Erstellen eines eigenen Zertifikats

Erstellen Sie ein Zertifikat mit diesem System. Für ein selbst erstelltes Zertifikat ist keine Zertifizierungsstelle erforderlich. Ein solches Zertifikat kann einfach nach der Eingabe der für die Zertifikatserstellung erforderlichen Informationen verwendet werden.

1. Wählen Sie [Sicherheit] - [PKI-Einstellungen] - [Gerätezertifikateinstellung] - [Neue Registrierung] - [Selbst signiertes Zertifikat erstellen und installieren.] im Administratormodus von Web Connection und geben Sie die für die Erstellung eines Zertifikats benötigten Informationen ein. Klicken Sie anschließend auf [OK].

   Das Zertifikat wird erstellt und auf diesem System installiert. Das Erstellen des Zertifikats nimmt möglicherweise einige Minuten in Anspruch.

   Einstellung	Beschreibung
   [Aliasname]	Hier wird die IP-Adresse dieses Systems angezeigt.
   [Organisation]	Geben Sie den Namen einer Organisation ein (max. 63 ASCII-Zeichen).
   [Organisationseinheit]	Geben Sie den Namen einer Organisationseinheit ein (max. 63 ASCII-Zeichen). Sie können auch eine Null eingeben.
   [Standort]	Geben Sie den Standortnamen ein (max. 127 ASCII-Zeichen).
   [Staat/Bundesland]	Geben Sie den Namen des Bundeslands oder der Provinz ein (max. 127 ASCII-Zeichen).
   [Land]	Geben Sie den Ländernamen ein. Geben Sie als Ländernamen den in ISO-03166 definierten Landescode ein (max. 2 ASCII-Zeichen). USA: US, Großbritannien: GB, Italien: IT, Australien: AU, Niederlande: NL, Kanada: CA, Spanien: ES, Tschechische Republik: CZ, China: CN, Dänemark: DK, Deutschland: DE, Japan: JP, Frankreich: FR, Belgien: BE, Russland: RU
   [Administrator-E-Mail-Adresse]	Geben Sie die E-Mail-Adresse des Administrators dieses System ein (max. 128 Zeichen, ohne Leerzeichen). Wenn die E-Mail-Adresse des Administrators bereits unter [Systemeinstellungen] - [Geräteeinstellung] registriert wurde, zeigt dieses Feld die registrierte E-Mail-Adresse an.
   [Startdatum der Gültigkeit]	Zeigt das Startdatum des Gültigkeitszeitraums des Zertifikats an. Zeigt das Datum und die Uhrzeit des Systems an, wenn dieser Bildschirm angezeigt wird.
   [Gültigkeitsdauer]	Geben Sie die Gültigkeitszeitraum eines Zertifikats in der Anzahl der Tage seit dem Startdatum an.
   [Verschlüsselungsschlüsseltyp]	Wählen Sie einen Typ von Verschlüsselungsschlüssel aus.

2. Wenn das Zertifikat installiert wurde, aktivieren Sie die SSL-Kommunikation ( [Verwenden des im Auslieferungszustand registrierten Zertifikats] ).

Anfordern eines Zertifikats von einer Zertifizierungsstelle

Erstellen Sie mit diesem System Daten für eine Zertifikatsignieranforderung und fordern Sie die Ausstellung eines Zertifikats für dieses System bei einer vertrauenswürdigen Zertifizierungsstelle an. Wenn die Daten von der Zertifizierungsstelle nach der Prüfung zurückgesendet werden, registrieren Sie die Daten auf diesem System.

1. Wählen Sie [Sicherheit] - [PKI-Einstellungen] - [Gerätezertifikateinstellung] - [Neue Registrierung] - [Zertifikat anfordern] im Administratormodus von Web Connection und geben Sie die für die Ausgabe eines Zertifikats benötigten Informationen ein. Klicken Sie anschließend auf [OK].

   Die Daten für die Anforderung der Zertifizierungssignatur, die an die Zertifizierungsstelle gesendet werden müssen, werden erstellt.

