Fügen Sie untergeordnete und Stammzertifizierungsstellen für den TLS-Verkehr hinzu.

Dieses Beispiel zeigt, wie man die Zertifikatsignierungsanforderung (CSR) in der Sophos Firewall und die untergeordnete Zertifizierungsstelle (CA) in den Active Directory-Zertifikatdiensten (AD CS) im Enterprise-CA-Modus generiert.

Alternativ können Sie ein Drittanbieter-Tool wie OpenSSL verwenden, um die CSR und die Zertifizierungsstellen zu generieren. Sie müssen die mit Drittanbieter-Tools generierten untergeordneten und Stammzertifizierungsstellen hochladen auf Zertifikate > Zertifizierungsbehörden. Sehen Fügen Sie eine CA hinzu.

Sie können die untergeordnete Zertifizierungsstelle als signierende Zertifizierungsstelle für SSL/TLS-Inspektion, HTTPS-Entschlüsselung und TLS-Konfigurationen für E-Mails verwenden.

Gehen Sie wie folgt vor:

1. Erstellen Sie eine CSR.
2. Generieren Sie eine untergeordnete Zertifizierungsstelle und laden Sie die untergeordnete und die Stammzertifizierungsstelle herunter.
3. Importieren Sie die untergeordnete Zertifizierungsstelle in die Sophos Firewall.
4. Laden Sie die Root-CA auf die Sophos Firewall hoch.
5. Wenden Sie den untergeordneten CA an.

Erstellen Sie eine CSR

1. Gehe zu Zertifikate > Zertifikate und klicken Hinzufügen.

2. Für Aktion, wählen Zertifikatsignierungsanforderung (CSR) generieren.

   

3. Geben Sie Folgendes an Zertifikatsdetails:

   1. Geben Sie einen Namen ein.
   2. Schlüsseltyp (Beispiel: RSA)
   3. Schlüssellänge (Beispiel: 2048)

   4. Sicherer Hash (Beispiel: SHA - 256)

      Hier ein Beispiel:

      

4. Geben Sie Folgendes an Attribute des Subjektnamens:

   1. Ländername (Beispiel: Vereinigte Staaten)
   2. Zustand (Beispiel: Georgien)
   3. Ortsname (Beispiel: Atlanta)
   4. Name der Organisation (Beispiel: Beispielorganisation)
   5. Name der Organisationseinheit (Beispiel: IT)
   6. Gebräuchlicher Name (Beispiel: www.exampleorg.com)

   7. E-Mail-Adresse (Beispiel: email@exampleorg.com)

      Hier ein Beispiel:

      

5. Für Alternative Bezeichnungen für das Fach: Geben Sie DNS-Namen oder IP-Adressen ein.

   Beispiele: web.exampleorg.com, fd12:3456:789a:1::, 203.0.113.10

   

6. Klicken Speichern.

7. Laden Sie den CSR wie folgt herunter:

   1. Klicken Sie auf den Download-Button für den von Ihnen erstellten CSR.

   2. Klicken Sie im Popup-Fenster In die Zwischenablage kopieren.

      Hier ein Beispiel:

      

Generieren einer untergeordneten Zertifizierungsstelle in den Active Directory-Zertifikatdiensten

Sie müssen eine untergeordnete Zertifizierungsstelle basierend auf dem CSR generieren. Dieses Beispiel verwendet AD CS im Enterprise-CA-Modus.

1. In AD CS gehen Sie wie folgt vor, um einen untergeordneten CA zu erzeugen.

   1. Klicken Fordern Sie ein Zertifikat an.

      

   2. Klicken Erweiterter Zertifikatsantrag.

      

   3. Fügen Sie das kopierte CSR-Zertifikat ein.

   4. Für Zertifikatvorlage, wählen Untergeordnete Zertifizierungsbehörde.

   5. Klicken Einreichen.

      Hier ein Beispiel:

      

   6. Unter Zertifikat ausgestellt: Wählen Sie ein Kodierungsformat aus.

      Dieses Beispiel wählt die Base64-kodiert Format.

   7. Klicken Zertifikat herunterladen um das untergeordnete CA-Zertifikat herunterzuladen.

      

2. Gehen Sie wie folgt vor, um das Root-CA-Zertifikat herunterzuladen:

   1. Klicken Sie auf der Willkommensseite Laden Sie ein CA-Zertifikat herunter.

      

   2. Wählen Sie die Stammzertifizierungsstelle aus, die zum Signieren der untergeordneten Zertifizierungsstelle verwendet wird.

   3. Klicken CA-Zertifikat herunterladen.

      Hier ein Beispiel:

      

   4. Klicken Speichern.

Importieren Sie die untergeordnete Zertifizierungsstelle in die Sophos Firewall.

Für Zertifizierungsstellen, die auf Basis eines von Ihnen auf der Sophos Firewall erstellten CSR generiert wurden, müssen Sie die Zertifizierungsstelle wie folgt importieren:

1. Gehe zu Zertifikate > Zertifikate.
2. Klicken Sie auf die Importieren-Schaltfläche. für den von Ihnen erstellten CSR.
3. Klicken Datei auswählen und wählen Sie die untergeordnete Zertifizierungsstelle aus, die Sie von AD CS heruntergeladen haben.

4. Klicken Zertifizierungsstelle.

   Die Firewall erkennt, dass es sich um eine Zertifizierungsstelle handelt und stellt die Optionen der Zertifizierungsstelle zur Verfügung.

5. Sie können den Namen der Zertifizierungsstelle ändern, wenn Sie möchten.

6. Klicken Importzertifikat.

   Hier ein Beispiel:

   

7. Um die untergeordnete CA in der Liste anzuzeigen, gehen Sie zu Zertifikate > Zertifizierungsbehörden.

8. Verwenden Sie den Filter neben Name: Geben Sie den Suchbegriff für den Namen der Zertifizierungsstelle ein und klicken Sie auf Anwenden.

   Hier ein Beispiel:

   

   Sie können die importierte untergeordnete Zertifizierungsstelle sehen. Die Firewall ordnet den privaten Schlüssel des CSR automatisch der untergeordneten Zertifizierungsstelle zu.

   

Laden Sie die Root-CA in die Sophos Firewall hoch.

Um der untergeordneten Signatur-CA zu vertrauen, müssen Sie deren Stamm-CA auf die Sophos Firewall hochladen.

1. Gehe zu Zertifikate > Zertifizierungsbehörden und klicken Hinzufügen.
2. Für Zertifikat, klicken Durchsuchen und laden Sie die Stammzertifizierungsstelle hoch, die Sie von AD CS heruntergeladen haben.
3. Sie können den Namen ändern, wenn Sie möchten.

4. Unter Zertifikat verwenden für, die folgende Standardauswahl beibehalten: Validierung.

   Die Stammzertifizierungsstelle validiert nur die importierte untergeordnete Zertifizierungsstelle.

   Hier ein Beispiel:

   

5. Klicken Speichern.

Wenden Sie die CA an.

Sie können die untergeordnete Zertifizierungsstelle auswählen, die den SSL/TLS-Datenverkehr neu signieren soll.

• Sehen SSL/TLS-Prüfung und -Entschlüsselung konfigurieren.

  Um sicherzustellen, dass die untergeordneten und Stammzertifizierungsstellen für den Webverkehr verwendet werden, öffnen Sie eine HTTPS-Website, klicken Sie auf das Schlosssymbol und überprüfen Sie die Details der sicheren Verbindung.

• Sehen Allgemeine Einstellungen.