Zertifikate mit einem vorhandenen Root-Zertifikat erzeugen (UMS 6.02 oder älter)

Erforderliche Zertifikatsdateien

Die folgenden Dateien sind erforderlich:

• CA-Zertifikat

• CA Privater Schlüssel

  

  Wenn Sie das Root-Zertifikat und den Schlüssel der CA-Signatur von einem Microsoft CA-Server exportieren müssen, können Sie diesem Dokument von Cisco folgen:  How do I export and convert a pfx CA root certificate and key from a Microsoft CA server

Ihre vorhandenen privaten CA-Dateien in die UMS importieren

1. Gehen Sie in der UMS Konsole unter UMS Administration > Globale Konfiguration > Cloud Gateway Konfiguration.
2. Klicken Sie im Zertifikate Bereich auf , um das Root-Zertifikat zu importieren.
3. Wählen Sie die Root-Zertifikat-Datei der CA (PEM-Format) und klicken Sie auf Öffnen.
   
   Das Root-Zertifikat der CA erscheint in der Liste.
   
   

4. Klicken Sie mit der rechten Maustaste auf das Root-Zertifikat der CA und wählen Sie Entschlüsselten privaten Schlüssel importieren.
   
   

   

   Wenn der private Schlüssel mit einer Passphrase geschützt ist, müssen Sie ihn mit dem OpenSSL-Kommandozeilentool entschlüsseln: openssl rsa -in encrypted.key -out decrypted.key

5. Wählen Sie die entschlüsselte private Schlüsseldatei aus und klicken Sie auf Öffnen.
   
   Wenn alles gut gelaufen ist, wird eine Erfolgsmeldung angezeigt.
   
   Die CA ist nun einsatzbereit.

Ein signiertes Zertifikat erstellen

1. Klicken Sie mit der rechten Maustaste auf das Root-Zertifikat der CA und wählen Sie Signiertes Zertifikat generieren.
   
   
2. Füllen Sie die Zertifikatsfelder aus:
   • Name: Name des Zertifikats
   • Ihr Vor- und Nachname: Name des Zertifkatsinhabers
   • Ihre Organisation: Organisation oder Firmenname
   • Ihre Stadt oder Gemeinde: Standort
   • Ihr Ländercode (zwei Buchstaben): ISO 3166 Ländercode, z. B. US, UK oder ES 

   • Hostname und/oder IP des Zielservers für das Zertifikat: Hostname(n) oder IP-Adresse(n), für die das Zertifikat gültig ist. Mehrere Eingaben sind erlaubt, getrennt durch Semikolon.

     

     Alle IP-Adressen und Hostnamen, unter denen die ICG von innerhalb des Firmennetzwerks oder von außerhalb erreichbar ist, müssen hier angegeben werden.

   • Gültig bis: Lokales Datum, an dem dieses Zertifikat abläuft. (Standard: ein Jahr ab jetzt)
   • Zertifikats-Typ: Wählen Sie "End Entity".

3. Klicken Sie OK.
   
   
   Es wird ein Schlüsselpaar und ein Zertifikat erzeugt.

   

   Die Generierung von Schlüsseln kann bei virtuellen Maschinen (VMs) viel Zeit in Anspruch nehmen, da diese keine leistungsstarke (Pseudo-)Zufallszahlensquelle haben. Auf Linux-VMs kann dies durch die Installation des haveged Pakets verbessert werden.

   Das signierte Zertifikat erscheint in der Liste.