Zertifikat public SSL für Sophos UTM einrichten…

Für die Erstellung eines SSL-Zertifikats wird beispielhaft der Record www.vpn.sult.eu verwendet. Sollte man über keine feste öffentliche Adresse verfügen, kann man dieses Konstrukt auch über einen C-Name realisieren.

Zunächst installiert man sich Openssl. Das ist frei im Internet für viele OS zum Download verfügbar. In dieser Anleitung verwende ich OpenSSL unter Windows.

Jetzt navigiert man mittels der Eingabeaufforderung zum \bin Verzeichnis von Openssl. Die Schlüsseldatei für das Zertifikat generiert man sich wie unten abgebildet.

openssl genrsa -des3 -out www.vpn.sult.eu.key 2048

Beim Erzeugen der Schlüsseldatei muss man eine Passphrase angegeben und bestätigen. Nun erstellt man sich die Zertifizierungsanfrage mit folgender Anweisung.

openssl req -new -key www.vpn.sult.eu.key -out www.vpn.sult.eu.csr

Dort trägt man die Zertifikatsinformationen ein und folgt den einzelnen Punkten, wie unten abgebildet.

Bei „Common Name“ muss man die Domäne eintragen, auf die das Zertifikat ausgestellt werden soll. Die Punkte „a challenge password“ und „optional company name“ kann man ohne Weiteres mit Enter bestätigen.

Die Zertifzierungsanfrage www.vpn.sult.eu.csr muss man mit einem Editor öffnen. Sie sieht so ähnlich aus wie unten angegeben:

Den Inhalt kopiert man und reicht ihn bei seiner Zertifizierungsstelle ein. Wie das genau abläuft, hängt von der gewählen Zertifizierungsstelle ab.

Bei Comodo erhält man das Zertifikat beispielsweise als crt-Datei. Die Zertfikatsdatei speichert man am besten direkt unter C:\Openssl\bin\.

Die UTM benötigt das Zertifikat übrigens mit privatem Schlüssel als pkcs12. Das gewünschte Format erhält man mit folgender Anweisung.

openssl pkcs12 -export -in www_vpn_sult_eu.crt -inkey www.vpn.sult.eu.key -out www.vpn.sult.eu.p12

Nun kann man das Zertifikat unter Webserver Protection -> Zertifikatsverwaltung hinzufügen.

Zum Schluss muss man unter Verwaltung -> WebAdmin-Einstellungen das Zertifikat anwählen und übernehmen.

Solltet Ihr das Zertifikat in einem anderen Format benötigen, findet Ihr hier eine Referenz.