2.7.5. Zertifizierungsstellen (CAs)

Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren können, müssen Sie sich für eine der Authentifizierungsmethoden pre-shared key (PSK) bzw. Passwort/Passphrase oder X.509-Zertifikat entscheiden. Mit der Authentifzierungsmethode identifiziert sich der Benutzer für den Zugang zum VPN. Diese werden bei der VPN-Konfiguration benötigt.

Erstellen und verwalten Sie die X.509-Zertifikate auf dieser Webseite.

2.7.5.1. Erstellen von Root- und Host-Zertifikate

Abbildung 2.76. Zertifizierungsstellen (CAs) Initiale Ansicht

Initial View


Um auf IPCop ein Root- und Host-Zertifikat zu erstellen, klicken Sie auf den Button Erzeuge Root- und Host-Zertifikate.

Dies öffnet eine neue Anzeige, wie angezeigt, auf der Sie die Eigenschaften für die Zertifikate eintragen müssen. Die Felder Name der Organisation, Hostname von IPCop und Land sind Pflichtfelder (wobei Hostname von IPCop normalerweise den Hostnamen oder die IP-Adresse der Roten Schnittstelle sein sollte).

Wenn Sie alle Informationen eingetragen haben, klicken Sie auf den Button Erzeuge Root- und Host-Zertifikate, um die Zertifikate zu erzeugen.

Abbildung 2.77. Root- und Host-Zertifikate erzeugen

Generate a Certificate


Name der Organisation Der Name der Organisation, den Sie im Zertifikat verwenden wollen. Wenn Sie zum Beispiel Schulen in einem Schulbezirk verbinden wollen, können Sie Unser Schulnetz verwenden.

Hostname von IPCop Das sollte der Fully Qualified Domain Name (FQDN) der WAN-Verbindung des IPCops sein. Wenn Sie eine feste IP-Adresse benutzen, so ist diese einzutragen. Wenn Sie einen dynamic DNS Service nutzen, so benutzen Sie diesen.

Ihre E-Mail-Adresse - optional.  Ihre E-Mail-Adresse, damit die Menschen Sie erreichen können.

Die nächsten 3 Felder Abteilung, Stadt und Bundesstaat oder Provinz sind optional. Sie können auch freigelassen werden.

Ihre Abteilung - optional.  Dies ist der Name Ihrer Abteilung oder Unterorganisation. Dem Schulbeispiel weiter folgend, könnte das Meine Grundschule sein.

Stadt - optional.  Die Stadt oder Postanschrift für Ihren IPCop.

Bundesstaat oder Provinz - optional.  Der Bundesstaat oder Provinz mit der Postanschrift.

Land Über das Dropdown-Menü können Sie jedes im ISO enthaltene Land auswählen. Verwenden Sie es, um das mit dem Zertifikat verknüpfte Land auszuwählen.

Subjektalternativename - optional.  Die betreffende alternative Namenserweiterung erlaubt zusätzliche Identitäten, die an das Subjekt des Zertifikat's gebunden werden. Festgelegte Optionen wie eine elektronische Postadresse im Internet, einen DNS-Namen, eine IP-Adresse oder einen einheitlichen Quellenbezeichner (URI).

Die SubjectAltName Erweiterung wird in RFC 3280, Abschnitt 4.2.1.7 definiert.

Nach dem vollständigen Ausfüllen des Formulars, klicken Sie auf den Button Erzeuge Root- und Host-Zertifikate, um die Zertifikate zu erzeugen.

Wenn gewünscht, können Sie mehrere Root- und Host-Zertifikate erzeugen und auf einem einzelnen IPCop verwalten und sie dann zu Dateien im PKCS12-Format, verschlüsselt mit einem Kennwort, exportieren. Sie können sie dann als Anhang zu Ihren anderen Seiten per E-Mail schicken.

Benutzen Sie den Abschnitt PKCS12 Datei hochladen dieser Webseite, um die Zertifikate auf Ihren IPCop zu laden und zu entschlüsseln.

Abbildung 2.78. CA-Fenster mit Zertifikat

Certificate Management


Um ein CA von einer entfernten Maschine hochzuladen, geben Sie ihm einen Namen im Feld CA-Name das irgendetwas sein kann, aber etwas Beschreibendes sein sollte. Wenn der entfernte IPCop ein Firmengateway ist, sollten Sie das Zertifikat Firma und die Verbindung z.B. Firmennetz nennen (bei einer Netz-zu-Netz Verbindung).

Um sich ein Zertifikat anzusehen, es herunterzuladen oder zu löschen, klicken Sie auf das entsprechene Icon in der Spalte Aktion.

Klicken Sie auf Entferne alle CA und Zertifikate, um alle Root- und Host-Zertifikate sowie alle darauf basierenden Verbindungen zu löschen.