Sophos UTM als CA - Wildcard SSL Zertifikat erstellen

by

Wildcard SSL Zertifikate für Webserver selber erstellen

Bei der Installation der Sophos UTM Astaro wird automatisch eine VPN Signing CA
= Certification Authority - Zertifizierungsstelle für digitale Zertifikate

angelegt.  Diese kann genutzt werden um für den internen Gebrauch SSL Zertifikate zu erstellen. Damit diese Zertifikate für alle PCs in der Domäne valid erscheinen, muss man die CA im AD = Active Directory veröffentlichen, das geschieht über Gruppenrichtlinien.

.
.
Unter
Remote Access -> Certificate Management |Certificate Authority| kann man den public Key der VPN Signing CA der UTM exportieren mit 'Download',  als Dateityp .pem wählen.

Remote Access CA Download Sophos UTM Astaro

 

Diese Datei in ein Verzeichnis kopieren, auf die der Domänencontroller zugreifen kann. Auf dem DC dann die 'Gruppenrichtlinienverwaltung' öffnen und eine Policy anlegen oder die Default Domain Policy nehmen.

.
.

Dort unter
Computerkonfiguration -> Windowss-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen die VPN Signing CA.pem Datei importieren.

CA GPO Signing CA VPN Sophos UTM

 

Dort sollte auch die Webproxy CA aus der Sophos UTM schon importiert worden sein, die man unter
Web Protection -> Web Filtering |HTTPS CAs| 'Signing CA' findet.

.
.
Jetzt kann man unter
Remote Access -> Certificate Management |Certificates| "New certificate" ein Wildcard Zertifikat erstellen (*.MeineDomain.de), welches man für jeden Webserver -IIS,  Apache,
WebServer Protection WAF- der Sophos UTM Astaro verwenden kann. Das gilt auch für externe Domänen (.de, .com etc), d.h. öffentliche Webserver.
Das Zertifikat  ist auch extern erstmal nur für Domänenmitglieder valid, die über GPO die CA als vertrauenswürdig anerkennen. 

Wildcard Zertifikat Sophos UTM CA

 

.
.
Wenn man das Zertifikat für einen IIS benutzt, sollte man auch zusätzlich die VPN Signing CA mit einbinden, egal ob zu internen oder externen Benutzung, die Signing CA kann auch über den Webadmin als p12 (pfx, PKCS#12) exportiert werden.

Im IIS sollte bei jeder Art von Zertifikaten die komplette Chain (Root-CA & Sub-CA) des Zertifikates installiert werden, das gilt auch für valide SSL-Zertifikate.

IIS CA Zertifikat Sophos UTM

 

.
.

Hier wird das Wildcard-Zertifikat (*.neise.de) von der Webserver Proctetion der Sophos UTM Astaro genutzt:

Wirdlcard OTRS SSL Sophos UTM

Wenn man unter 'Domains' einträgt, welche Domain abgefragt werden soll, kann man ein Wildcard Zertifikat, das ja für alle Subdomains gilt, nur für eine bestimmte Subdomain nutzen.
Dadurch ist man in der Lage, für verschiedene Domains/Server, die man mit der WAF schützen will nur ein Zertifikat nutzen zu können. Jeweils in der Konfiguration der WAF wird die SubDomain anzugeben, auf die die WAF "antworten" soll, das Zertifikat (Wildcard) bleibt immer das gleiche.

 

Münster AD 2013