Für die Erstellung eines SSL-Zertifikats wird beispielhaft der Record www.vpn.sult.eu verwendet. Sollte man über keine feste öffentliche Adresse verfügen, kann man dieses Konstrukt auch über einen C-Name realisieren.
Zunächst installiert man sich Openssl. Das ist frei im Internet für viele OS zum Download verfügbar. In dieser Anleitung verwende ich OpenSSL unter Windows.
Jetzt navigiert man mittels der Eingabeaufforderung zum \bin Verzeichnis von Openssl. Die Schlüsseldatei für das Zertifikat generiert man sich wie unten abgebildet.
openssl genrsa -des3 -out www.vpn.sult.eu.key 2048
Beim Erzeugen der Schlüsseldatei muss man eine Passphrase angegeben und bestätigen. Nun erstellt man sich die Zertifizierungsanfrage mit folgender Anweisung.
openssl req -new -key www.vpn.sult.eu.key -out www.vpn.sult.eu.csr
Dort trägt man die Zertifikatsinformationen ein und folgt den einzelnen Punkten, wie unten abgebildet.
Bei „Common Name“ muss man die Domäne eintragen, auf die das Zertifikat ausgestellt werden soll. Die Punkte „a challenge password“ und „optional company name“ kann man ohne Weiteres mit Enter bestätigen.
Die Zertifzierungsanfrage www.vpn.sult.eu.csr muss man mit einem Editor öffnen. Sie sieht so ähnlich aus wie unten angegeben:
Den Inhalt kopiert man und reicht ihn bei seiner Zertifizierungsstelle ein. Wie das genau abläuft, hängt von der gewählen Zertifizierungsstelle ab.
Bei Comodo erhält man das Zertifikat beispielsweise als crt-Datei. Die Zertfikatsdatei speichert man am besten direkt unter C:\Openssl\bin\.
Die UTM benötigt das Zertifikat übrigens mit privatem Schlüssel als pkcs12. Das gewünschte Format erhält man mit folgender Anweisung.
openssl pkcs12 -export -in www_vpn_sult_eu.crt -inkey www.vpn.sult.eu.key -out www.vpn.sult.eu.p12
Nun kann man das Zertifikat unter Webserver Protection -> Zertifikatsverwaltung hinzufügen.
Zum Schluss muss man unter Verwaltung -> WebAdmin-Einstellungen das Zertifikat anwählen und übernehmen.
Solltet Ihr das Zertifikat in einem anderen Format benötigen, findet Ihr hier eine Referenz.
Funktioniert gut! Vielen Dank!
Jo Gerner!
Hallo Thomas,
ich habe dazu noch eine Frage?
Erstellst du die Anfrage auf der Sophos oder auf dem jeweiligen Webserver? Ich habe 4 Webserver hinter der UTM und bei Comodo ein Wildcard für 3 Domains und 1 einzelne Positive SSL und werde ums verrecken nicht schlauer.
Danke dir schon mal
Thorsten ist mein Name! Es ist egal, wo Du die Anfrage erstellst. Ich mach das immer an meinem PC unter Windows.
Entschuldige vielmals bitte den Namensverdreher. SORRY!
Wenn ich dich dann richtig verstehe geht es letztlich nur um die IP Adresse?
vllt. fehlt hier auch noch eine Info von mir: Ich habe 4 subdomains die mit diesen 4 Zertifikaten erreicht werden sollen. leider kann ich keine richtige Wildcard auststellen da die Hauptdomain für unsere Webpräsenz zuständig ist und diese beim Hoster ist.
Danke dir schon mal, Thorsten und nochmal entschuldigung ::(
Hey, kein Problem. Die Zertifikate und insbesondere die Zertifikatsanfragen haben nichts mit IP-Adressen zu tun. Beim Request kannst Du bei Common Name (eg, YOUR name) []:*.example.com eintragen. Anschließend reichst Du das bei Deiner Zertifizierungsstelle ein (z.B. Comodo) wie beschrieben. Bei der Zertifizierungsstelle gibst Du an, wie Du Dich authorisieren kannst, z.b. per E-Mail oder Cname etc. Danach bekommst Du das entsprechende Zertifikat per E-Mail und kannst es auf Deinen Webservern installieren. Oder, wenn Du WAF benutzt, installierst Du es auf der UTM.