8
Zertifikate richtig nutzen bei einer Firewall
Hallo,
ich bin derzeit dabei mich in das Thema Firewalls hereinzuarbeiten und habe zu Testzwecken eine Sophos XG, die ich aber nur in einer Testumgebung einsetze.
Was mir nicht so ganz klar ist, ist das Thema Zertifikate.
Dort gibt es einmal das default-Zertifikat, welches ich mit persönlichen Daten ergänzen muss, so dass es anwendbar ist.
Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
ich bin derzeit dabei mich in das Thema Firewalls hereinzuarbeiten und habe zu Testzwecken eine Sophos XG, die ich aber nur in einer Testumgebung einsetze.
Was mir nicht so ganz klar ist, ist das Thema Zertifikate.
Dort gibt es einmal das default-Zertifikat, welches ich mit persönlichen Daten ergänzen muss, so dass es anwendbar ist.
Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665434
Url: https://administrator.de/contentid/665434
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @nrw1040:
Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
Wenn die Firewall/UTM den sie passierenden SSL Traffic untersuchen können soll (z.B. um diesen auf Malware zu überprüfen) muss sie den SSL Traffic aufbrechen. Damit dies möglich wird, muss diese für jede vom Client via SSL aufgerufene Domain on the fly ein entsprechendes Zertifikat generieren. Deswegen ist es dann erforderlich das CA Zertifikat (Root-Zertifikat der Zertifizierungsstelle) an die internen Clients in die "vertrauenswürdigen Stammzertifizierungsstellen" zu verteilen, da sie ansonsten diese generierten Zertifikate nicht als vertrauenswürdig einstufen würden und es somit Fehlermeldungen am Client hageln würde.Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
Gruß w.
Man braucht es zum Verifizieren der Firewall das sie auch wirklich deine Firewall ist. Ohne ein Zertifikat kann dir ja jeder x-beliebige dir oder deinen Clients zig Firewalls unterschieben und damit bösen Schindluder treiben.
Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo,
Du brauchst Zertifikate für verschiedene Dinge:
Zum Testen kannst Du das also komplett ignorieren, es sei denn, einer der Punkte ist für Dich relevant.
Grüße
lcer
Du brauchst Zertifikate für verschiedene Dinge:
- die Weboberfläche der Firewall, damit du HTTPS für die GUI nutzen kannst und Du im Browser überprüfen kannst, ob die Firewall echt ist
- für den HTTPS-SSL-Proxy, wenn er die Verbindung aufbrechen und den Inhalt untersuchen soll
- für VPN zum Absichern der Verbindung
Zum Testen kannst Du das also komplett ignorieren, es sei denn, einer der Punkte ist für Dich relevant.
Grüße
lcer
Ok,
danke für eure Rückmeldungen.
So langsam wird es klarer.
Aber wie verteile ich denn dann das Zertifikat? Es muss ja nur einmal verteilt werden oder?
Nimmt man dann das default oder das SecurityAppliance_SSL_CA?
danke für eure Rückmeldungen.
So langsam wird es klarer.
Aber wie verteile ich denn dann das Zertifikat? Es muss ja nur einmal verteilt werden oder?
Nimmt man dann das default oder das SecurityAppliance_SSL_CA?
Hallo,
Sicher?
Eigentlich musst Du, egal für welchen Zweck, nicht das Zertifikat selbst, sondern das Zertifikat der Ausstellenden Zertifierungsstelle verteilen. Im Falle des SSL-Zertifikat für die GUI muss das dem Browser oder dem PC als vertrauenswürdig bekannt gemacht werden (es muss im Zwrtifikarsspeicher für Vertrauenswürdige Stammzertigizierungsstellen landen). Beim VPN muss es bei der VPN Gegenstelle landen.
Deine Hausaufgaben-Stichworte sind PKI, Root-CA, IPSec, X.509.
Grüße
lcer
Sicher?
Aber wie verteile ich denn dann das Zertifikat? Es muss ja nur einmal verteilt werden oder?
Für welchen Zweck willst Du denn das Zertifikat verteilen?Eigentlich musst Du, egal für welchen Zweck, nicht das Zertifikat selbst, sondern das Zertifikat der Ausstellenden Zertifierungsstelle verteilen. Im Falle des SSL-Zertifikat für die GUI muss das dem Browser oder dem PC als vertrauenswürdig bekannt gemacht werden (es muss im Zwrtifikarsspeicher für Vertrauenswürdige Stammzertigizierungsstellen landen). Beim VPN muss es bei der VPN Gegenstelle landen.
Deine Hausaufgaben-Stichworte sind PKI, Root-CA, IPSec, X.509.
Grüße
lcer
Gibts da vielleicht ein gutes Tutorial im Netz?
Zitat von @aqui:
Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Grüße
lcer
Sorry,
hatte ich nicht gesehen!
hatte ich nicht gesehen!