   Einstellung	Beschreibung
   [Aliasname]	Hier wird die IP-Adresse dieses Systems angezeigt.
   [Organisation]	Geben Sie den Namen einer Organisation ein (max. 63 ASCII-Zeichen).
   [Organisationseinheit]	Geben Sie den Namen einer Organisationseinheit ein (max. 63 ASCII-Zeichen). Sie können auch eine Null eingeben.
   [Standort]	Geben Sie den Standortnamen ein (max. 127 ASCII-Zeichen).
   [Staat/Bundesland]	Geben Sie den Namen des Bundeslands oder der Provinz ein (max. 127 ASCII-Zeichen).
   [Land]	Geben Sie den Ländernamen ein. Geben Sie als Ländernamen den in ISO-03166 definierten Landescode ein (max. 2 ASCII-Zeichen). USA: US, Großbritannien: GB, Italien: IT, Australien: AU, Niederlande: NL, Kanada: CA, Spanien: ES, Tschechische Republik: CZ, China: CN, Dänemark: DK, Deutschland: DE, Japan: JP, Frankreich: FR, Belgien: BE, Russland: RU
   [Administrator-E-Mail-Adresse]	Geben Sie die E-Mail-Adresse des Administrators dieses System ein (max. 128 Zeichen, ohne Leerzeichen). Wenn die E-Mail-Adresse des Administrators bereits unter [Systemeinstellungen] - [Geräteeinstellung] registriert wurde, zeigt dieses Feld die registrierte E-Mail-Adresse an.
   [Verschlüsselungsschlüsseltyp]	Wählen Sie einen Typ von Verschlüsselungsschlüssel aus.

2. Klicken Sie auf [Speichern].

   Klicken Sie auf diese Schaltfläche, um die Daten für die Anforderung der Zertifizierungssignatur als Datei auf Ihrem Computer zu speichern.

3. Senden Sie die Daten für die Anforderung der Zertifizierungssignatur an die Zertifizierungsstelle.

   Wenn die Daten von der Zertifizierungsstelle nach der Prüfung zurückgesendet werden, registrieren Sie die Daten auf diesem System.

4. Wählen [Sicherheit] - [PKI-Einstellungen] - [Gerätezertifikateinstellung] - [Einstellung] - [Zertifikat installieren] im Administratormodus von Web Connection und fügen Sie die von der Zertifizierungsstelle gesendeten Textdaten ein. Klicken Sie anschließend auf [Installieren].

5. Wenn das Zertifikat installiert wurde, aktivieren Sie die SSL-Kommunikation ( [Verwenden des im Auslieferungszustand registrierten Zertifikats] ).

Richten Sie die Einstellung ein, wenn in Ihrer Umgebung IPsec erforderlich ist.

Die IPsec-Technologie verhindert mit leistungsfähigen Verschlüsselungstechnologien die Fälschung oder Freigabe von Daten in der IP-Paketbasis. Da IPsec Daten in der Vermittlungsschicht verschlüsselt, ist sichere Kommunikation selbst dann gewährleistet, wenn Sie in einer höheren Ebene Protokolle oder Anwendungen verwenden, die keine Verschlüsselung unterstützen.

1. Wählen Sie [Netzwerk] - [TCP/IP-Einstellung] - [IPsec] - [IPsec-Einstellungen] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und klicken Sie auf [OK].

2. Klicken Sie auf [Bearbeiten] im Bereich [IKEv1] oder [IKEv2] unter [IPsec-Einstellungen] und richten Sie dann die folgenden Einstellungen ein.

   Einstellung		Beschreibung
   [Verschlüsselungsalgorithmus]		Wählen Sie den Verschlüsselungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
   [Authentifizierungsalgorithmus]		Wählen Sie den Authentifizierungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
   [Gültigkeitsdauer für Verschlüsselungsschlüssel]		Geben Sie die Gültigkeitsdauer eines allgemeinen Schlüssels für die sichere Generierung eines allgemeinen Schlüssels ein, der für die Verschlüsselung der Kommunikation verwendet wird (Standard: [28800] Sek.). Nach Ablauf dieser Dauer wird ein neuer Schlüssel erstellt. Dadurch kann die Übertragung geschützt werden.
   [Diffie-Hellman-Gruppe]		Wählen Sie die Diffie-Hellman-Gruppe (Standard: [Gruppe 2]).
   [Verhandlungsmodus]		Wählen Sie den Verhandlungsmodus (Standard: [Hauptmodus]). Diese Option steht für [IKEv2] nicht zur Verfügung.

3. Klicken Sie im Bereich [SA] unter [IPsec-Einstellungen] auf [Registrierung] und registrieren Sie die Sicherheitszuordnung (SA).

   Bis zu 10 Gruppen können für die SA registriert werden.

