{"id":2148,"date":"2010-08-29T14:28:00","date_gmt":"2010-08-29T12:28:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/ssl-100-oeffentliches-zertifikat-verwenden\/"},"modified":"2016-08-23T15:14:49","modified_gmt":"2016-08-23T13:14:49","slug":"ssl-100-oeffentliches-zertifikat-verwenden","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/08\/ssl-100-oeffentliches-zertifikat-verwenden\/","title":{"rendered":"SSL 100: \u00d6ffentliches Zertifikat verwenden"},"content":{"rendered":"

Ab Werk wird auf einer WatchGuard SSL 100 ein von WatchGuard selbst generiertes Zertifikat<\/strong> verwendet, das nicht gegen\u00fcber einer allgemein bekannten, offiziellen Zertifizierungsstelle r\u00fcckbest\u00e4tigt ist. Das Zertifikat hei\u00dft “TestCert” und ist auf den imagin\u00e4ren Domainnamen “my.company.my” ausgestellt. Beim Aufruf der Anmeldeseite der SSL 100 erscheint also zun\u00e4chst die allgemein bekannte Warnmeldung des Browsers. Nat\u00fcrlich kann das Zertifikat akzeptiert werden und das weitere Arbeiten mit der SSL 100 erfolgt trotzdem gesichert auf der Basis von SSL.
Wenn die SSL 100 jedoch nicht nur f\u00fcr den Remote Zugriff von eigenen Mitarbeitern verwendet wird, denen man die o.g. Vorgehensweise nat\u00fcrlich per Hausmitteilung bekannt machen kann – sondern auch zur Anbindung von externen Mitarbeitern, Lieferanten oder Kunden, ist es nat\u00fcrlich ein professionelles Vorgehen, das TestCert durch ein offiziell r\u00fcckbest\u00e4tigtes Zertifikat zu ersetzen<\/strong>. Je nachdem, welche Sicherheitsstufe angebracht erscheint, kann mit einfachen SSL-Zertifikaten f\u00fcr weniger als 10 Euro pro Jahr gearbeitet werden oder mit entsprechend teureren Zertifkaten, bei denen z.B. dann auch die Browserzeile nicht wei\u00df, sondern gr\u00fcn hinterlegt wird…
Die Vorgehensweise ist in jedem Fall identisch, erscheint jedoch etwas kompliziert: Zun\u00e4chst muss manuell ein CSR (Certificate Signing Request), eine Zertifikatsanforderung, erstellt werden – auf der Basis eines ebenfalls manuell erzeugten privaten Schl\u00fcssels. Hierzu muss auf einem Computer die Software “OpenSSL” installiert werden. Download im Internet, Einstieg \u00fcber http:\/\/www.openssl.org<\/a>. Der Installer f\u00fcr Windows findet sich unter http:\/\/www.slproweb.com\/products\/Win32OpenSSL.html<\/a>. Sofern auf dem Windows-PC noch nicht die “Visual C++ 2008 Redistributables” installiert sind, m\u00fcssen diese ebenfalls installiert werden (Download-Link direkt darunter oder Suche nach vcredist_x86.exe im Microsoft Download-Bereich).
Nach der Installation von OpenSSL mit den Default Einstellungen wird eine MSDOS-Eingabeaufforderung ge\u00f6ffnet und im Programmverzeichnisbin werden folgende Befehle ausgef\u00fchrt:
openssl genrsa -out wgnet.key 1024
openssl req -new -key wgnet.key -out wgnet.csr
openssl pkcs8 -topk8 -in wgnet.key -out wgnet.pk8<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5510818051222609074\"<\/a><\/p>\n

Der erste Befehl erzeugt den privaten Schl\u00fcssel, der im zweiten Befehl zur Erzeugung der Zertifikatsanforderung verwendet wird. Dort startet auch ein Dialog, bei dem entsprechende Kundendaten abgefragt werden, unter anderem auch den Common Name (CN), auf den das Zertifikat ausgestellt werden soll, also z.B. “sslvpn.kundenname.de”. Der dritte Befehl konvertiert den privaten Schl\u00fcssel in das PKCS8-Format, das zum Import in die WatchGuard SSL 100 ben\u00f6tigt wird. Hier wird auch nach einem Encryption Password gefragt, das ebenfalls f\u00fcr den Import ben\u00f6tigt wird.
Die mit dem zweiten Befehl erzeugte Datei “wgnet.csr” wird nun an die Zertifizierungsstelle geschickt, f\u00fcr die man sich entschieden hat. Ein m\u00f6glicher<\/u>, sehr preiswerter Anbieter ist RapidSSL<\/a>, der einfache SSL-Zertifikate bereits f\u00fcr 10,95 USD pro Jahr anbietet. Nach Beantragung und Legitimation erh\u00e4lt man innerhalb von 24 Stunden dann per E-Mail sein Zertifikat zugestellt.<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5510818059827977826\"<\/a><\/p>\n

Nach der Anmeldung an der Admin-Oberfl\u00e4che der SSL 100 werden Zertifikat und privater Schl\u00fcssel importiert: Manage System > Certificates > Add Server Certificate (sslvpn.kundenname.de) > Publish; Manage System > Administration Service > Server Certificate (sslvpn.kundenname.de) > Publish und Restart Service; Manage System > Device Settings > General Settings (sslvpn.kundenname.de) > Publish<\/em>. Nun wird beim Zugriff auf die SSL 100 das eigene Zertifikat verwendet und die Warnmeldung des Browsers unterbleibt. Anstelle einer \u00f6ffentlichen Zertifizierungsstelle kann der CSR auch an eine firmeninterne (z.B. Active Directory integrierte) Zertifizierungsstelle geschickt werden. Die Warnmeldung unterbleibt dann jedoch nur auf den PCs, die z.B. als Dom\u00e4nenmitglied das Stammzertifikat “gelernt” haben.
WICHTIG:<\/strong> Die mit OpenSSL erzeugten Dateien, die verwendeten Kennw\u00f6rter, die Zugangsdaten zu dem Accout der Zertifizierungsstelle und das Zertifikat sind auf jeden Fall SICHER auzubewahren und vor Zugriff von Dritten zu sch\u00fctzen!<\/p>\n

\"\"id=\"BLOGGER_PHOTO_ID_5510816471891436674\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Ab Werk wird auf einer WatchGuard SSL 100 ein von WatchGuard selbst generiertes Zertifikat verwendet, das nicht gegen\u00fcber einer allgemein bekannten, offiziellen Zertifizierungsstelle r\u00fcckbest\u00e4tigt ist. Das Zertifikat hei\u00dft “TestCert” und ist auf den imagin\u00e4ren Domainnamen “my.company.my” ausgestellt. Beim Aufruf der Anmeldeseite der SSL 100 erscheint also zun\u00e4chst die allgemein bekannte Warnmeldung des Browsers. Nat\u00fcrlich kann das Zertifikat akzeptiert werden und das weitere Arbeiten mit der … Weiterlesen SSL 100: \u00d6ffentliches Zertifikat verwenden<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[301,311,35],"class_list":["post-2148","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-https","tag-ssl-100","tag-zertifikat"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2148"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2148"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2148\/revisions"}],"predecessor-version":[{"id":2332,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2148\/revisions\/2332"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}