Für einen erfolgreichen Einsatz des IGEL Cloud-Gateway (ICG) muss eine Zertifikatskette für die Kommunikation mit den Geräten bereitgestellt werden. Diese Zertifikatskette muss einige Anforderungen erfüllen.
Empfehlung: Gültigkeitsdauer des Root-Zertifikats
Die Gültigkeitsdauer des Root-Zertifikats sollte so lang wie möglich sein. Wenn das Root-Zertifikat abläuft, müssen alle Zertifikate ausgetauscht und alle Geräte neu registriert werden.
Voraussetzung: BasicConstraint für CA-Zertifikate
Das Root-CA-Zertifikat und jedes CA-Zwischenzertifikat muss als CA-Zertifikat gekennzeichnet sein, wie in X509v3 extensions: 2.5.29.19 definiert. Dies ist der Fall, wenn die BasicConstraint-Erweiterung "is_ca" auf "true" gesetzt ist. Wenn sie auf "false" gesetzt ist, kann das Zertifikat nicht zum Signieren anderer Zertifikate verwendet werden.
Voraussetzung: Wenn ein CA-Zähler vorhanden ist, muss er korrekt gesetzt werden
Einige CA-Zertifikate haben einen CA-Zähler, definiert in X509v3 extensions: 2.5.29.19. Der CA-Zähler beschreibt, wie viele Mitglieder der Zertifikatskette hinzugefügt werden können. Ist z. B. der CA-Zähler des aktuellen Zertifikats gleich 1, kann ein Zertifikat signiert werden, mit dem ein weiteres Zertifikat signiert werden kann. Der CA-Zähler dieses Zertifikats ist 0, also kann es nur Endzertifikate signieren.
Mit UMS 6.02 oder höher können Sie den CA-Zähler eines Zertifikats überprüfen, indem Sie das Kontextmenü auswählen und dann Zertifikatsinhalt anzeigen wählen.
Voraussetzung: Endzertifikat muss markiert sein und einen korrekten alternativen Namen für den Betreff enthalten
Das auf dem IGEL Cloud-Gateway zu installierende Zertifikat muss als Endzertifikat gekennzeichnet sein.
Das Endzertifikat muss einen Subject Alternative Name (X509v3 extensions 2.5.29.17) haben, der alle Hostnamen oder IP-Adressen enthält, über die die UMS und die Geräte mit dem IGEL Cloud-Gateway in Kontakt treten. Wildcards werden unterstützt.
Bei UMS 6.02 oder höher können Sie dies überprüfen, indem Sie das Kontextmenü aufrufen und dann Zertifikatsinhalt anzeigen auswählen. Die Ansicht des Zertifikatsinhalts sollte in etwa so aussehen:
