
  • dabei werden wohl auch die vorhandenen IDs aller Zertifikate mitübernommen, d.h. das neu importierte Zertifikat ist nun in der Drop-Down-Box verfügbar.

 

 

Erneuerung der Default Firebox Zertifikate per CLI

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren

could-not-find-csr-file

Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, daß der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.

Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der key sollte das Gerät nicht verlassen).

 

Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?

Weiterlesen »

Neuer Knowledge Base Content im Juli 2016

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im Mai 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Known Issues (Login auf der WatchGuard Website erforderlich)

LetsEncrypt Zertifikat als Proxy-Zertifikat auf Watchguard Firebox

Ziel

Setup eines kostenfreien SSL-Zertifikates zum Testen des TLS-Proxies auf einer Watchguard. Für den weiteren Artikel wird hier @mail.meinedomain.de@ als Hostname vorausgesetzt.

Voraussetzung

  • DNS konfiguration: mail.meinedomain.de muß im DNS als A-Record und PTR-Record auflösbar sein
  • WWW-Konfiguration: http://mail.meinedomain.de/ muß auf einen Webserver zeigen, auf den man Zugriff hat, um die Authorisierungs-Dateien zu hinterlegen

Weiterlesen »