Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=certificates-csr-add

Hinzufügen einer Zertifikatsignieranforderung

Sie können Zertifikatsignieranforderungen (CSR) auf der Firewall generieren.

Sie können eine Zertifikatsignieranforderung (CSR) generieren. Eine externe Zertifizierungsstelle (CA) oder eine untergeordnete Zertifizierungsstelle (CA) kann auf Grundlage der CSR ein Zertifikat ausstellen.

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  2. Für Aktion, wählen Zertifikatsignieranforderung (CSR) generieren.

Zertifikatsdetails

  1. Geben Sie einen Namen ein.

  2. Für SchlüsseltypWählen Sie eine der folgenden Optionen aus:

    • RSA
    • Elliptische Kurve

  3. Wählen Sie die Schlüssellänge (für RSA) oder Kurvenname (Elliptische Kurve).

    Größere RSA-Schlüssel bieten mehr Sicherheit, das Ver- und Entschlüsseln von Daten dauert jedoch länger.

  4. Wählen Sie ein Sicherer Hash Algorithmus.

    Hier ist ein Beispiel. Sie müssen die Details Ihrer Domain eingeben.

    Certificate details.

Subjektnamenattribute

Sie müssen einen allgemeinen Namen eingeben. Alle weiteren Felder werden von der Firewall automatisch mit den Angaben aus Ihrer Lizenz ausgefüllt. Sie können diese bei Bedarf ändern.

  1. Ländername: Geben Sie das Land ein, in dem die Firewall eingesetzt wird.
  2. Zustand: Geben Sie das Bundesland oder die Region ein.
  3. Ortsname: Geben Sie die Stadt ein.
  4. Name der Organisation: Geben Sie den Namen des Zertifikatsinhabers ein (Beispiel: Sophos Group)
  5. Name der Organisationseinheit: Geben Sie den Namen der Abteilung ein, der Sie das Zertifikat zuweisen möchten (Beispiel: Marketing).
  6. Allgemeiner Name: Geben Sie den Hostnamen oder FQDN ein (Beispiel: marketing.sophos.com).

  7. Geben Sie die E-Mail-Adresse der Kontaktperson ein.

    Hier ist ein Beispiel:

    Subject name attributes.

Der definierter Name zeigt die konfigurierten Details des Zertifikats und wird dynamisch aktualisiert, wenn Sie Änderungen vornehmen.

Alternative Antragstellernamen (SAN)

Sie müssen mindestens eine SAN oder eine Zertifikats-ID eingeben.

  1. Geben Sie einen DNS-Namen, eine IPv4- oder IPv6-Adresse ein und klicken Sie auf plus button..

    Subject Alternative Names (SANs) definieren die DNS-Namen und IP-Adressen, die das Zertifikat sichert.

    Hier ist ein Beispiel. Sie müssen die Details Ihrer Domain eingeben.

    SAN data.

  2. (Optional) Wenn Sie ein Zertifikat zur Verwendung mit früheren Versionen von SFOS generieren, gehen Sie wie folgt vor:

    1. Klicken Erweiterte Einstellungen.

    2. Für Zertifikats-ID, wählen Sie aus den folgenden Optionen und geben Sie die ID ein:

      • DNS: Geben Sie einen Domänennamen ein. Der Name muss in die IP-Adresse in den DNS-Einträgen aufgelöst werden.
      • IP-Adresse: Eine öffentliche IP-Adresse, die Ihnen gehört.
      • E-Mail: E-Mail-Adresse der Kontaktperson.
      • DER ASN1 DN [X.509]: Verwenden Sie dies, wenn Sie zum Sichern eines Objekts ein digitales Zertifikat angeben.

  3. Klicken Speichern.

    Die CSR wird der Zertifikatsliste hinzugefügt.

CSR kopieren oder herunterladen

  1. Klicken Sie in der Zertifikatsliste auf Download button. für die CSR.

    Download CSR option.

    In einem Dialogfeld wird die Anforderung zur Zertifikatsignierung angezeigt.

  2. Kopieren oder laden Sie die CSR (.csr Datei).

    Dialog box to download a CSR.

Nächste Schritte

  1. Verwenden Sie die kopierte oder heruntergeladene CSR, um ein signiertes Zertifikat oder eine untergeordnete Zertifizierungsstelle von einer Stammzertifizierungsstelle zu erhalten. Siehe Fügen Sie untergeordnete und Stammzertifizierungsstellen für TLS-Verkehr hinzu.
  2. Importieren Sie es in die Firewall. Siehe Importieren eines Zertifikats.

Um eine CSR für ein Let’s Encrypt™-Zertifikat zu generieren, gehen Sie wie folgt vor:

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  2. Für Aktion, wählen Let's Encrypt-Zertifikat anfordern.
  3. Geben Sie einen Namen ein.

  4. In DomänenGeben Sie unter die Domänen an, für die Sie das Zertifikat verwenden möchten. Sie können nur FQDNs eingeben.

    Die Domänenvalidierung basiert auf der HTTP-01-Methode, die keine IP-Adressen und Platzhalterdomänen unterstützt.

  5. In Gehostete AdresseWählen Sie die öffentliche IP-Adresse der WAN-Schnittstelle aus, zu der die Domänen aufgelöst werden.

    Da eine Domänenvalidierungsanforderung über Port 80 an diese IP-Adresse gesendet wird, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

    • Befindet sich die Firewall hinter einem Router mit öffentlicher IP-Adresse, erstellen Sie auf dem Router eine DNAT-Regel, die die öffentliche IP-Adresse über Port 80 in die WAN-Schnittstelle der Firewall übersetzt. Dadurch wird sichergestellt, dass die Validierungsanfrage die Firewall erreicht.
    • Um auf die Anfrage zu antworten, kann die Firewall keine DNAT-Regel für diese IP-Adresse auf Port 80 haben.

  6. Klicken Speichern.

Zertifikatsdetails

Auf der Zertifikate Seite, die Typ Spalte zeigt Lassen Sie uns CSR verschlüsseln für diese CSR.

Shows the Let's Encrypt CSR.

Es dauert einige Minuten, bis die Zertifizierungsstelle die CSR validiert. Nach der Validierung wird die Gültig ab Und Gültig bis Spalten zeigen die Gültigkeitsdaten und die Vertrauenswürdig Spalte zeigt ein grünes Häkchen. Sie können jetzt auf Herunterladen Download button. um das Zertifikat herunterzuladen.

Shows the validated Let's Encrypt certificate.

Warnung

Sie können die CSR nicht bearbeiten, wenn die Domäne ungültig ist oder nicht existiert. In diesen Fällen müssen Sie die CSR löschen und eine neue erstellen.

Lass uns verschlüsseln ist eine Marke der Internet Security Research Group. Alle Rechte vorbehalten.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen