Anleitung Zertifikat public SSL für Sophos UTM einrichten…

Als Beispiel wird die Domäne www.vpn.sult.eu verwendet, unter der eine Sophos UTM über das Internet erreichbar sein könnte. Sollte man über keine feste öffentliche Adresse verfügen, kann man dieses Konstrukt auch über einen C-Name realisieren, der z.B. auf eine dyndns-Adresse zeigt.

Zunächst installiert man sich Openssl; ist frei im Internet für viele OS zum Download verfügbar. In diesem Beispiel machen wir es unter Windows.

Nach der Installation von Openssl navigiert man mittels der Eingabeaufforderung zum \bin Verzeichnis von Openssl (C:\Openssl\bin\) und generiert sich eine .key-Datei mit:

openssl genrsa -des3 -out www.vpn.sult.eu.key 2048

Beim Erzeugen der .key-Datei muss eine Passphrase angegeben und bestätigt werden. Die .key-datei wird im Verzeichnis C:\Openssl\bin\ abgelegt.

Nun erstellt man eine Zertifizierungsanfrage; also eine .csr-Datei mit:

openssl req -new -key www.vpn.sult.eu.key -out www.vpn.sult.eu.csr

Nachdem man den Befehl abgesetzt hat, wird die Passphrase der zuvor erstellen .key-Datei benötigt. Dann trägt man die Zertifikatsinformationen ein. Wichtig ist, dass bei „Common Name“ die Domäne eingetragen wird, auf die das Zertifikat ausgestellt werden soll. In diesem Beispiel also www.vpn.sult.eu:

„challenge password“ und „optional company name“ können leer gelassen werden.

Die .csr-Datei unter C:\Openssl\bin\ kann mit einem Editor geöffnet werden und sieht so ähnlich aus wie unten angegeben:

Ihr Inhalt wird einfach markiert, kopiert und bei einer Zertifizierungsstelle Eurer Wahl eingereicht. Wie das genau geht, hängt von Eurer gewählen Zertifizierungsstelle ab.

Bekommt man das entsprechende Zertifikat von der Zertifizierungsstelle zurück, erhält man eine .crt-Datei; speichert man am besten direkt unter C:\Openssl\bin\.

Die Sophos benötigt das Zertifikat mit privatem Schlüssel als .p12-Datei. Dieses wird erstellt mit:

openssl pkcs12 -export -in www_vpn_sult_eu.crt -inkey www.vpn.sult.eu.key -out www.vpn.sult.eu.p12

Auch hier wird wieder die Passphrase der .key-Datei benötigt. Anschließend muss ein Exportkennwort angegeben und bestätigt werden. (Achtung! www_vpn_sult_eu.crt mit Unterstrichen!)

Das Zertifikat im .p12-Format kann auf der Sophos unter Webserver Protection -> Zertifikatsverwaltung hinzugefügt werden. Beim Hinzufügen des Zertifikats die Methode „Hochladen“ auswählen und das Exportkennwort angeben.

Dann unter Verwaltung -> WebAdmin-Einstellungen das hinzugefügte Zertifikat anwählen und übernehmen – fertig.

About Thorsten Sult

Ich bin verheiratet, habe 2 Kinder und arbeite in einem Systemhaus als Systemadministrator. Angefangen bin ich mit der Konfiguration von Coreswitchen, Netzwerk Monitoring (Nagios) und redundanten Netzwerken.
Aktuell sind meine Schwerpunkte Migrationen von vorhandenen Kundensystemen auf aktuelle Techniken und die Implementierung von Sicherheitskomponenten wie z.B. Sophos UTM.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.