{"id":8704,"date":"2019-09-11T13:37:48","date_gmt":"2019-09-11T11:37:48","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=8704"},"modified":"2025-02-27T11:52:24","modified_gmt":"2025-02-27T10:52:24","slug":"howto-erzeugen-eines-zertifikats-fuer-eine-untergeordnete-zertifizierungsstelle-mit-windows-ca","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2019\/09\/howto-erzeugen-eines-zertifikats-fuer-eine-untergeordnete-zertifizierungsstelle-mit-windows-ca\/","title":{"rendered":"HOWTO: Erzeugen eines Zertifikats f\u00fcr eine untergeordnete Zertifizierungsstelle mit Windows-CA"},"content":{"rendered":"<p>F\u00fcr die HTTPS-Deep-Inspection auf einer WatchGuard Firewall wird ein Zertifikat f\u00fcr eine untergeordnete Zertifizierungsstelle ben\u00f6tigt. Dazu verwendet man entweder das Zertifikat der Firebox selbst (das muss man dann allerdings auf alle Clients ausrollen), oder man erzeugt dieses Zertifikat selbst (wenn man eine Windows-CA im Active Directory hat).<!--more--><\/p>\n<p>Hierzu meldet man sich als Administrator lokal auf dem Server an, auf dem die CA installiert ist und greift per Web-UI auf die Zertifizierungsstelle zu:<\/p>\n<p>Wichtig dabei:<\/p>\n<ul>\n<li>lokale Anmeldung (Remote Desktop ist ok)<\/li>\n<li>als Benutzer \u201eAdministrator\u201c (nicht als anders benannter User mit Adminrechten, sondern wirklich als \u201eAdministrator\u201c)<\/li>\n<li><a href=\"https:\/\/localhost\/certsrv\/\">https:\/\/localhost\/certsrv\/<\/a> auf die Zertifizierungsstelle zugreifen<\/li>\n<li>hierbei den Internet-Explorer verwenden<\/li>\n<\/ul>\n<p>Sollten die Masken bei Ihnen im Folgenden anders aussehen, dann gehen Sie bitte zur\u00fcck zu den eben genannten Schritten:<br \/>\n-lokal als Administrator(!) anmelden, Zugriff per <a href=\"https:\/\/localhost\/\">https:\/\/localhost\/<\/a>&#8230; mit dem Internet-Explorer.<br \/>\nIn nahezu allen F\u00e4llen, bei denen Kunden bei der Zertifikats-Erstellung Probleme hatten, wurde ein anders lautender \u201eAdmin-Account\u201c verwendet. Wenn der Account nicht &#8220;Administrator&#8221; hei\u00dft, werden in den Masken nicht alle Formularfelder angeboten. Das ist nicht wirklich verst\u00e4ndlich, ist aber so.<\/p>\n<p>1. Zertifikat anfordern:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8710 alignnone\" style=\"font-size: inherit;\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1.png\" alt=\"\" width=\"700\" height=\"408\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1.png 1067w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1-300x175.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1-768x448.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1-1024x597.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen1-800x466.png 800w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8711 alignnone\" style=\"font-size: inherit;\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2.png\" alt=\"\" width=\"700\" height=\"408\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2.png 1073w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2-300x175.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2-768x447.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2-1024x596.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen2-800x466.png 800w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8712 alignnone\" style=\"font-size: inherit;\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen3.png\" alt=\"\" width=\"700\" height=\"408\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8713 alignnone\" style=\"font-size: inherit;\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen4.png\" alt=\"\" width=\"477\" height=\"259\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen4.png 477w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen4-300x163.png 300w\" sizes=\"(max-width: 477px) 100vw, 477px\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8714 alignnone\" style=\"font-size: inherit;\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen5.png\" alt=\"\" width=\"774\" height=\"272\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8715 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen6.png\" alt=\"\" width=\"487\" height=\"259\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen6.png 487w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen6-300x160.png 300w\" sizes=\"(max-width: 487px) 100vw, 487px\" \/><\/p>\n<p>2. Zertifikat installieren:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8716 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen7.png\" alt=\"\" width=\"700\" height=\"408\" \/><\/p>\n<p>3. Nun die MMC starten, um das Zertifikat zu exportieren: lokal als Administrator auf dem CA-Server und die entsprechenden Snap-Ins hinzuf\u00fcgen:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"wp-image-8717 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8.png\" alt=\"\" width=\"986\" height=\"555\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8.png 1280w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8-300x169.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8-768x433.