Wildcard SSL Zertifikate für Webserver selber erstellen
Bei der Installation der Sophos UTM Astaro wird automatisch eine VPN Signing CA
= Certification Authority - Zertifizierungsstelle für digitale Zertifikate
angelegt. Diese kann genutzt werden um für den internen Gebrauch SSL Zertifikate zu erstellen. Damit diese Zertifikate für alle PCs in der Domäne valid erscheinen, muss man die CA im AD = Active Directory veröffentlichen, das geschieht über Gruppenrichtlinien.
.
.
Unter
Remote Access -> Certificate Management |Certificate Authority| kann man den public Key der VPN Signing CA der UTM exportieren mit 'Download', als Dateityp .pem wählen.
Diese Datei in ein Verzeichnis kopieren, auf die der Domänencontroller zugreifen kann. Auf dem DC dann die 'Gruppenrichtlinienverwaltung' öffnen und eine Policy anlegen oder die Default Domain Policy nehmen.
.
.
Dort unter
Computerkonfiguration -> Windowss-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen die VPN Signing CA.pem Datei importieren.
Dort sollte auch die Webproxy CA aus der Sophos UTM schon importiert worden sein, die man unter
Web Protection -> Web Filtering |HTTPS CAs| 'Signing CA' findet.
.
.
Jetzt kann man unter
Remote Access -> Certificate Management |Certificates| "New certificate" ein Wildcard Zertifikat erstellen (*.MeineDomain.de), welches man für jeden Webserver -IIS, Apache,
WebServer Protection WAF- der Sophos UTM Astaro verwenden kann. Das gilt auch für externe Domänen (.de, .com etc), d.h. öffentliche Webserver.
Das Zertifikat ist auch extern erstmal nur für Domänenmitglieder valid, die über GPO die CA als vertrauenswürdig anerkennen.
.
.
Wenn man das Zertifikat für einen IIS benutzt, sollte man auch zusätzlich die VPN Signing CA mit einbinden, egal ob zu internen oder externen Benutzung, die Signing CA kann auch über den Webadmin als p12 (pfx, PKCS#12) exportiert werden.
Im IIS sollte bei jeder Art von Zertifikaten die komplette Chain (Root-CA & Sub-CA) des Zertifikates installiert werden, das gilt auch für valide SSL-Zertifikate.
.
.
Hier wird das Wildcard-Zertifikat (*.neise.de) von der Webserver Proctetion der Sophos UTM Astaro genutzt:
Wenn man unter 'Domains' einträgt, welche Domain abgefragt werden soll, kann man ein Wildcard Zertifikat, das ja für alle Subdomains gilt, nur für eine bestimmte Subdomain nutzen.
Dadurch ist man in der Lage, für verschiedene Domains/Server, die man mit der WAF schützen will nur ein Zertifikat nutzen zu können. Jeweils in der Konfiguration der WAF wird die SubDomain anzugeben, auf die die WAF "antworten" soll, das Zertifikat (Wildcard) bleibt immer das gleiche.
Münster AD 2013