Moin,
für die Extended Protection bei Exchange muss ja das Zertifikat im Netzwerk überall gleich sein. Grundsätzlich denke ich das es am einfachsten ist, wenn die UTM die Zertifikate erstellt und erneuert. Mit der CLI kann ich ja auch Zertifikate exportieren und die damit dann auch im Exchange und IIS importieren. Hat jemand sowas schon mal gemacht und hierfür ein Skript erstellt? Meine Überlegung wäre jetzt mit Powershell vorzugehen, allerdings bin ich da noch ein wenig unsicher wie sich das am besten bewerkstelligen lässt.
- Verbinden per SSH
- spcli cert export id ...
- Windows kann kein scp, da fängt es also schon das ich nicht weiß wie ich das exportierte Zertifikat übertragen kann
- Mit Powershell dann das Zertifikat importieren
Oder ist das alles zu kompliziert gedacht?
Zertifikate exportieren bspw. für Exchange Extended Protection
Moderator: Securepoint
-
Torben Andresen
- Beiträge: 30
- Registriert: Fr 01.10.2021, 08:53
-
JVierkotten
- Beiträge: 8
- Registriert: Do 17.10.2019, 15:00
Hallo Herr Andresen,
diese Feature habe ich schon von Ewigkeiten gefordert, das wird wohl nicht kommen. SP hat da seine eigenen Vorstellungen. Zertifikate / Let´s Encrypt und OTP sowas neu modisches wird wohl nicht gebraucht und eine Öffnung an andere Anbieter wird nicht als nötig angesehen. Deshalb steht es nicht auf auf der Roadmap. Wofür auch sollte. Man muss wohl doch Richtung Sophos denken :-) die unterstützen das schon seit Jahren.
Grüße
Jens
diese Feature habe ich schon von Ewigkeiten gefordert, das wird wohl nicht kommen. SP hat da seine eigenen Vorstellungen. Zertifikate / Let´s Encrypt und OTP sowas neu modisches wird wohl nicht gebraucht und eine Öffnung an andere Anbieter wird nicht als nötig angesehen. Deshalb steht es nicht auf auf der Roadmap. Wofür auch sollte. Man muss wohl doch Richtung Sophos denken :-) die unterstützen das schon seit Jahren.
Grüße
Jens
-
Torben Andresen
- Beiträge: 30
- Registriert: Fr 01.10.2021, 08:53
Hallo Herr Vierkotten,
haben Sie das auch in der Wunschbox eingetragen? Auf die schnelle habe ich nichts gefunden, sonst könnte ich den Wunsch dort unterstützen.
haben Sie das auch in der Wunschbox eingetragen? Auf die schnelle habe ich nichts gefunden, sonst könnte ich den Wunsch dort unterstützen.
-
JVierkotten
- Beiträge: 8
- Registriert: Do 17.10.2019, 15:00
Hallo Herr Torben,
nichts für ungut aber die Wunschbox ist die Mühe nicht wert. Selbst wenn ein Wunsch als dringend von vielen Leuten gewünscht wird kann man von Glück reden wenn es nach drei bis vier Jahren umgesetzt wird.
Ich empfehle die entsprechenden Funktionen am besten auszulagern wenn man Sie benötigt.
Grüße
Jens
nichts für ungut aber die Wunschbox ist die Mühe nicht wert. Selbst wenn ein Wunsch als dringend von vielen Leuten gewünscht wird kann man von Glück reden wenn es nach drei bis vier Jahren umgesetzt wird.
Ich empfehle die entsprechenden Funktionen am besten auszulagern wenn man Sie benötigt.
Grüße
Jens
Windows kann in zwischen SCP.
Man kann sich somit per Powershell/ Python ein Script generieren, was sich per SSH zur UTM verbindet, spcli mit JSON-Output startet und das Zertifikat entsprechend exportiert. Je nach Situation muss jedoch geschaut werden, ob eine Download-ID zurück gegeben wird oder der Inhalt des Zertifikates. Darauf muss das Script korrekt reagieren. Über die Download-ID kann dann ein Download-Link erzeugt werden der die Datei herunter lädt. Bekommt man den Inhalt des Zertifikates im Klartext muss das entsprechend geparst und in eine Datei geschrieben werden. Das wäre jetzt so ein grober Plan, wie ich das umsetzen würde.
So kann man sich auch seine Konfiguration sichern. Ist die SSD kaputt gibt die UTM die Konfiguration aktuell als Base64-Enkodierten Text direkt aus. Sonst bekommt man eine Download-ID geliefert.
SPCLI mit JSON Output startet man so:
Man kann sich somit per Powershell/ Python ein Script generieren, was sich per SSH zur UTM verbindet, spcli mit JSON-Output startet und das Zertifikat entsprechend exportiert. Je nach Situation muss jedoch geschaut werden, ob eine Download-ID zurück gegeben wird oder der Inhalt des Zertifikates. Darauf muss das Script korrekt reagieren. Über die Download-ID kann dann ein Download-Link erzeugt werden der die Datei herunter lädt. Bekommt man den Inhalt des Zertifikates im Klartext muss das entsprechend geparst und in eine Datei geschrieben werden. Das wäre jetzt so ein grober Plan, wie ich das umsetzen würde.
So kann man sich auch seine Konfiguration sichern. Ist die SSD kaputt gibt die UTM die Konfiguration aktuell als Base64-Enkodierten Text direkt aus. Sonst bekommt man eine Download-ID geliefert.
SPCLI mit JSON Output startet man so:
Beispiel:spcli -j
root@firewall:14.0.4 (Final):~# spcli -j
system interface info
{
"result": {
"module": "server",
"code": 200,
"status": "OK",
"content": [
{
"name": "product_id",
"value": "B760M-SILVER"
},
{
"name": "slots",
"value": [
"LAN"
]
},
{
"name": "LAN",
"value": [
"LAN1",
"LAN2",
"LAN3",
"LAN4",
"LAN5",
"LAN6",
"LAN7",
"LAN8"
]
}
]
},
"version": "11.6"
}
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Ich habe gerade noch einmal geschaut: Die Export-Funktion der Zertifikate per SSH gibt das Zertifikat komplett aus. Somit keine Download-ID. Den Link mit der Download-ID zu verwenden ist auch schwierig, da ich gerade gesehen habe, das dies nur mit einer Session ID funktioniert. Logischerweise.
Ist man per SSH verbunden wird auch die Konfiguration direkt als Base64 ausgegeben. Das mit der Download-ID ist somit komplett hinfällig. Damit sollte sich ein Script also relativ zügig anfertigen lassen.
Ist man per SSH verbunden wird auch die Konfiguration direkt als Base64 ausgegeben. Das mit der Download-ID ist somit komplett hinfällig. Damit sollte sich ein Script also relativ zügig anfertigen lassen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
Torben Andresen
- Beiträge: 30
- Registriert: Fr 01.10.2021, 08:53
Dabei werden an den Anfang aber zwei Zeilen geschrieben, die bei mir schon Probleme beim importieren eines Zertifikats machen. Vom Support habe ich dann den Hinweis bekommen, das mit "sed" zu bereinigen:
Code: Alles auswählen
spcli cert export pkcs12 id "1234" password xxx | sed '1,2d' > cert.p12