Untergeordnete Zertifizierungsstelle (CA) für HTTPS-Prüfung installieren

Erstellen und installieren Sie eine untergeordnete Zertifizierungsstelle, damit Sie ein Zertifikat für alle Ihre XG Firewall Appliances für das SSL/TLS-Scannen verwenden können.

Einleitung

Sie können Ihr eigenes Zertifikat sowohl mit dem DPI-Modul als auch mit XG Firewall als direktem Web-Proxy verwenden. Dies sind die Konfigurationsschritte:

  • Erzeugen Sie eine Zertifikatsignierungsanforderung (CSR).
  • Unterschreiben Sie die CSR.
  • Konvertieren Sie die signierte CA.
  • Laden Sie die signierte Zertifizierungsstelle in XG Firewall hoch.
  • Laden Sie die Stamm-CA in XG Firewall hoch.
  • Konfigurieren Sie die HTTPS-Scan-CA, wenn Sie das DPI-Modul verwenden.
  • Konfigurieren Sie die HTTPS-Scan-CA, wenn Sie XG Firewall als direkten Web-Proxy verwenden.
  • Bestätigen Sie, dass das neue Zertifikat für den Internetverkehr verwendet wird.

Zertifikatsignierungsanforderung (CSR) erzeugen

Geben Sie das Zertifikat und Identifikationsdetails an.

Wenn Sie die CSR an eine Zertifizierungsstelle senden, stellt die Zertifizierungsstelle ein Zertifikat basierend auf diesen Details aus.

  1. Gehen Sie zu Zertifikate und klicken Sie auf Hinzufügen.
  2. Für Maßnahme wählen Sie Zertifikatsignierungsanforderung (CSR) erzeugen.

    Die Option zum Erzeugen der CSR auf XG Firewall ist unten dargestellt.


    Option für Zertifikatsignierungsanforderung auf XG
  3. Legen Sie die Zertifikat-Details fest.

    Name

    Beschreibung

    Name

    Geben Sie einen Namen ein.

    Gültig bis

    Legen Sie die Gültigkeitsdauer des Zertifikats fest.

    Schlüsseltyp

    Wählen Sie aus:

    • RSA
    • Elliptic Curve

    Schlüssellänge

    Wenn Sie den Schlüsseltyp auf RSA gesetzt haben, wählen Sie die Schlüssellänge aus. Sie entspricht der Anzahl an Bits, aus denen der Schlüssel besteht.

    Längere Schlüssel bieten mehr Sicherheit, aber es dauert länger, Daten zu ver- oder entschlüsseln.

    Curve-Name

    Wenn Sie den Schlüsseltyp auf Elliptic Curve gesetzt haben, wählen Sie den Kurvennamen aus.

    Wählen Sie secp521r1 nicht für Websites und die XG Firewall Web-Admin-Oberfläche aus. Eine Version von Google Chrome unterstützt die Kurve auf bestimmten Betriebssystemen nicht.

    Sicherer Hash

    Wählen Sie den Algorithmus aus der Liste aus.

    Schlüsselverschlüsselung

    Wählen Sie Schlüsselverschlüsselung aus, wenn Sie den privaten Schlüssel verschlüsseln wollen.

    Kennwort/PSK

    Wenn Sie Schlüsselverschlüsselung auswählen, geben Sie ein Kennwort oder einen vorinstallierten Schlüssel ein, und bestätigen Sie die Eingabe erneut.

    Zertifikats-ID

    Wählen Sie den Typ der Zertifikat-ID aus, um das Gerät zu identifizieren, und geben Sie die ID an.

    • DNS: Geben Sie den Domänennamen ein. Der Name muss sich in die IP-Adresse in den DNS-Einträgen auflösen.
    • IP-Adresse. Verwenden Sie diese Option, wenn Sie eine öffentliche IP-Adresse verwenden wollen, die Sie besitzen.
    • E-Mail: E-Mail-Adresse des Ansprechpartners.
    • DER ASN1 DN (X.509): Verwenden Sie diese Option, wenn Sie ein digitales Zertifikat wünschen.

