Skip to main content
Skip table of contents

Zertifikat Anforderungen und Empfehlungen für das IGEL Cloud Gateway (ICG)

Für einen erfolgreichen Einsatz des IGEL Cloud Gateway (ICG) muss eine Zertifikatskette für die Kommunikation mit den Geräten bereitgestellt werden. Diese Zertifikatskette muss einige Anforderungen erfüllen.

Empfehlung: Gültigkeitsdauer des Root-Zertifikats

Die Gültigkeitsdauer des Root-Zertifikats sollte so lang wie möglich sein. Wenn das Root-Zertifikat abläuft, müssen alle Zertifikate ausgetauscht und alle Geräte neu registriert werden.

Erfordernis: BasicConstraint für CA-Zertifikate

Das Root-CA-Zertifikat und jedes CA-Zwischenzertifikat muss als CA-Zertifikat gemäß X509v3-Erweiterungen gekennzeichnet sein: 2.5.29.19. Dies ist der Fall, wenn die BasicConstraint-Erweiterung "is_ca" auf "true" gesetzt ist. Ist sie auf "false" gesetzt, kann das Zertifikat nicht zum Signieren anderer Zertifikate verwendet werden.

Erfordernis: Wenn ein CA-Zähler vorhanden ist, muss er korrekt gesetzt werden

Einige CA-Zertifikate haben einen CA-Zähler, definiert in X509v3-Erweiterung: 2.5.29.19. Der CA-Zähler beschreibt, wie viele Mitglieder der Zertifikatskette hinzugefügt werden können. Ist z.B. der CA-Zähler des aktuellen Zertifikats 1, kann ein Zertifikat signiert werden, mit dem ein weiteres Zertifikat signiert werden kann. Der CA-Zähler dieses Zertifikats ist 0, also kann es nur Endzertifikate signieren.

Mit UMS 6.02 oder höher können Sie den CA-Zähler eines Zertifikats überprüfen, indem Sie das Kontextmenü auswählen und dann Zertifikatsinhalt anzeigen wählen.

Erfordernis: Endzertifikat muss gekennzeichnet sein und den korrekten alternativen Namen des Betreffs enthalten

Das Zertifikat, das auf dem IGEL Cloud Gateway installiert werden soll, muss als Endzertifikat gekennzeichnet sein.

Das Endzertifikat muss einen Subject Alternative Name (X509v3-Erweiterungen 2.5.29.17) haben, der alle Hostnamen oder IP-Adressen enthält, über die die UMS und die Geräte mit dem IGEL Cloud Gateway in Kontakt treten werden. Wildcards werden unterstützt.

Bei UMS 6.02 oder höher können Sie dies überprüfen, indem Sie das Kontextmenü aufrufen und dann Zertifikatsinhalt anzeigen wählen. Die Ansicht des Zertifikatsinhalts sollte in etwa so aussehen:

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close