Breadcrumbs

Zertifikat

Dieser Artikel beschreibt, wie Sie die Basisdaten für das von der Zertifizierungsstelle über SCEP in IGEL OS auszustellende Zertifikat festlegen. Hier können Sie die Daten für die Certificate Signing Request (CSR) konfigurieren.

Menüpfad: Netzwerk > SCEP-Client (NDES) > Zertifikat

image-20250620-144448.png


Typ des CommonName/SubjectAltName

Merkmal zur Verknüpfung des Zertifikats mit dem Gerät.

  • IP-Adresse: Die IP-Adresse des Geräts.

  • DNS-Name: Der DNS-Name des Geräts. (Standard)

Wenn der Client seinen Netzwerknamen automatisch bezieht, ist DNS-Name (auto) ein geeigneter Typ für das Client-Zertifikat.

  • IP-Adresse (auto): Die IP-Adresse des Geräts (automatisch eingefügt).

  • DNS-Name (auto): Der DNS-Name des Geräts (automatisch eingefügt).

Wenn Sie DNS-Name (auto) verwenden und der Hostname geändert wird, funktioniert die Netzwerkauthentifizierung in der Regel weiterhin mit dem Zertifikat, das den alten Hostnamen enthält. Dies kann später dazu führen, dass die Erneuerung des Client-Zertifikats fehlschlägt, mit der Meldung: "Erneuerung des Client-Zertifikats fehlgeschlagen - Betreff hat sich geändert OLDNAME > NEWNAME". Das Verhalten können Sie über den Registry-Schlüssel network.scepclient.cert%.hostname_change_handling anpassen. Details und Hinweise zur Fehlerbehebung finden Sie unter Fehlerbehebung: Fehler bei der SCEP-Zertifikatserneuerung aufgrund einer Hostnamenänderung.

  • E-Mail-Adresse: Eine E-Mail Adresse.

  • DNS-Name als UPN (auto)

  • UPN (Microsoft User Principal Name)

CommonName/SubjectAltName

Dieser Parameter ist verfügbar, wenn Typ des CommonName/SubjectAltName auf IP-Adresse, DNS-Name, UPN, oder E-Mail-Adresse gesetzt ist. Geben Sie eine Bezeichnung an, die dem gewählten Typ entspricht. Bei bestimmten Typen erfolgt die Eintragung automatisch. In diesem Fall ist keine manuelle Eingabe erforderlich.


Suffix von CommonName/SubjectAltName

Dieser Parameter ist verfügbar, wenn Typ des CommonName/SubjectAltName auf IP-Adresse (auto), DNS-Name (auto) oder DNS-Name als UPN (auto) gesetzt ist. Er legt ein Suffix fest, das an CommonName/SubjectAltName angehängt wird.
Mögliche Werte:

  • Leer: Es wird kein Suffix angehängt.

  • Punkt + DNS-Domäne (auto): Der aktuelle DNS-Domänenname des Systems wird mit vorangestelltem Punkt angehängt. Beispiel: .igel.local

  • Freitexteingabe: Das manuell eingegebene Suffix wird angehängt. Beachten Sie, dass das Prozentzeichen „%“ zur Einleitung von Escape-Sequenzen verwendet wird. Folgende Ersetzungen erfolgen automatisch:

    • % D wird beim Erstellen der Certificate Signing Request (CSR) durch den aktuellen DNS-Domänennamen des Systems ersetzt. Beispiel: @% D wird zu @ igel.de, wenn die aktuelle DNS-Domäne igel.de ist.

    • %% wird durch % ersetzt. Beispiel: A %% B wird zu A % B.

    • Andere Kombinationen mit % werden derzeit verworfen. Beispiel: A % BC wird in A C geändert.

Wenn Sie das Suffix manuell festlegen, stellen Sie sicher, dass Sie das entsprechende Trennzeichen mit angeben.

Sie können bis zu vier zusätzliche Subject Alternative Names (SANs) in der Certificate Signing Request (CSR) über folgende Registry-Schlüssel konfigurieren:

CommonName/SubjectAltName (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN |

Typ des CommonName/SubjectAltName (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN_type |

Suffix von CommonName/SubjectAltName (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN_suffix |

N steht für eine Slot-Nummer im Bereich {1, 2, 3, 4}. Der jeweilige Slot wird ignoriert, wenn network.scepclient.cert%.subjectaltname_otherN_type auf Keine gesetzt ist.


Organisationseinheit

Wird von der Zertifizierungsstelle vorgegeben.


Organisation

Frei definierbare Bezeichnung der Organisation, zu der der Client gehört.


Ort

Angaben zur Ortschaft des Gerätes. Beispiel: "Augsburg".


Bundesland

Angabe zum Standort des Geräts. Beispiel: „Bayern“.


Land

Zweistelliger ISO-3166-1-Ländercode. Beispiel: „DE“.


RSA-Schlüssellänge (Bits)

Legt die Schlüssellänge (passend zur Zertifizierungsstelle) für das auszustellende Zertifikat fest.
Mögliche Werte:

  • 1024

  • 2048

  • 4096

Die hier angegebene RSA-Schlüssellänge darf nicht kleiner sein als die auf dem Server konfigurierte minimale Schlüssellänge.