{"id":2147,"date":"2010-08-30T23:23:00","date_gmt":"2010-08-30T21:23:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/fireware-xtm-oeffentliches-zertifikat-fuer-anmeldeseite-port-4100-tcp-verwenden\/"},"modified":"2016-08-23T15:32:18","modified_gmt":"2016-08-23T13:32:18","slug":"fireware-xtm-oeffentliches-zertifikat-fuer-anmeldeseite-port-4100-tcp-verwenden","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/08\/fireware-xtm-oeffentliches-zertifikat-fuer-anmeldeseite-port-4100-tcp-verwenden\/","title":{"rendered":"Fireware XTM: \u00d6ffentliches Zertifikat f\u00fcr Anmeldeseite (Port 4100 tcp) verwenden"},"content":{"rendered":"

Wenn auf der WatchGuard Firebox oder WatchGuard XTM mit User Authentication<\/strong> gearbeitet wird – also Firewall-Regeln<\/strong> verwendet werden, die auf User-Basis<\/strong> greifen und nicht auf Maschinen-Basis – kommt h\u00e4ufig die Anmeldeseite der Firewall<\/strong> ins Spiel, die \u00fcber
https:\/\/[IP-der-Firebox]:4100
aufgerufen wird. Die Anmeldeseite verwendet SSL-Verschl\u00fcsselung. Hierf\u00fcr wird standardm\u00e4\u00dfig ein von WatchGuard selbst generiertes Zertifikat verwendet, das aber nicht von einer \u00f6ffentlichen Zertifizierungsstelle r\u00fcckbest\u00e4tigt ist, weswegen beim Aufruf die allseits bekannte Warnmeldung des Browsers erscheint. Folgende Zertifikate sind ab Werk auf einer WatchGuard Appliance unter Fireware XTM 11.3.x vorhanden:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5511323422897753874\"<\/a>
\"\"id=\"BLOGGER_PHOTO_ID_5511329235746211346\"<\/a><\/p>\n

Das SSL Zertifikat von WatchGuard kann durch ein offizielles, von einer allgemein bekannten Zertifizierungsstelle r\u00fcckbest\u00e4tigtes SSL Zertifikat ersetzt werden. Hier reicht schon ein einfaches Zertifikat z.B. von RapidSSL aus, das bereits f\u00fcr 10,95 USD pro Jahr erh\u00e4ltlich ist. Alternativ kann (mit den bekannten Einschr\u00e4nkungen) auch ein von einer firmeninternen, privaten Zertifizierungsstelle erstelltes Zertifikat verwendet werden. Es empfiehlt sich, das Zertifikat f\u00fcr einen griffigen Hostname ausstellen zu lassen (firewall.kundenname.de, watchguard.kundenname.de, fw.kundenname.de etc.) und diesen \u00fcber DNS korrekt bekannt zu machen. Zur allgemeinen Vorgehensweise:
WatchGuard System Manager (WSM) > Connect to Firebox > Firebox System Manager > View > Certificates > Create Request<\/em>.
Der abschlie\u00dfend erzeugte CSR (Certificate Signing Request)<\/strong> wird an die Zertifizierungsstelle geschickt, f\u00fcr die man sich entschieden hat. Wenn das von dort ausgestellte Zertifikat vorliegt, kann es \u00fcber “Import Certificate \/ CRL” auf die Firebox importiert werden. Wenn das Root-Zertifikat der CA nicht in der Liste der defaultm\u00e4\u00dfig enthaltenen CA Certificates enthalten ist (http:\/\/www.watchguard.com\/help\/docs\/wsm\/11\/en-US\/Content\/en-US\/certificates\/cert_auto_trusted_list_c.html<\/a>), muss es VOR<\/strong> dem Import des eigentlichen Zertifikats auf die gleiche Weise importiert werden, da sonst ein Fehler generiert wird: “Error: Error occurred while performing ‘import certificate’: certificate add error msg=”Failed to import a certificate!! 6_982: certificate validation fail” add certificate”<\/em>. Das Root-CA Zertifikat von RapidSSL findet sich \u00fcbrigens hier: http:\/\/www.geotrust.com\/resources\/root_certificates\/certificates\/Equifax_Secure_Certificate_Authority.cer<\/a>. W\u00e4hlen Sie f\u00fcr den Import jeweils die Option “IPSec, Web Server, Other”<\/strong>. Der erfolgreiche Import wird angezeigt:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5511323430278749490\"<\/a><\/p>\n

Nun ist\/sind die offiziellen Zertifikat(e) zwar schon auf der Firebox vorhanden, m\u00fcssen aber noch f\u00fcr den Einsatz auf der Authentication Webpage der Firebox ausgew\u00e4hlt werden:
Policy Manager > Setup > Authentication > Web Server Certificate… > Third Party Certificate ausw\u00e4hlen > OK > Save to Firebox<\/em>.
Abschlie\u00dfend muss die Firebox einmal durchgebootet<\/strong> werden, damit diese \u00c4nderung auch tats\u00e4chlich aktiv wird:<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5511323427847094130\"<\/a>
\"\"id=\"BLOGGER_PHOTO_ID_5511329242432732322\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Wenn auf der WatchGuard Firebox oder WatchGuard XTM mit User Authentication gearbeitet wird – also Firewall-Regeln verwendet werden, die auf User-Basis greifen und nicht auf Maschinen-Basis – kommt h\u00e4ufig die Anmeldeseite der Firewall ins Spiel, die \u00fcberhttps:\/\/[IP-der-Firebox]:4100aufgerufen wird. Die Anmeldeseite verwendet SSL-Verschl\u00fcsselung. Hierf\u00fcr wird standardm\u00e4\u00dfig ein von WatchGuard selbst generiertes Zertifikat verwendet, das aber nicht von einer \u00f6ffentlichen Zertifizierungsstelle r\u00fcckbest\u00e4tigt ist, weswegen beim Aufruf die … Weiterlesen Fireware XTM: \u00d6ffentliches Zertifikat f\u00fcr Anmeldeseite (Port 4100 tcp) verwenden<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[276,282,283,301,140,312,279,35],"class_list":["post-2147","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-firebox-system-manager","tag-fireware-11","tag-fireware-xtm","tag-https","tag-policy-manager","tag-user-authentication","tag-wsm","tag-zertifikat"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2147"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2147"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2147\/revisions"}],"predecessor-version":[{"id":2356,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2147\/revisions\/2356"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}