Zur Startseite gehen
0,00 €*

Seiten-Permalink

Verwenden Sie beim Verweisen auf diese Seite immer den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=certificates-add

Zertifikat hinzufügen

Sie können externe Zertifikate hochladen und lokal signierte Zertifikate und Zertifikatsignieranforderungen (CSR) auf der Sophos Firewall generieren.

Warnung

Wir empfehlen, die Firewall-Uhr auf den vordefinierten NTP-Server oder benutzerdefinierte NTP-Server in Ihrem Netzwerk einzustellen. NTP-Server verwenden die koordinierte Weltzeit (UTC), die auch von Zertifizierungsstellen verwendet wird. Siehe Zeit.

Das manuelle Einstellen der Firewall-Uhr kann zu ungenauen Datums- und Uhrzeitangaben führen, was zu Fehlern beim Importieren von Zertifikaten führen kann.

Um ein extern generiertes Zertifikat auf die Firewall hochzuladen, gehen Sie wie folgt vor.

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Wählen Sie die Zertifikatdateiformat aus den folgenden Optionen:

    • PEM (.pem): Base64-codierte Form des DER-Zertifikats. Zertifikat und privater Schlüssel werden in unterschiedlichen Dateien gespeichert.
    • DER (.der): Binäre Form des PEM-Zertifikats, das auf der Java-Plattform verwendet wird. Zertifikat und privater Schlüssel werden in verschiedenen Dateien gespeichert.
    • CER (.cer): Binäre Form. Enthält Informationen zum Zertifikatsinhaber und den öffentlichen Schlüssel.
    • PKCS7 (.p7b): ASCII-Code. Enthält Zertifikate, aber nicht den privaten Schlüssel.
    • PKCS12 (.pfx oder .p12): Binäre Form, die auf Windows-Plattformen verwendet wird. Speichert den privaten Schlüssel mit dem öffentlichen Schlüssel.

  4. Klicken Durchsuchen und laden Sie die Zertifikat.

  5. Klicken Durchsuchen und laden Sie die Privater Schlüssel.

    Sie können RSA- und ECC-Schlüssel hinzufügen.

  6. Geben Sie die Passphrase oder den vorinstallierten Schlüssel ein, falls der private Schlüssel einen solchen hat.

    Maximale Zeichenanzahl: 30

  7. Klicken Speichern.

Um ein Zertifikat zu generieren, das von der Firewall signiert wurde Standard CA, gehen Sie wie folgt vor:

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

  2. Für Aktion, wählen Lokal signiertes Zertifikat generieren.

    Select to generate a locally-signed certificate.

Zertifikatsdetails

  1. Geben Sie einen Namen ein.

  2. Um die Gültigkeitsdauer des Zertifikats festzulegen, klicken Sie auf die Kalender und wählen Sie die Gültig ab Und Gültig bis Termine.

    Standard: Ein Jahr

  3. Für SchlüsseltypWählen Sie eine der folgenden Optionen aus:

    • RSA
    • Elliptische Kurve

  4. Wählen Sie die Schlüssellänge (für RSA) oder Kurvenname (Elliptische Kurve).

    Größere RSA-Schlüssel bieten mehr Sicherheit, das Ver- und Entschlüsseln von Daten dauert jedoch länger.

  5. Wählen Sie ein Sicherer Hash Algorithmus.

    Hier ist ein Beispiel. Sie müssen die Details Ihrer Domain eingeben.

    Certificate details.

Subjektnamenattribute

Sie müssen einen allgemeinen Namen eingeben. Alle weiteren Felder werden von der Firewall automatisch mit den Angaben aus Ihrer Lizenz ausgefüllt. Sie können diese bei Bedarf ändern.

  1. Ländername: Geben Sie das Land ein, in dem die Firewall eingesetzt wird.
  2. Zustand: Geben Sie das Bundesland oder die Region ein.
  3. Ortsname: Geben Sie die Stadt ein.
  4. Name der Organisation: Geben Sie den Namen des Zertifikatsinhabers ein (Beispiel: Sophos Group).
  5. Name der Organisationseinheit: Geben Sie die Abteilung ein, der Sie das Zertifikat zuordnen möchten (Beispiel: Marketing).
  6. Allgemeiner Name: Geben Sie den Hostnamen oder FQDN ein (Beispiel: marketing.sophos.com).

  7. Geben Sie die E-Mail-Adresse der Kontaktperson ein.

    Hier ist ein Beispiel:

    Subject name attributes.

Der definierter Name zeigt die konfigurierten Details des Zertifikats und wird dynamisch aktualisiert, wenn Sie Änderungen vornehmen.

Alternative Antragstellernamen (SAN)

SANs definieren die DNS-Namen und IP-Adressen, die das Zertifikat sichert.

Notiz

Sie müssen mindestens eine SAN oder eine Zertifikats-ID eingeben.

  1. Geben Sie einen DNS-Namen, eine IPv4- oder IPv6-Adresse ein und klicken Sie auf plus button..

    Hier ist ein Beispiel:

    SAN data.