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8-1024x577.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8-800x451.png 800w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen8-1200x676.png 1200w\" sizes=\"(max-width: 986px) 100vw, 986px\" \/><\/p>\n<p>4. Das eben importierte Zertifikat wird nun exportiert: Rechtsklick auf Zertifikat =&gt; Alle Aufgabe =&gt; Exportieren:<img loading=\"lazy\" decoding=\"async\" class=\"wp-image-8718 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9.png\" alt=\"\" width=\"898\" height=\"437\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9.png 1030w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9-300x146.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9-768x374.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9-1024x498.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen9-800x389.png 800w\" sizes=\"(max-width: 898px) 100vw, 898px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8719 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen10.png\" alt=\"\" width=\"546\" height=\"526\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen10.png 546w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen10-300x289.png 300w\" sizes=\"(max-width: 546px) 100vw, 546px\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8720 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen11.png\" alt=\"\" width=\"545\" height=\"525\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen11.png 545w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen11-300x289.png 300w\" sizes=\"(max-width: 545px) 100vw, 545px\" \/><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8721 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen12.png\" alt=\"\" width=\"548\" height=\"531\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen12.png 548w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen12-300x291.png 300w\" sizes=\"(max-width: 548px) 100vw, 548px\" \/><\/p>\n<p>5. Ein Kennwort vergeben:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8722 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen13.png\" alt=\"\" width=\"548\" height=\"530\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen13.png 548w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen13-300x290.png 300w\" sizes=\"(max-width: 548px) 100vw, 548px\" \/><\/p>\n<p>6 .und Speichern:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-8723 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen14.png\" alt=\"\" width=\"548\" height=\"525\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen14.png 548w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/09\/zertifikat-erzeugen14-300x287.png 300w\" sizes=\"(max-width: 548px) 100vw, 548px\" \/><\/p>\n<p>Die nun erhaltene PFX-Datei kann nun einfach als Proxy-CA-Zertifikat importiert werden.<\/p>\n<p>Da das Zertifikat eine &#8220;Untergeortnete Zertifizierungsstelle&#8221; der Active-Directory-Domain ist, wird sie implizit von allen Arbeitsstationen in der Domain akzeptiert, weil die AD-Domain schlie\u00dflich auch im lokalen Windows-Certificate-Root-Store enthalten ist. Vorsicht allerdings: das gilt nur f\u00fcr Webbrowser, die den lokalen Windows-Root-Certificate-Store verwenden. Browser, die einen eigenen Certificate-Store verwenden (wie z.B. Opera und Firefox) ben\u00f6tigen dann doch noch den Import des Zertifikates in den jeweiligen Browser-Certificate-Root-Store &#8211; beim Firefox muss man beispielsweise beim Import noch zus\u00e4tzlich den Zweck (Identifikation f\u00fcr Webseiten) angeben.<\/p>\n<p>F\u00fcr Firefox gibt es weitere Informationen hier: <a href=\"https:\/\/wiki.mozilla.org\/CA\/AddRootToFirefox\" target=\"_blank\" rel=\"noopener\">https:\/\/wiki.mozilla.org\/CA\/AddRootToFirefox<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>F\u00fcr die HTTPS-Deep-Inspection auf einer WatchGuard Firewall wird ein Zertifikat f\u00fcr eine untergeordnete Zertifizierungsstelle ben\u00f6tigt. Dazu verwendet man entweder das Zertifikat der Firebox selbst (das muss man dann allerdings auf alle Clients ausrollen), oder man erzeugt dieses Zertifikat selbst (wenn man eine Windows-CA im Active Directory hat).<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[473,1221,1220,1222,583,35,584],"class_list":["post-8704","post","type-post","status-publish","format-standard","hentry","category-howto","tag-howto","tag-microsoft-ca","tag-ms-ca","tag-proxy-authority","tag-windows-ca","tag-zertifikat","tag-zertifikat-erzeugen"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8704"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=8704"}],"version-history":[{"count":9,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8704\/revisions"}],"predecessor-version":[{"id":8751,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/8704\/revisions\/8751"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=8704"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=8704"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=8704"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}