    Ein Beispiel für Zertifikatdetails wird unten angezeigt. Sie müssen Daten für Ihre eigene Domäne eingeben.


    Zertifikatsinformationen
  4. Legen Sie die Identifizierungsmerkmale fest.

    Name

    Beschreibung

    Name des Landes

    Wählen Sie das Land, in dem die Appliance eingesetzt wird.

    Staat

    Das Bundesland/die Provinz innerhalb des Landes.

    Name des Standorts

    Name des Stadt.

    Organisationsname

    Name des Zertifikatinhabers. Beispiel: Sophos Group

    Name der Unternehmenseinheit

    Geben Sie den Namen der Abteilung an, der das Zertifikat zugeordnet werden soll. Beispiel: Marketing

    Allgemeiner Name

    Allgemeiner Name oder FQDN. Beispiel: marketing.sophos.com

    E-Mail-Adresse

    E-Mail-Adresse des Ansprechpartners.

    Beispiel-ID-Merkmale werden unten angezeigt. Sie müssen Details für Ihre eigene Organisation eingeben.


    Identifizierungseigenschaften
  5. Klicken Sie auf Speichern.
  6. Laden Sie die CSR über die Herunterladen-Schaltfläche herunter.

    Die Herunterladen-Schaltfläche ist unten hervorgehoben.


    Option CSR herunterladen auf XG

    Das heruntergeladene CSR-Paket sollte Folgendes enthalten:

    • CSR im .csr-Format.
    • Privaten Schlüssel im .key-Format.
    • Kennwort im .txt-Format.

    Der Inhalt der CSR wird unten angezeigt. Ihre eigenen Dateinamen stimmen mit denen überein, die Sie zuvor im Abschnitt „Zertifikatdetails“ eingegeben haben.


    Beispiel für den Inhalt der CSR-ZIP-Datei

Zertifikatsignierungsanforderung unterzeichnen

Sie müssen ein neues Zertifikat erstellen, das von Ihrem Stammzertifizierungsstellenzertifikat signiert ist.

  1. Melden Sie sich beim Microsoft-Zertifikatserver an, und wählen Sie Zertifikat anfordern.

    Die Option ist unten hervorgehoben.


    Eine Zertifikatoption auf dem Server anfordern
  2. Wählen Sie Erweiterte Zertifikatanforderung.

    Die Option ist unten hervorgehoben.


    Erweiterte Zertifikatanforderungsoption auf dem Server
  3. Öffnen Sie die CSR-Datei, die Sie von XG Firewall heruntergeladen haben, und kopieren Sie den gesamten Inhalt ohne zusätzliche Zeilen. Wählen Sie Untergeordnete Zertifizierungsstelle für Ihre Vorlage aus.

    Der Bereich zum Einfügen des CSR-Inhalts und die richtige Menüoption sind unten hervorgehoben.


    CSR-Code und Menüoption Zertifikatvorlage auf dem Server
  4. Laden Sie das Zertifikat im DER-kodierten Format herunter.

    Das Dateiformat und die Download-Option sind unten hervorgehoben.


    Download- und Kodierungsoption auf dem Server

    Die heruntergeladene Zertifikatdatei sieht folgendermaßen aus:


    Beispiel für eine Zertifikatdatei
  5. Laden Sie die Stammzertifizierungsstelle herunter, die Sie zum Signieren des Zertifikats verwendet haben.

    Die Download-Option ist unten hervorgehoben.


    Zertifikatoption auf Server herunterladen

Die signierte Zertifizierungsstelle auf XG Firewall hochladen

Sie müssen die signierte Zertifizierungsstelle auf XG Firewall hochladen, um sie für HTTPS-Scans zu verwenden.

  1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA) und klicken Sie auf Hinzufügen.
  2. Geben Sie folgende Informationen ein:
    OptionBezeichnung

    Name

    Geben Sie einen Namen für das Zertifikat ein.

    Zertifikatsdateiformat

    Wählen Sie das Format aus, das zum Zertifikat passt.

    Zertifikat

    Klicken Sie auf Durchsuchen und wählen Sie Ihre Zertifikatsdatei aus.