  2. (Optional) Wenn Sie ein Zertifikat zur Verwendung mit früheren Versionen von SFOS generieren, gehen Sie wie folgt vor:

    1. Klicken Erweiterte Einstellungen.

    2. Für Zertifikats-ID, wählen Sie aus den folgenden Optionen und geben Sie die ID ein:

      • DNS: Geben Sie einen Domänennamen ein. Der Name muss in die IP-Adresse in den DNS-Einträgen aufgelöst werden.
      • IP-Adresse: Geben Sie eine öffentliche IP-Adresse ein, die Ihnen gehört.
      • E-Mail: Geben Sie die E-Mail-Adresse der Kontaktperson ein.
      • DER ASN1 DN [X.509]: Verwenden Sie dies, wenn Sie zum Sichern eines Objekts ein digitales Zertifikat angeben.

  3. Klicken Speichern.

Sie können eine Zertifikatsignieranforderung (CSR) generieren. Eine externe Zertifizierungsstelle (CA) oder eine untergeordnete Zertifizierungsstelle (CA) kann auf Grundlage der CSR ein Zertifikat ausstellen.

  1. Gehe zu Zertifikate > Zertifikate und klicken Sie auf Hinzufügen.

  2. Für Aktion, wählen Zertifikatsignieranforderung (CSR) generieren.

    CSR option.

Zertifikatsdetails

  1. Geben Sie einen Namen ein.

  2. Für SchlüsseltypWählen Sie eine der folgenden Optionen aus:

    • RSA
    • Elliptische Kurve

  3. Wählen Sie die Schlüssellänge (für RSA) oder Kurvenname (Elliptische Kurve).

    Größere RSA-Schlüssel bieten mehr Sicherheit, das Ver- und Entschlüsseln von Daten dauert jedoch länger.

  4. Wählen Sie ein Sicherer Hash Algorithmus.

    Hier ist ein Beispiel. Sie müssen die Details Ihrer Domain eingeben.

    Certificate details.

Subjektnamenattribute

Sie müssen einen allgemeinen Namen eingeben. Alle weiteren Felder werden von der Firewall automatisch mit den Angaben aus Ihrer Lizenz ausgefüllt. Sie können diese bei Bedarf ändern.

  1. Ländername: Geben Sie das Land ein, in dem die Firewall eingesetzt wird.
  2. Zustand: Geben Sie das Bundesland oder die Region ein.
  3. Ortsname: Geben Sie die Stadt ein.
  4. Name der Organisation: Geben Sie den Namen des Zertifikatsinhabers ein (Beispiel: Sophos Group)
  5. Name der Organisationseinheit: Geben Sie den Namen der Abteilung ein, der Sie das Zertifikat zuweisen möchten (Beispiel: Marketing).
  6. Allgemeiner Name: Geben Sie den Hostnamen oder FQDN ein (Beispiel: marketing.sophos.com).

  7. Geben Sie die E-Mail-Adresse der Kontaktperson ein.

    Hier ist ein Beispiel:

    Subject name attributes.

Der definierter Name zeigt die konfigurierten Details des Zertifikats und wird dynamisch aktualisiert, wenn Sie Änderungen vornehmen.

Alternative Antragstellernamen (SAN)

Sie müssen mindestens eine SAN oder eine Zertifikats-ID eingeben.

  1. Geben Sie einen DNS-Namen, eine IPv4- oder IPv6-Adresse ein und klicken Sie auf plus button..

    Subject Alternative Names (SANs) definieren die DNS-Namen und IP-Adressen, die das Zertifikat sichert.

    Hier ist ein Beispiel. Sie müssen die Details Ihrer Domain eingeben.

    SAN data.

  2. (Optional) Wenn Sie ein Zertifikat zur Verwendung mit früheren Versionen von SFOS generieren, gehen Sie wie folgt vor:

    1. Klicken Erweiterte Einstellungen.

    2. Für Zertifikats-ID, wählen Sie aus den folgenden Optionen und geben Sie die ID ein:

      • DNS: Geben Sie einen Domänennamen ein. Der Name muss in die IP-Adresse in den DNS-Einträgen aufgelöst werden.
      • IP-Adresse: Eine öffentliche IP-Adresse, die Ihnen gehört.
      • E-Mail: E-Mail-Adresse der Kontaktperson.
      • DER ASN1 DN [X.509]: Verwenden Sie dies, wenn Sie zum Sichern eines Objekts ein digitales Zertifikat angeben.

  3. Klicken Speichern.

    Die CSR wird der Zertifikatsliste hinzugefügt.

CSR kopieren oder herunterladen

  1. Klicken Sie in der Zertifikatsliste auf Download button. für die CSR.

    Download CSR option.

    In einem Dialogfeld wird die Anforderung zur Zertifikatsignierung angezeigt.

  2. Kopieren oder laden Sie die CSR (.csr Datei).

    Dialog box to download a CSR.

Nächste Schritte

  1. Verwenden Sie die kopierte oder heruntergeladene CSR, um ein signiertes Zertifikat oder eine untergeordnete Zertifizierungsstelle von einer Stammzertifizierungsstelle zu erhalten. Siehe Fügen Sie untergeordnete und Stammzertifizierungsstellen für TLS-Verkehr hinzu.
  2. Importieren Sie es in die Firewall. Siehe Importieren eines Zertifikats.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen