Einleitung
In diesem Dokument wird die Erstellung einer Zertifikatssignierungsanfrage (Certificate Signing Request, CSR) auf einer E-Mail-Security-Appliance (ESA) beschrieben.
CSR auf einer ESA erstellen
Ab AsyncOS 7.1.1 kann die ESA ein selbstsigniertes Zertifikat für den eigenen Gebrauch erstellen und eine CSR-Anfrage erstellen, die an eine Zertifizierungsstelle gesendet wird, um das öffentliche Zertifikat zu erhalten. Die Zertifizierungsstelle gibt ein vertrauenswürdiges öffentliches Zertifikat zurück, das von einem privaten Schlüssel signiert wurde. Verwenden Sie die Seite Netzwerk > Zertifikate in der GUI oder den Befehl certconfig in der CLI, um das selbstsignierte Zertifikat zu erstellen, den CSR zu generieren und das vertrauenswürdige öffentliche Zertifikat zu installieren.
Wenn Sie zum ersten Mal ein Zertifikat erwerben oder erstellen, suchen Sie im Internet nach "Certificate Authority services SSL Server Certificates" und wählen Sie den Dienst aus, der den Anforderungen Ihrer Organisation am besten entspricht. Befolgen Sie die Anweisungen des Dienstes, um ein Zertifikat zu erhalten.
Konfigurationsschritte in der GUI
- Um ein selbstsigniertes Zertifikat zu erstellen, klicken Sie in der GUI auf der Seite Netzwerk > Zertifikate auf Zertifikat hinzufügen (oder in der CLI auf den Befehl certconfig). Wählen Sie auf der Seite Zertifikat hinzufügen die Option Selbstsigniertes Zertifikat erstellen aus.
- Geben Sie folgende Informationen für das selbstsignierte Zertifikat ein:
- Gemeinsamer Name - Der vollständig qualifizierte Domänenname.
- Organisation - Der genaue rechtliche Name der Organisation.
- Organisationseinheit - Abschnitt der Organisation.
- Stadt (Ort) - Die Stadt, in der sich die Organisation rechtmäßig befindet.
- Bundesland: Bundesland, Bundesland oder Region, in dem sich das Unternehmen rechtmäßig befindet.
- Land - Die Abkürzung der International Organization for Standardization (ISO) für das Land, in dem sich die Organisation rechtmäßig befindet.
- Duration before Expiration (Dauer vor Ablauf): Die Anzahl der Tage, die das Zertifikat abläuft.
- Größe des privaten Schlüssels - Größe des privaten Schlüssels, der für den CSR generiert werden soll. Es werden nur 2048 Bit und 1024 Bit unterstützt.
- Klicken Sie auf Weiter, um die Zertifikat- und Signaturinformationen anzuzeigen.
- Geben Sie einen Namen für das Zertifikat ein. AsyncOS weist standardmäßig den allgemeinen Namen zu.
- Wenn Sie einen CSR für das selbstsignierte Zertifikat an eine Zertifizierungsstelle senden möchten, klicken Sie auf Signierungsanforderung für Zertifikat herunterladen, um den CSR im PEM-Format (Privacy Enhanced Mail) auf einem lokalen oder einem Netzwerkcomputer zu speichern.
- Klicken Sie auf Senden, um das Zertifikat zu speichern und Ihre Änderungen zu bestätigen. Wenn Sie die Änderungen nicht bestätigen, geht der private Schlüssel verloren, und das signierte Zertifikat kann nicht installiert werden.
Wenn die Zertifizierungsstelle das von einem privaten Schlüssel signierte vertrauenswürdige öffentliche Zertifikat zurückgibt, klicken Sie auf der Seite Zertifikate auf den Namen des Zertifikats, und geben Sie den Pfad zur Datei auf Ihrem lokalen Computer oder Netzwerk ein, um das Zertifikat hochzuladen. Stellen Sie sicher, dass das empfangene vertrauenswürdige öffentliche Zertifikat im PEM-Format vorliegt oder in ein PEM-Format konvertiert werden kann, bevor es in die Appliance hochgeladen wird. Tools zur Vervollständigung sind in OpenSSL enthalten, kostenlose Software unter http://www.openssl.org.
Wenn Sie das Zertifikat von der Zertifizierungsstelle hochladen, wird das vorhandene Zertifikat überschrieben. Sie können auch ein Zwischenzertifikat hochladen, das sich auf das selbstsignierte Zertifikat bezieht. Sie können das Zertifikat mit einem öffentlichen oder privaten Listener, den HTTPS-Diensten einer IP-Schnittstelle, der LDAP-Schnittstelle (Lightweight Directory Access Protocol) oder allen ausgehenden TLS-Verbindungen (Transport Layer Security) zu Zieldomänen verwenden.
Zugehörige Informationen