Webservice Zertifikat / Windows Server

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Webservice Zertifikat / Windows Server

Beitrag von it@ff-don.de »

Hallo zusammen,

ich würde gerne das Thema Zertifikate endlich mal in angriff nehmen, leider verstehe ich die Securepoint anleitung zu dem Thema nicht 100%.

Ich würde gerne den Proxy und den Webservice mit einem eigenem Zertifikat versorgen, dieser soll von der AD internen Zertifikatsstelle ausgestellt werden.

Leider gibt mir die Securepoint keine Zertifikatsanforderung und ohne weis ich nicht genau wie ich da vorgehen soll.

Gruß Dennis

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

im Webinterface können Sie keinen CST für die UTM erstellen.
Entweder Sie erstellen über einen Windows Server/ Client per CERTUTIL / CERTREQ einen CSR oder aber mit OpenSSL (Das gibt es auch auf der Firewall als Benutzer 'root').

Gruß 

Kenneth

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

kennethj hat geschrieben:Hallo,

im Webinterface können Sie keinen CST für die UTM erstellen.
Entweder Sie erstellen über einen Windows Server/ Client per CERTUTIL / CERTREQ einen CSR oder aber mit OpenSSL (Das gibt es auch auf der Firewall als Benutzer 'root').

Gruß 

Kenneth
Hallo, danke für deine Antwort... soweit so gut... wie kriegen ich jetzt die .csr aus der Securepoint raus ;) damit ich diese gegen meine zertifizierungsstelle zertifizieren kann?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

Wenn Sie denn per root via OpenSSL erstellt haben, können Sie diesen per WinSCP als root von der UTM herunterladen.
 Alternativ können Sie sich mit cat den Inhalt der Datei anzeigen lassen und dann copy & paste.

Gruß

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

kennethj hat geschrieben:Hallo,

Wenn Sie denn per root via OpenSSL erstellt haben, können Sie diesen per WinSCP als root von der UTM herunterladen.
 Alternativ können Sie sich mit cat den Inhalt der Datei anzeigen lassen und dann copy & paste.

Gruß
Danke für die Antwort, bin mittlerweile auch darauf gekommen :)
Jetzt bin ich am nächsten problem, da ich anscheinend das Handbuch falsch verstanden habe.
Ich wollte mit dem Erstellten Zertifikat eigentlich den SSL Intercept benutzen, leider geht das nicht da er ein CA Zertifkat benötigt :( habe ich leider völlig verpennt.
Meine Windows Domäne kann ja eine Untergeordnete CA erstellen, leider kriege ich das nicht Importiert
Folgende Fehlermeldung erscheint.    x509.x509_subject_key_identifier
Wie genau schaut so ein zertifikat aus? bzw welche bestanddteile sind darin enthalten?

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Dennis,

du kannst die untergeordnete CA aus dem AD als PKCS12 exportieren und dann in die UTM importieren, dann sind alle öffentlichen Teile der übergeordneten CAs direkt mit inb der Datei enthalten.

Für die SSL-Interception brauchst du den öffentlichen und privaten Teil der CA, die dazu verwendet werden soll. 

Alternativ kannst du auf der UTM eine CA erstellen und diese dann über GPO an deine Clients ausrollen ;-)

Grüße
Svenja

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

Svenja hat geschrieben:Hallo Dennis,

du kannst die untergeordnete CA aus dem AD als PKCS12 exportieren und dann in die UTM importieren, dann sind alle öffentlichen Teile der übergeordneten CAs direkt mit inb der Datei enthalten.

Für die SSL-Interception brauchst du den öffentlichen und privaten Teil der CA, die dazu verwendet werden soll. 

Alternativ kannst du auf der UTM eine CA erstellen und diese dann über GPO an deine Clients ausrollen ;-)

Grüße
Svenja
Hi,
Habe es jetzt hinbekommen, ist doch nicht so einfach. Habe dafür diese Hilfestellung hergenommen:

https://www.boc.de/watchguard-info-port ... indows-ca/

Antworten