Zertifikatsanforderungen und -empfehlungen für IGEL Cloud Gateway (ICG)

Für einen erfolgreichen Einsatz des IGEL Cloud Gateway (ICG) muss eine Zertifikatskette für die Kommunikation mit den Geräten bereitgestellt werden. Diese Zertifikatskette muss einige Anforderungen erfüllen. Außerdem sollte die Gültigkeitsdauer des Stammzertifikats so lang wie möglich sein.

Empfehlung: Gültigkeitsdauer des Root-Zertifikats

Der Gültigkeitszeitraum des Root-Zertifikats sollte so lang wie möglich sein. Wenn das Root-Zertifikat abläuft, müssen alle Zertifikate ausgetauscht und alle Geräte neu registriert werden.

Anforderung: BasicConstraint für CA-Zertifikate

Das Root-Zertifikat und jedes Zwischenzertifikat müssen als CA-Zertifikat gemäß der Definition in X509v3-Erweiterungen gekennzeichnet sein: 2.5.29.19. Dies ist der Fall, wenn die BasicConstraint-Erweiterung "is_ca" auf "true" gesetzt ist. Wenn es auf "false" gesetzt ist, kann das Zertifikat nicht zum Signieren anderer Zertifikate verwendet werden.

Anforderung: Wenn ein CA-Zähler vorhanden ist, muss er korrekt gesetzt werden

Einige CA-Zertifikate haben einen CA-Zähler, der in X509v3-Erweiterungen definiert ist: 2.5.29.19. Der CA-Zähler beschreibt, wie viele Mitglieder der Zertifikatskette hinzugefügt werden können. Wenn beispielsweise der CA-Zähler des aktuellen Zertifikats 1 ist, ist es möglich, ein Zertifikat zu signieren, mit dem ein weiteres Zertifikat signiert werden kann. Der CA-Zähler dieses Zertifikats ist 0, so dass er nur Endzertifikate signieren kann.

Mit der UMS 6.02 oder höher können Sie den CA-Zähler eines Zertifikats überprüfen, indem Sie das Kontextmenü auswählen und dann Zertifikatinhalt anzeigen wählen.

Anforderung: Endzertifikat muss gekennzeichnet sein und einen korrekten Subject Alternative Name haben

Das Zertifikat, das auf dem IGEL Cloud Gateway installiert werden soll, muss als Endzertifikat gekennzeichnet sein.

Das Endzertifikat muss einen Subject Alternative Name (X509v3-Erweiterungen 2.5.29.17) haben, der alle Hostnamen oder IP-Adressen enthält, über die die UMS und die Geräte das IGEL Cloud Gateway kontaktieren.

Mit der UMS 6.02 oder höher können Sie dies überprüfen, indem Sie das Kontextmenü auswählen und dann Zertifikatinhalt anzeigen wählen. Die Inhaltsansicht des Zertifikats sollte wie folgt aussehen: