Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=certificates-lets-encrypt

Let's Encrypt™ Zertifizierungsstelle (CA)

Sie können die Let's Encrypt™-Zertifizierungsstelle (CA) verwenden, um vertrauenswürdige Zertifikate für öffentliche Domains zu erstellen. Die Let's Encrypt-CA nutzt einen automatisierten Prozess zum Erstellen, Signieren, Validieren und Erneuern der Zertifikate. Sie stellt X.509-Zertifikate aus.

Let's Encrypt-Zertifikate erstellen

Um Let's Encrypt-Zertifikate zu erstellen, müssen Sie sich bei der Let's Encrypt-Zertifizierungsstelle registrieren. Anschließend können Sie Zertifikatsignierungsanforderungen (CSRs) generieren, um Let's Encrypt-Zertifikate anzufordern. Nachdem die Let's Encrypt-Zertifizierungsstelle die CSR validiert hat, wird sie zu einem gültigen, vertrauenswürdigen Zertifikat und kann mit SFOS-Funktionen verwendet werden.

Die Let's Encrypt-Zertifizierungsstelle muss mit der Firewall kommunizieren, um die CSR zu validieren. Für diese Kommunikation erstellt die Firewall temporär eine WAF-Regel. Nachdem die Zertifizierungsstelle die CSR validiert hat, löscht die Firewall die Regel. Daher kann während der Validierung der CSR eine WAF-Regel auf der Firewall sichtbar sein. Regeln und Richtlinien Seite.

Anforderungen

  • Die DNS-Einträge aller Domains im Let's Encrypt-Zertifikat müssen öffentlich sein. Sie müssen auf die WAN-IP-Adresse der Firewall oder eine IP-Adresse verweisen, die über eine NAT-Regel oder Port 80 an die Firewall-Schnittstelle weitergeleitet wird. Verwenden Sie einen öffentlichen DNS-Checker wie z. B. DNS-Prüfer um die Domänen zu überprüfen.
  • Die DNS-Einträge müssen bei allen DNS-Anbietern auf dieselbe IP-Adresse verweisen. Vermeiden Sie unterschiedliche Auflösungen je nach Standort. Verwenden Sie einen öffentlichen DNS-Checker wie beispielsweise [Name des DNS-Checkers einfügen]. DNS-Prüfer um zu überprüfen, ob die Adressen für alle Regionen identisch sind.
  • Im DNS-Eintrag darf nur eine einzige IP-Adresse enthalten sein. Mehrere IP-Adressen im DNS-Eintrag funktionieren nur dann, wenn es sich bei den IP-Adressen nicht um die WAN-IP-Adresse der Firewall handelt, sondern um die IP-Adressen anderer Firewalls, die HTTP-Datenverkehr an die Firewall weiterleiten.
  • Der HTTP-Port 80 darf nicht durch eine Firewall-Regel oder ein vorgelagertes Gerät blockiert werden, einschließlich GeoIP-Firewall-Regeln.
  • Stellen Sie sicher, dass für die öffentliche IP-Adresse der WAN-Schnittstelle der Firewall auf Port 80 keine DNAT-Regeln gelten, damit die Validierungsanfrage von Let's Encrypt nicht an ein anderes Gerät gesendet wird.
  • Stellen Sie sicher, dass keine SD-WAN-Routen ausgehenden HTTP-Datenverkehr an ein anderes Gerät weiterleiten, wodurch verhindert wird, dass dieser Let's Encrypt erreicht.
  • Die Let's Encrypt-Zertifizierungsstelle befindet sich in vielen Ländern. Stellen Sie daher sicher, dass eine GeoIP-Firewall-Regel den Datenverkehr nicht blockiert.

Einschränkungen

  • Let's Encrypt-Zertifikate können nicht für Remote Access VPN, Site-to-Site VPN und den Chromebook SSO-Authentifizierungsdienst verwendet werden.
  • Die Firewall unterstützt Let's Encrypt-Zertifikate nur über IPv4.
  • Während der Validierungsperiode der Let's Encrypt-Zertifizierungsstelle für einen beliebigen CSR sind die durch WAF-Regeln geschützten Webanwendungen über die Firewall nicht erreichbar.

Registrieren Sie sich bei der Let's Encrypt-Zertifizierungsstelle.

Zur Registrierung gehen Sie wie folgt vor:

  1. Gehe zu Zertifikate > Let's Encrypt.
  2. Lesen Sie die Let's Encrypt-Abonnementvereinbarung und die weiteren Geschäftsbedingungen. Siehe Richtlinien- und Rechtsarchiv.

  3. Klicken Konto registrieren.

    Wenn Sie klicken Konto registrieren: Sie bestätigen und akzeptieren Folgendes: Let's Encrypt-Abonnentenvereinbarung.

    Wenn sich die Bedingungen der Abonnementvereinbarung ändern, müssen Sie klicken Konto registrieren Sie müssen sich erneut registrieren, um die Let's Encrypt-Zertifizierungsstelle weiterhin nutzen zu können. Wenn Sie sich nicht erneut registrieren, werden Ihre bestehenden Zertifikate nicht verlängert und Sie können keine neuen erstellen.

    Wenn sich die Vereinbarung ändert, benachrichtigt Sie die Firewall auf folgende Weise:

    • Sendet eine E-Mail-Benachrichtigung an den Administrator.
    • Zeigt eine Warnmeldung an in Kontrollzentrum.

Zum Abmelden klicken Sie hier. Konto abmelden.

Fügen Sie ein Let's Encrypt-Zertifikat hinzu

Informationen zum Hinzufügen eines Let's Encrypt-Zertifikats finden Sie hier: Beantragen Sie ein Let's Encrypt-Zertifikat.

Automatische Zertifikatserneuerung

Let's Encrypt-Zertifikate sind 90 Tage gültig. Die Firewall sendet eine Anfrage an die Let's Encrypt-Zertifizierungsstelle (CA), um Zertifikate zu erneuern, deren Gültigkeit in weniger als 30 Tagen abläuft. Die Let's Encrypt-CA erneuert diese Zertifikate dann automatisch.

Ihre bestehenden Zertifikate werden nicht erneuert, wenn Sie sich bei der Let's Encrypt-Zertifizierungsstelle abmelden.

Warnung

Let's Encrypt-Zertifikate, die im Rahmen des Early Access Program (EAP) mit einer dynamischen IP-Adresse erstellt wurden, werden in der allgemein verfügbaren (GA) Version möglicherweise nicht automatisch erneuert. Löschen Sie diese Zertifikate und erstellen Sie sie neu.

Let's Encrypt ist eine Marke der Internet Security Research Group. Alle Rechte vorbehalten.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen