CA

Auf der Registerkarte Site-to-Site-VPN > Zertifikatsverwaltung > CA können Sie neue Zertifizierungsstellen für Ihr System hinzufügen. Eine Zertifizierungsstelle (CA, Certificate Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur Person oder Organisation, zum Host oder einer anderen Instanz gehört, die/der im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des CA-eigenen Zertifikats signiert wird. Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet.

Auf der UTM wurde die Signierungs-CAClosed automatisch während der ersten Anmeldung an der UTM generiert, wobei die angegebenen Informationen verwendet wurden. Dadurch sind alle Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das bedeutet, dass Aussteller und Inhaber identisch sind. Alternativ können Sie jedoch eine Signierungs-CA eines Drittanbieters importieren. Darüber hinaus können Sie auch andere CA-Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität eines Hosts oder Benutzers zu überprüfen, der versucht, sich über IPsecClosed zu verbinden. Diese CA-Zertifikate wiederum werden als Verifizierungs-CAs bezeichnet und können auch auf dieser Registerkarte importiert werden.

Wichtiger Hinweis – Auf Ihrem System können mehrere Verifizierungs-CAs vorhanden sein, allerdings nur eine Signierungs-CA. Wenn Sie also eine neue Signierungs-CA hochladen, wird die zuvor installierte Signierungs-CA automatisch in eine Verifizierungs-CA umgewandelt.

Um eine CA hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte CA auf Neue CA.

    Das Dialogfeld CA hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für diese CA ein.

    Typ: Wählen Sie den CA-Typ, den Sie importieren werden. Sie können zwischen Verifizierungs-CA und Signierungs-CA wählen. Eine Verifizierungs-CA muss im PEM-Format vorliegen, wohingegen eine Signierungs-CA im PKCS#12-Format vorliegen muss.

    CA-Zertifikat: Klicken Sie auf das Ordner-Symbol neben dem Feld CA-Zertifikat und wählen Sie die zu importierende Datei aus. Wenn Sie eine neue Signierungs-CA hochladen, beachten Sie, dass Sie das Kennwort eingeben müssen, mit dem der PKCS#12-Container gesichert wurde.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Das neue CA-Zertifikat wird in der Liste CA angezeigt.

Um eine CA zu löschen, klicken Sie auf die Schaltfläche Löschen der entsprechenden CA.

Die Signierungs-CA kann im PKCS#12-Format heruntergeladen werden. Sie werden daraufhin aufgefordert, ein Kennwort einzugeben, das zur Sicherung des PKCS#12-Containers benutzt wird. Außerdem können Sie Verifizierungs-CAs im PEM-Format herunterladen.