Skip to main content
Skip table of contents

Zertifikat

Dieser Artikel zeigt, wie Sie die Basisdaten für das von der Zertifizierungsstelle auszustellende Zertifikat für SCEP in IGEL OS festlegen. Hier können Sie die Daten für den Zertifikat Signing Request (CSR) festlegen.


Menüpfad: Netzwerk > SCEP-Client (NDES) > Zertifikat

image-20250620-144448.png

Typ des CommonName/SubjectAltName

Das Merkmal zur Verknüpfung des Zertifikats mit dem Gerät.

  • IP-Adresse: Die IP-Adresse des Geräts.

  • DNS-Name: Der DNS-Name des Geräts. (Standard)

Wenn der Client seinen Netzwerknamen automatisch bezieht, ist DNS-Name (auto) ein guter Typ für das Client Zertifikat.

  • IP-Adresse (auto): Die IP-Adresse des Geräts (automatisch eingegeben).

  • DNS-Name (auto): Der DNS-Name des Geräts (automatisch eingegeben).

Wenn Sie DNS-Name (auto) verwenden und der Hostname geändert wird, funktioniert die Netzwerkauthentifizierung in der Regel weiterhin mit dem Zertifikat mit dem alten Hostnamen. Dies kann später zu einer fehlgeschlagenen Erneuerung von Client-Zertifikaten führen, mit der Meldung: "Erneuerung des Client-Zertifikats fehlgeschlagen - Betreff hat sich geändert OLDNAME > NEWNAME". Sie können das Verhalten über den Registrierungsschlüssel network.scepclient.cert%.hostname_change_handling ändern. Details und Fehlerbehebung finden Sie unter Fehlerbehebung: SCEP-Zertifikatserneuerung aufgrund einer Hostnamenänderung fehlgeschlagen.

  • E-Mail-Adresse: Eine E-Mail Adresse.

  • DNS-Name als UPN (auto)

  • UPN (Microsoft User Principal Name)

CommonName/SubjectAltName

Der Parameter ist verfügbar, wenn Typ von CommonName/SubjectAltName auf IP-Adresse gesetzt ist, DNS-Name, UPN, oder E-Mail-Adresse. Geben Sie eine Bezeichnung an, die dem Typ von CommonName/SubjectAltName entspricht. Bei bestimmten Typen geschieht dies automatisch. Es ist dann keine Eingabe erforderlich.

CommonName/SubjectAltName Suffix

Der Parameter ist verfügbar, wenn Typ von CommonName/SubjectAltName auf IP-Adresse (auto), DNS-Name (auto) oder DNS-Name als UPN (auto) gesetzt ist. Gibt ein Suffix an, das zu CommonName/SubjectAltName hinzugefügt wird.
Mögliche Werte:

  • Keine: Es wird kein Suffix hinzugefügt.

  • Punkt + DNS-Domäne (auto): Der aktuelle DNS-Domänenname des Systems, getrennt durch einen Punkt, wird hinzugefügt. Beispiel: .igel.local

  • Freie Texteingabe: Das manuell eingegebene Suffix wird hinzugefügt. Beachten Sie, dass das Prozentzeichen "%" zur Einleitung der Escape-Sequenz verwendet wird und somit folgende Ersetzungen automatisch erfolgen:

    • % D wird zum Zeitpunkt der Erstellung der Zertifikatsignierungsanforderung (CSR) durch den DNS-Namen des Systems ersetzt. Beispiel: @% D wird in @ igel.de geändert, wenn der aktuelle DNS-Domänenname des Systems igel.de ist.

    • %% wird durch % ersetzt. Beispiel: A %% B wird geändert in A % B.

    • Andere Kombinationen mit % werden derzeit verworfen. Beispiel: A % BC wird in A C geändert.

Wenn Sie das Suffix manuell angeben müssen, stellen Sie sicher, dass Sie das Trennzeichen eingeben.

Sie können 4 zusätzliche Subject Alternative Names (SANs) in der Zertifikat Signing Request (CSR) mit den folgenden Registrierungsschlüsseln konfigurieren:

CommonName/SubjectAltName (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN |

Typ von CommonName/SubjectAltName (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN_type |

CommonName/SubjectAltName Suffix (+N)
| Registry | network.scepclient.cert%.subjectaltname_otherN_suffix |

N bezieht sich auf eine Slotnummer im Bereich {1, 2, 3 ,4}. Der Slot wird ignoriert, wenn network.scepclient.cert%.subjectaltnametype_otherN auf none gesetzt ist.

Organisationseinheit

Von der Zertifizierungsstelle festgelegt

Organisation

Eine frei definierbare Bezeichnung für die Organisation, der der Client angehört

Ortschaft

Angaben zur Ortschaft des Gerätes. Beispiel: "Augsburg".

Bundesland

Angaben zur Örtlichkeit des Geräts. Beispiel: "Bayern".

Land

Zweistelliger ISO 3166-1 Ländercode. Beispiel: "DE".

RSA-Schlüssellänge (Bits)

Definiert die Schlüssellänge (eine für die Zertifizierungsstelle geeignete) für das auszustellende Zertifikat.
Mögliche Werte:

  • 1024

  • 2048

  • 4096

Die hier angegebene RSA-Schlüssellänge darf nicht kleiner sein als die auf dem Server konfigurierte Mindestschlüssellänge.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.