   Einstellung	Beschreibung
   [Name]	Geben Sie den SA-Namen ein (1 bis 10 Zeichen, außer ").
   [Kapselungsmodus]	Wählen Sie den IPsec-Betriebsmodus (Standard: [Übertragung]).
   [Sicherheitsprotokoll]	Wählen Sie ein Sicherheitsprotokoll aus.
   [Methode für den Schlüsselaustausch]	Wählen Sie die Methode für den Schlüsselaustausch, um die sichere Generierung eines allgemeinen Schlüssels für die Verschlüsselung der Kommunikation zu gewährleisten (Standard: [IKEv1]).
   [Tunnelendpunkt]	Wenn die Option [Tunnel] unter [Kapselungsmodus] ausgewählt ist, geben Sie die IP-Adresse des IPsec-Gateways ein, das als Peer verwendet wird.
   [Lebensdauer nach SA]	Geben Sie die Lebensdauer eines allgemeinen Schlüssels ein, der für die Verschlüsselung der Kommunikation verwendet wird (Standard: [3600] Sek.).
   [IKE-Einstellungen]	Richten Sie die für diese SA verwendeten IKE-Einstellungen ein. Dieser Schritt ist erforderlich, wenn unter Methode für den [Schlüsselaustausch] die Option [IKEv1] oder [IKEv2] ausgewählt ist. [Authentifiz.methode]: Wählen Sie das Authentifizierungsverfahren aus. [Lokales Authentifizierungsverfahren]: Wählen Sie das Authentifizierungsverfahren dieses Systems aus, wenn [IKEv2] unter [Methode für den Schlüsselaustausch] ausgewählt ist. [Peer-Authentifizierungsverfahren]: Wählen Sie das Peer-Authentifizierungsverfahren aus, wenn [IKEv2] unter [Methode für den Schlüsselaustausch] ausgewählt ist. [ESN]: Wenn die erweiterte 64-Bit-Sequenznummer verwendet wird, setzen Sie diese Option auf EIN. [Wiederholungserkennung]: Wenn der Wiederholungsschutz aktiviert werden soll, setzen Sie diese Option auf EIN. [ESP-Verschlüsselungsalgorithmus]: Wenn Sie [ESP] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den ESP-Verschlüsselungsalgorithmus. [ESP-Authentifizierungsalgorithmus]: Wenn Sie [ESP] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den ESP-Authentifizierungsalgorithmus. [AH-Authentifizierungsalgorithmus]: Wenn Sie [AH] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den AH-Authentifizierungsalgorithmus. [Perfect Forward-Secrecy]: Wenn die IKE-Intensität erhöht werden soll, setzen Sie diese Option auf EIN. Bei Auswahl der Einstellung EIN verlängert sich die für die Kommunikation benötigte Zeit.

4. Klicken Sie im Bereich [Peer] unter [IPsec-Einstellungen] auf [Registrierung] und registrieren Sie Peers dieses Systems.

   Maximal 10 Peers können registriert werden.

   Einstellung	Beschreibung
   [Peer]	Wenn ein Peer registriert wird, setzen Sie diese Option auf EIN (Standard: AUS).
   [Name]	Geben Sie den Peer-Namen ein (1 bis 10 Zeichen, außer ").
   [IP-Adresse festlegen]	Wählen Sie die Methode für die Angabe der Peer-Adresse. Geben Sie die IP-Adresse des Peers in Abhängigkeit von der ausgewählten Methode ein.
   [Text für den PreShared Key]	Geben Sie den Pre-Shared-Schlüssel ein, der mit dem Peer gemeinsam genutzt werden soll (max. 128 ASCII-Zeichen oder max. 256 hexadezimale Zeichen). Geben Sie denselben Text wie für den Peer an.
   [Text für Schlüssel-ID]	Geben Sie die Schlüssel-ID ein, die für den Pre-Shared-Schlüssel angegeben wird (max. 128 Byte).

5. Klicken Sie im [Protokolleinstellung] unter [IPsec-Einstellungen] auf [Registrierung] und geben Sie das für IPsec-Übertragungen verwendete Protokoll ein.

   Bis zu 10 Protokolle können angegeben werden.

   Einstellung	Beschreibung
   [Protokolleinstellung]	Wenn die Protokollspezifikationen registriert werden, setzen Sie diese Option auf EIN (Standard: AUS).
   [Name]	Geben Sie den Gruppennamen mit dem angegebenen Protokoll ein (1 bis 10 Zeichen, außer ").
   [Einstellungen für die Protokollidentifizierung]	Wählen Sie ein Protokoll, das für die IPsec-Kommunikation verwendet wird (Standard: [Keine Auswahl]).
   [Portnummer]	Wenn [TCP] oder [UDP] in [Einstellungen für die Protokollidentifizierung] ausgewählt wurde, geben Sie die Portnummer für die IPsec-Kommunikation an.
   [ICMP-Nachrichtentyp]	Geben Sie den ICMP-Nachrichtentyp an, wenn [ICMP] in den [Einstellungen für die Protokollidentifizierung] ausgewählt ist.
   [ICMPv6-Nachrichtentyp]	Geben Sie den ICMP-Nachrichtentyp an, wenn [ICMPv6] in den [Einstellungen für die Protokollidentifizierung] ausgewählt ist.

6. Wählen Sie [Netzwerk] - [TCP/IP-Einstellung] - [IPsec] - [IPsec aktivieren] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und klicken Sie auf [OK].

