Erstellen von Zertifikaten aus einem vorhandenen Root-Zertifikat

Mit UMS 6.03 oder höher können Sie den ICG Remote Installer zum Installieren und Erstellen von Zertifikaten verwenden. Dieses Verfahren wird hier beschrieben. Für das Verfahren mit UMS 6.02 oder niedriger, siehe So erstellen Sie Zertifikate aus einem vorhandenen Root-Zertifikat.

Erforderliche Dateien für Zertifikate

Die folgenden Dateien sind erforderlich:

• CA-Zertifikat

• CA-Privatschlüssel

Wenn Sie das CA-Signatur-Root-Zertifikat und den CA-Schlüssel von einem Microsoft CA-Server exportieren müssen, können Sie dieses Dokument von Cisco folgen: Wie exportiere und konvertiere ich ein pX CA-Root-Zertifikat und einen pX-Schlüssel von einem Microsoft CA-Server?

Importieren Ihrer bestehenden privaten CA-Dateien in die UMS

1. Gehen Sie in der UMS Konsole zu UMS Administration > UMS Network > IGEL Cloud Gateway.
   

2. Klicken Sie in der Symbolleiste oben rechts auf das -Symbol (Neues IGEL Cloud Gateway installieren).
   

3. Der ICG Remote Installer öffnet sich. Alle vorhandenen ICG Zertifikate werden im Bereich Zertifikate angezeigt.
   

4. Klicken Sie auf , um das Root-Zertifikat zu importieren.
   

5. Wählen Sie die CA-Root-Zertifikatsdatei (PEM-Format) und klicken Sie auf Öffnen.

   

   
   Das CA-Root-Zertifikat erscheint in der Liste.

   

6. Wählen Sie das CA-Zertifikat aus und klicken Sie auf , um den entschlüsselten privaten Schlüssel für das CA-Zertifikat zu importieren.

   

   

   Wenn der private Schlüssel mit einer Passphrase geschützt ist, müssen Sie ihn mit dem OpenSSL-Kommandozeilentool entschlüsseln: openssl rsa -in encrypted.key -out decrypted.key

7. Wählen Sie die entschlüsselte private Schlüsseldatei für das CA-Zertifikat und klicken Sie auf Öffnen.

   

   
   Wenn alles geklappt hat, wird eine Erfolgsmeldung angezeigt.
   

   

8. Fahren Sie fort mit der Erstellung eines signierten Zertifikats.

Erstellen eines signierten Zertifikats

1. Wählen Sie das CA-Root-Zertifikat und klicken Sie auf , um ein signiertes Zertifikat zu erstellen.

   

2. Füllen Sie die Zertifikatsfelder aus:

   • Anzeigename: Name für das Zertifikat; freie Texteingabe

   • Ihr Vor- und Nachname (CN): Name des Zertifikatsinhabers

   • Ihre Organisation (O): Organisation oder Firmenname

   • Ihr Ort (L) (oder zufälliger Bezeichner): Ort

   • Ihr zweibuchstabiger Ländercode (C): ISO 3166 Ländercode, z.B. US, UK oder ES

   • Hostname und/oder IP des Zielservers des Zertifikats: Hostname(n) oder IP-Adresse(n), für die das Zertifikat gültig ist. Mehrere Einträge sind erlaubt, getrennt durch Semikolon.
     Alle IP-Adressen und Hostnamen, unter denen ICG von innerhalb des Firmennetzwerks oder von außerhalb erreichbar sein wird, müssen hier angegeben werden.

   • Schlüssel: Die für Cloud-Gateway-Zertifikate verwendete Schlüsselspezifikation. Es wird ein Standardwert verwendet, der nicht geändert werden kann. Der Wert ist: RSA mit einer Schlüsselgröße von 4096 Bit

   • Signaturalgorithmus: Der verwendete Signaturalgorithmus für Cloud Gateway-Zertifikate. Es wird ein Standardwert verwendet, der nicht geändert werden kann. Der Wert ist SHA512mitRSA

   • Gültig bis: Lokales Datum, an dem das Zertifikat abläuft (Standard: 1 Jahr ab jetzt)

   • Zertifikatstyp: Wählen Sie "End Entity".
     

3. Klicken Sie auf OK.

   

   
   Ein Schlüsselpaar und ein Zertifikat werden erzeugt.

   

   Das Erzeugen von Schlüsseln kann auf virtuellen Maschinen (VMs) viel Zeit in Anspruch nehmen, da diese nicht über eine leistungsfähige (Pseudo-)Zufallszahlenquelle verfügen. Auf Linux-VMs kann dies durch die Installation des haveged-Pakets verbessert werden.

   
   Das signierte Zertifikat erscheint in der Liste.

   

4. Fahren Sie fort mit Installation von IGEL Cloud Gateway.