Zertifikate

Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > Zertifikate können Sie öffentliche Schlüssel-Zertifikate im X.509-Standard erstellen oder importieren. Solche Zertifikate sind digital signierte Bescheinigungen, die üblicherweise von einer Zertifizierungsstelle (CA, Certificate Authority) ausgestellt werden und einen öffentlichen Schlüssel mit einem bestimmten Distinguished Name (DN) in X.500-Schreibweise verknüpfen.

Alle Zertifikate, die Sie auf dieser Registerkarte erzeugen, enthalten einen RSAClosed-Schlüssel. Sie sind von der selbst signierten Zertifizierungsstelle (CA) VPN Signing CA signiert, die automatisch mit den Informationen erstellt wurde, die Sie während der ersten Anmeldung am WebAdmin angegeben haben.

Um ein Zertifikat neu zu generieren, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.

    Das Dialogfeld Zertifikat hinzufügen wird geöffnet.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.

    Methode: Um ein Zertifikat zu erstellen, wählen Sie Generieren aus (weitere Informationen zum Hochladen von Zertifikaten finden Sie weiter unten).

    Schlüssellänge: Die Länge des RSA-Schlüssels. Je länger der Schlüssel, desto sicherer ist er. Sie können zwischen den Schlüssellängen 1024, 2048 oder 4096 Bit wählen. Verwenden Sie die größtmögliche Schlüssellänge, die mit Ihren Anwendungen und Ihrer Hardware kompatibel ist. Solange mit dem längeren Schlüssel keine kritischen Leistungsprobleme für Ihre spezifischen Zwecke auftreten, sollten Sie auf keinen Fall die Schlüssellänge reduzieren, um die Leistung zu optimieren.

    VPN-ID-Typ: Legen Sie eine einzigartige Identifikation für das Zertifikat fest. Die folgenden Identifikationsarten sind verfügbar:

    • E-Mail-Adresse
    • Hostname
    • IPClosed-Adresse
    • Distinguished Name

    VPN-ID: Tragen Sie, abhängig von dem gewählten VPNClosed-IDClosed-Typ, den passenden Wert in das Feld ein. Beispiel: Wenn Sie in der Auswahlliste VPN-ID-Typ IP-Adresse gewählt haben, geben Sie eine IP-Adresse in dieses Textfeld ein. Beachten Sie, dass dieses Textfeld verborgen ist, wenn Sie in der Auswahlliste VPN-ID-TypDistinguished Name gewählt haben.

    Verwenden Sie die Auswahllisten und Textfelder Land bis E-Mail, um die Informationen zum Zertifikatsinhaber einzutragen. Diese Informationen werden dazu verwendet, den Distinguished Name zu erstellen, d.h. den Namen der Instanz, deren öffentlichen Schlüssel das Zertifikat identifiziert. Dieser Name enthält viele persönliche Informationen im X.500-Standard, weswegen davon ausgegangen wird, dass dieser Name im gesamten Internet einzigartig ist. Falls das Zertifikat für eine Road-Warrior-Verbindung verwendet wird, geben Sie den Namen des Benutzers in das Feld Allgemeiner Name ein. Wenn das Zertifikat für einen Host ist, geben Sie einen Hostnamen ein.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Das Zertifikat wird in der Liste Zertifikate angezeigt.

Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen des entsprechenden Zertifikats.

Um alternativ ein Zertifikat hochzuladen (zu importieren), gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.

    Das Dialogfeld Zertifikat hinzufügen wird geöffnet.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.

    Methode: Um ein Zertifikat zu importieren, wählen Sie Hochladen aus.

    Dateityp: Wählen Sie den Dateityp des Zertifikats aus. Sie können Zertifikate der folgenden Dateitypen hochladen: Sie können Zertifikate der folgenden Dateitypen hochladen:

    • PKCS#12 (Zert+CA): PKCS bezieht sich auf eine Gruppe von Public Key Cryptography Standards (dt. etwa Standards für die Kryptografie öffentlicher Schlüssel), die von den RSA Laboratories entwickelt und veröffentlicht wurden. Das Dateiformat PKCS#12 wird gemeinhin dafür benutzt, private Schlüssel mit dem zugehörigen öffentlichen Schlüsselzertifikat zu speichern und mit einem Kennwort zu schützen. Sie müssen dieses Container-Kennwort kennen, um Dateien in diesem Format hochladen zu können.
    • PEM (nur Zert.): Ein Base64-kodiertes Format (Privacy Enhanced Mail, PEM), das kein Kennwort erfordert.

    Datei: Klicken Sie auf das Ordnersymbol neben dem Feld Datei und wählen Sie das Zertifikat aus, das hochgeladen werden soll.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Das Zertifikat wird in der Liste Zertifikate angezeigt.

Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen des entsprechenden Zertifikats.

Sie können das Zertifikat entweder im PKCS#12- oder PEM-Format herunterladen. Die PEM-Datei enthält nur das Zertifikat selbst, wohingegen die PKCS#12-Datei auch noch den privaten Schlüssel sowie das CA-Zertifikat enthält, mit dem das Zertifikat signiert wurde.

Hinweis – Zertifikate haben einen Gültigkeitszeitraum. 30 Tage bevor ein Zertifikat ausläuft, wird eine Markierung im WebAdmin hinzugefügt und Sie erhalten eine E-Mail-Benachrichtigung.