7. Richten Sie unter [IPsec aktivieren] die folgenden Einstellungen ein.

   Einstellung		Beschreibung
   [IPsec]		Wenn IPsec verwendet wird, setzen Sie diese Option auf EIN (Standard: AUS).
   [Dead-Peer-Detection]		Wenn innerhalb eines bestimmten Zeitraums keine Antwort vom Peer empfangen wird, wird die SA mit dem Peer gelöscht. Geben Sie an, nach welcher Wartezeit Bestätigungsinformationen an den nicht antwortenden Peer gesendet werden sollen (Standard: [15] Sek.).
   [Cookies]		Legen Sie fest, ob der auf Cookies basierende Verteidigungsmechanismus gegen Denial-of-Service-Angriffe aktiviert werden soll (Standard: [Deaktivieren]).
   [ICMP-Pass]		Legen Sie fest, ob IPsec auf das Internet Control Message Protocol (ICMP) angewandt werden soll (Standard: [Deaktivieren]). Wählen Sie [Aktivieren], wenn ICMP-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMP angewandt wird.
   [ICMPv6-Pass-Einstellungen]		Legen Sie fest, ob IPsec auf das Internet Control Message Protocol für IPv6 (ICMPv6) angewandt werden soll (Standard: [Deaktivieren]). Wählen Sie [Aktivieren], wenn ICMPv6-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMPv6 angewandt wird.
   [Standardaktion]		Legen Sie die durchzuführende Aktion fest, wenn bei aktivierter IPsec-Kommunikation keine Einstellungen die [IPsec-Richtlinie] erfüllen (Standard: [Zulassen]). Wählen Sie [Ablehnen], um IP-Pakete zu verwerfen, die die Anforderungen der [IPsec-Richtlinie] nicht erfüllen.
   [Einstellung Zertifikatverifizierungsstufe]		Wenn Sie das Zertifikat überprüfen wollen, wählen Sie die zu prüfenden Elemente aus. [Ablaufdatum]: Überprüfen Sie, ob das Zertifikat noch gültig ist (Standard: EIN). [Schlüsselnutzung]: Damit wird überprüft, ob das Zertifikat entsprechend dem vorgesehenen, vom Zertifikataussteller genehmigten Zweck verwendet wird (Standard: AUS). [Kette]: Damit wird überprüft, ob ein Problem bezüglich der Zertifikatkette (des Zertifikatpfads) besteht (Standard: AUS). Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert. [Ablaufdatum-Bestätigung]: Damit wird überprüft, ob das Zertifikat abgelaufen ist (Standard: AUS). Die Bestätigung des Ablaufdatums erfolgt in der Reihenfolge OCSP-Service (Online Certificate Status Protocol) und dann CRL (Certificate Revocation List).

8. Klicken Sie im Bereich [IPsec-Richtlinie] unter [IPsec aktivieren] auf [Registrierung] und richten Sie dann die folgenden Einstellungen ein.

   Die IP-Paketbedingungen können so definiert werden, dass die IP-Pakete, die die Bedingungen erfüllen, übertragen werden dürfen.

   Einstellung	Beschreibung
   [IPsec-Richtlinie]	Legen Sie fest, ob die IPsec-Richtlinie verwendet werden soll (Standard: [AUS]).
   [Name]	Geben Sie den Namen für die IPsec-Richtlinie ein (1 bis 10 Zeichen, außer ").
   [Peer]	Wählen Sie eine Peer-Einstellung aus. Wählen Sie die gewünschte Einstellung aus den im Bereich [Peer] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
   [Protokolleinstellung]	Wählen Sie ein Protokoll. Wählen Sie die gewünschte Einstellung aus den im Bereich [Protokollspezifikationen] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
   [IPsec-Einstellungen]	Wählen Sie eine SA-Einstellung aus. Wählen Sie die gewünschte Einstellung aus den im Bereich [SA] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
   [Kommunikationsart]	Wählen Sie die Richtung der IPsec-Kommunikation.
   [Aktion]	Wählen Sie den Vorgang für das IP-Paket aus, das die angegebenen Bedingungen erfüllt. [Geschützt]: Schützt die IP-Pakete, die die Bedingungen erfüllen. [Zulassen]: Schützt die IP-Pakete, die die Bedingungen erfüllen, nicht. [Ablehnen]: Verwirft die IP-Pakete, die die Bedingungen erfüllen. [Abbrechen]: Lehnt die IP-Pakete ab, die die Bedingungen erfüllen.

9. Wählen Sie [IPsec] - [Kommunikationsprüfung] und prüfen Sie dann, ob mit den angegebenen Einstellungen eine reguläre Verbindung mit einem Peer hergestellt werden kann.

   Geben Sie die IP-Adresse des Peers unter [IP-Adresse] ein und klicken Sie dann auf [Verbindung prüfen].