    Privater Schlüssel

    Klicken Sie auf Durchsuchen und wählen Sie die private Schlüsseldatei aus, die als Teil der CSR-Datei heruntergeladen wurde. Der private Schlüssel ist die .key-Datei.

    CA-Kennwort

    Geben Sie das Kennwort ein, das Sie beim Erstellen der CSR verwendet haben. Sie finden es in der Datei Password.txt, die als Teil des CSR-Pakets heruntergeladen wurde.

    Die Optionen, die Sie auswählen sollten, werden unten angezeigt. Ihre eigenen Dateinamen unterscheiden sich jedoch und sollten mit den Angaben übereinstimmen, die Sie beim Erstellen der CSR angegeben haben.


    Beispiel für das Hochladen einer CA
  3. Klicken Sie auf Speichern.

Die Stammzertifizierungsstelle auf XG Firewall hochladen

Um die kürzlich hochgeladene signierte Zertifizierungsstelle verwenden zu können, müssen Sie auch ihre Stammzertifizierungsstelle zu XG Firewall hinzufügen.

  1. Gehen Sie zu Zertifikate > Zertifizierungsstellen (CA) und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen für das Zertifikat ein.
  3. Wählen Sie PEM bei Zertifikatsdateiformat aus.
  4. Klicken Sie bei Zertifikat auf Durchsuchen und wählen Sie Ihre Stammzertifizierungsstelle aus.

    Die Optionen, die Sie auswählen sollten, werden unten angezeigt. Ihre eigenen Dateinamen unterscheiden sich jedoch und sollten mit der Zertifizierungsstelle übereinstimmen, die Sie vom Zertifikatserver herunterladen.


    Zertifikatsdatei Format-Beispiel
  5. Klicken Sie auf Speichern.

HTTPS-Scan-CA für DPI-Modul konfigurieren

Sie müssen HTTPS-Entschlüsselung und -Scans so konfigurieren, das Ihre kürzlich signierte Zertifizierungsstelle verwendet wird.

  1. Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln > SSL/TLS-Inspektionseinstellungen.
  2. Wählen Sie im Abschnitt Neu signierende Zertifizierungsstellen die kürzlich signierte Zertifizierungsstelle für RSA neu signieren mit aus.

    Die Menüoptionen werden unten angezeigt. Das Zertifikat, das Sie auswählen, sollte mit dem Zertifikat übereinstimmen, das Sie zuvor hochgeladen haben.


    Menü zur Auswahl des RSA-Zertifikats zur erneuten Signierung
  3. Wählen Sie Übernehmen aus.

HTTPS-Scan-CA konfigurieren, wenn DPI-Modul nicht zum Scannen des Internetverkehrs verwendet wird

  1. Gehen Sie zu Internet > Allgemeine Einstellungen.
  2. Wählen Sie im Abschnitt HTTPS-Entschlüsselung und -Scans die kürzlich signierte Zertifizierungsstelle für CA für HTTPS-Scans aus.

    Die Menüoptionen werden unten angezeigt. Das Zertifikat, das Sie auswählen, sollte mit dem Zertifikat übereinstimmen, das Sie zuvor hochgeladen haben.


    Konfigurieren Sie die HTTPS-Scan-CA für den direkten Proxy
  3. Wählen Sie Übernehmen aus.

Bestätigen, dass das richtige Zertifikat für den Internetverkehr verwendet wird

  1. Öffnen Sie einen Webbrowser, und rufen Sie eine HTTP-Website auf, z.B. google.com.
  2. Klicken Sie auf das Vorhängeschloss-Symbol neben der Adressleiste und wählen Sie Zertifikat.
  3. Wählen Sie Zertifikatspfad.

    Ein Beispiel für einen Zertifikatspfad ist unten dargestellt.


    Zertifikatskette des Browsers
    Sie sollten sehen, dass Ihre neu signierte Zertifizierungsstelle verwendet wird und die Stammzertifizierungsstelle, die zum Signieren der untergeordneten Zertifizierungsstelle verwendet wird.