Hinzufügen einer Zertifizierungsstelle
Sie können externe Zertifizierungsstellen (CAs) in die Sophos Firewall hochladen.
Um diese CAs extern zu generieren, können Sie die Certificate Signing Request (CSR) der Firewall oder eine externe CSR verwenden.
Notiz
Wenn ein CA-Zertifikat, das zum Signieren vorgesehen ist, z. B. für SSL/TLS- und HTTPS-Entschlüsselung, eine Extended Key Usage section
, muss es enthalten die TLS Web Server Authentication
Flagge.
Um eine CA zu importieren, gehen Sie wie folgt vor:
- Gehe zu Zertifikate > Zertifizierungsstellen und klicken Sie auf Hinzufügen.
-
Laden Sie das CA-Zertifikat hoch oder fügen Sie die Zertifikatsdaten ein.
Die Sophos Firewall erkennt das Zertifikatsformat automatisch. Sie unterstützt X.509-Zertifikate in
.pem
,.der
, Und.cer
Formate. -
Die Firewall versucht herauszufinden, ob eine passende CSR vorhanden ist. Gehen Sie dazu wie folgt vor:
Wenn die CA mit einem vorhandenen CSR übereinstimmt, wählt Sophos Firewall automatisch den Zweck der CA als Signieren und Validieren.
Die Firewall verwendet den Namen des passenden CSR für die CA.
- Ändern Sie den automatisch zugewiesenen Namen, wenn Sie möchten.
- Klicken Speichern.
Wenn Sie versuchen, eine CA hochzuladen, die nicht mit einer auf der Sophos Firewall generierten CSR übereinstimmt, werden zusätzliche Optionen angezeigt.
-
Wählen Sie den Zweck der Zertifizierungsstelle aus:
- Nur Validierung
- Signieren und Validieren: Laden Sie den privaten Schlüssel hoch und geben Sie das Kennwort für den privaten Schlüssel ein, um ihn zu verschlüsseln. Das Kennwort darf maximal 30 Zeichen lang sein.
Warnung
Ändern Sie die für die erneute Signatur verwendeten CAs nicht in Nur Validierung. Neusignierende CAs sind erforderlich, um SSL/TLS-Verkehr nach seiner Entschlüsselung erneut zu verschlüsseln.
Stellen Sie sicher, dass Sie nur ein CA-Set verwenden für Signieren und Validieren in den folgenden Konfigurationen:
- Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln > SSL/TLS-Überprüfungseinstellungen
- Profile > Entschlüsselungsprofile
- Web > Allgemeine Einstellungen unter HTTPS-Entschlüsselung und -Scan
-
Geben Sie einen Namen ein.
- Klicken Speichern.