Fügen Sie untergeordnete und Stammzertifizierungsstellen für TLS-Verkehr hinzu

Dieses Beispiel zeigt, wie Sie die Zertifikatsignieranforderung (CSR) in der Sophos Firewall und die untergeordnete Zertifizierungsstelle (CA) in Active Directory-Zertifikatdiensten (AD CS) im Enterprise-CA-Modus generieren.

Alternativ können Sie ein Drittanbieter-Tool wie OpenSSL verwenden, um die CSR und CAs zu generieren. Sie müssen untergeordnete und Stamm-CAs, die mit Drittanbieter-Tools generiert wurden, auf Zertifikate > Zertifizierungsstellen. Sehen Hinzufügen einer Zertifizierungsstelle.

Sie können die untergeordnete Zertifizierungsstelle als signierende Zertifizierungsstelle für die SSL/TLS-Prüfung, die HTTPS-Entschlüsselung und TLS-Konfigurationen für E-Mails verwenden.

Gehen Sie wie folgt vor:

1. Erstellen Sie eine CSR.
2. Generieren Sie eine untergeordnete Zertifizierungsstelle und laden Sie die untergeordneten und Stammzertifizierungsstellen herunter.
3. Importieren Sie die untergeordnete Zertifizierungsstelle in die Sophos Firewall.
4. Laden Sie die Stammzertifizierungsstelle in die Sophos Firewall hoch.
5. Wenden Sie die untergeordnete CA an.

Erstellen Sie eine CSR

1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

2. Für Aktion, wählen Zertifikatsignieranforderung (CSR) generieren.

   

3. Geben Sie Folgendes an Zertifikatsdetails:

   1. Geben Sie einen Namen ein.
   2. Schlüsseltyp (Beispiel: RSA)
   3. Schlüssellänge (Beispiel: 2048)

   4. Sicherer Hash (Beispiel: SHA - 256)

      Hier ist ein Beispiel:

      

4. Geben Sie Folgendes an Subjektnamenattribute:

   1. Ländername (Beispiel: Vereinigte Staaten)
   2. Zustand (Beispiel: Georgien)
   3. Ortsname (Beispiel: Atlanta)
   4. Name der Organisation (Beispiel: Beispielorganisation)
   5. Name der Organisationseinheit (Beispiel: IT)
   6. Allgemeiner Name (Beispiel: www.exampleorg.com)

   7. E-Mail-Adresse (Beispiel: [email protected])

      Hier ist ein Beispiel:

      

5. Für Alternative Betreffnamen, geben Sie DNS-Namen oder IP-Adressen ein.

   Beispiele: web.exampleorg.com, fd12:3456:789a:1::, 203.0.113.10

   

6. Klicken Speichern.

7. Laden Sie den CSR wie folgt herunter:

   1. Klicken Sie auf die Schaltfläche „Herunterladen“ für die von Ihnen erstellte CSR.

   2. Klicken Sie im Popup-Fenster auf In die Zwischenablage kopieren.

      Hier ist ein Beispiel:

      

Generieren einer untergeordneten Zertifizierungsstelle in Active Directory-Zertifikatdiensten

Sie müssen basierend auf der CSR eine untergeordnete Zertifizierungsstelle generieren. In diesem Beispiel wird AD CS im Enterprise-CA-Modus verwendet.

1. Gehen Sie in AD CS wie folgt vor, um eine untergeordnete Zertifizierungsstelle zu generieren.

   1. Klicken Zertifikat anfordern.

      

   2. Klicken Erweiterte Zertifikatsanforderung.

      

   3. Fügen Sie das kopierte CSR-Zertifikat ein.

   4. Für Zertifikatvorlage, wählen Untergeordnete Zertifizierungsstelle.

   5. Klicken Einreichen.

      Hier ist ein Beispiel:

      

   6. Unter Zertifikat ausgestellt, wählen Sie ein Kodierungsformat aus.

      Dieses Beispiel wählt die Base 64-kodiert Format.

   7. Klicken Zertifikat herunterladen um das untergeordnete CA-Zertifikat herunterzuladen.

      

2. Gehen Sie wie folgt vor, um das Root-CA-Zertifikat herunterzuladen:

   1. Klicken Sie auf der Willkommensseite auf Laden Sie ein CA-Zertifikat herunter.

      

   2. Wählen Sie die Stammzertifizierungsstelle aus, die zum Signieren der untergeordneten Zertifizierungsstelle verwendet wird.

   3. Klicken CA-Zertifikat herunterladen.

      Hier ist ein Beispiel:

      

   4. Klicken Speichern.

Importieren Sie die untergeordnete Zertifizierungsstelle in die Sophos Firewall

Für CAs, die auf Grundlage einer CSR generiert wurden, die Sie auf der Sophos Firewall erstellt haben, müssen Sie die CA wie folgt importieren:

1. Gehe zu Zertifikate > Zertifikate.
2. Klicken Sie auf die Schaltfläche „Importieren“ für die von Ihnen generierte CSR.
3. Klicken Datei auswählen und wählen Sie die untergeordnete Zertifizierungsstelle aus, die Sie von AD CS heruntergeladen haben.

4. Klicken Nur Zertifizierungsstelle.

   Die Firewall erkennt, dass es sich um eine CA handelt und stellt die CA-Optionen zur Verfügung.

5. Ändern Sie bei Bedarf den Namen der Zertifizierungsstelle.

6. Klicken Zertifikat importieren.

   Hier ist ein Beispiel:

   

7. Um die untergeordnete Zertifizierungsstelle in der Liste anzuzeigen, gehen Sie zu Zertifikate > Zertifizierungsstellen.

8. Verwenden Sie den Filter neben Name, geben Sie den Suchbegriff für den Namen der Zertifizierungsstelle ein und klicken Sie auf Anwenden.

   Hier ist ein Beispiel:

   

   Sie können die importierte untergeordnete Zertifizierungsstelle sehen. Die Firewall verknüpft den privaten Schlüssel des CSR automatisch mit der untergeordneten Zertifizierungsstelle.

   

Laden Sie die Stammzertifizierungsstelle in die Sophos Firewall hoch

Um der untergeordneten signierenden Zertifizierungsstelle zu vertrauen, müssen Sie ihre Stammzertifizierungsstelle in die Sophos Firewall hochladen.

1. Gehe zu Zertifikate > Zertifizierungsstellen und klicken Sie auf Hinzufügen.
2. Für Zertifikatauf Durchsuchen und laden Sie die Stammzertifizierungsstelle hoch, die Sie von AD CS heruntergeladen haben.
3. Ändern Sie den Namen, wenn Sie möchten.

4. Unter Zertifikat verwenden für, behalten Sie die folgende Standardauswahl bei: Validierung.

   Die Stammzertifizierungsstelle validiert nur die untergeordnete Zertifizierungsstelle, die Sie importiert haben.

   Hier ist ein Beispiel:

   

5. Klicken Speichern.

Anwenden der Zertifizierungsstelle

Sie können die untergeordnete Zertifizierungsstelle auswählen, um den SSL/TLS-Verkehr erneut zu signieren.

• Sehen Konfigurieren Sie die SSL/TLS-Prüfung und -Entschlüsselung.

  Um sicherzustellen, dass die untergeordneten und Stammzertifizierungsstellen für den Webverkehr verwendet werden, öffnen Sie eine HTTPS-Website, klicken Sie auf das Vorhängeschlosssymbol und überprüfen Sie die Details der sicheren Verbindung.

• Sehen Allgemeine Einstellungen.