Watchguard Zertifikat installieren

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watchguard Erstellen und Import eines Sicherheitszertifikat

Verwenden Sie Zertifikate für den Watchguard https Proxy

Benötigen Sie Schutz für mehrere Subdomains und schützen alle Ihre Subdomains mit nur einem Wildcard SSL-Zertifikat.

Dazu muss die Watchguard Firebox Firewall mit einem von einer Zertifizierungsstelle signierten Zertifikat, verschlüsseln. Diesem kann dann jeder Netzwerk-Benutzer vertrauen.

Standardmäßig verschlüsselt die Firebox Firewall den Inhalt mit einem automatisch generierten, selbst signierten Zertifikat. Benutzer ohne eine Kopie dieses Zertifikats auf dem Rechner sehen eine Zertifikat-Warnung, wenn sie auf eine sichere Website mit https verbinden. Wenn die Remote-Web-Seite ein abgelaufenes Zertifikat nutzt oder wenn das Zertifikat von einer CA (Certificate Authority) signiert ist, welches die Firebox Firewall nicht erkennt, so signiert die Firebox Firewall den Inhalt als "https Proxy: Unrecognized Certificate"  oder als "Invalid Certificate".

Wildcard-Zertifikate schützen beliebig viele Subdomains einer Domain (z.B. ftp.MeineDomain.de, mail.MeineDomain.de, www.MeineDomain.de). Da Sie statt vieler einzelner Zertifikate nur ein einzelnes Wildcard-Zertifikat benötigen, ist das Wildcard-Zertifikat für viele Organisationen eine kosteneffektive und effiziente Lösung.

Für Wildcard-Zertifikate geben Sie bitte Ihren Allgemeinen Namen (CN) nach dem Schema *.MeineDomain.de an, dies schützt z.B. mail.MeineDomain.de, www.MeineDomain.de und www2.MeineDomain.de. Aber Achtung: Es schützt nicht MeineDomain.de, www.de.MeineDomain.de und www.us.MeineDomain.de. Um auch MeineDomain.de zu schützen müssen Sie normalerweise ein gesondertes einfaches Zertifikat erwerben, für www.de.domain.de und www.us.domain.de können Sie nur Wildcards für *.de.domain.de und *.us.domain.de erwerben. Mehrstufige Wildcard-Zertifikate *.*.domain.de werden zwar von den meisten Servern und Browsern unterstützt, jedoch nicht vom Internet Explorer und daher auch von keiner Zertifizierungsstelle angeboten.

Bitte beachten Sie, dass Sie auch bei einem Wildcard-Zertifikat für jede autonome SSL-Site in der Regel eine eigene IP-Adresse benötigen, wobei neuere Apache- und IIS-Versionen abweichend vom SSL-Standard inzwischen auch ein IP-Sharing erlauben, sofern die SSL-Sites das gleiche Zertifikat verwenden.

Ein Wildcard-Zertifikat auf der Watchguard Firebox installieren

Wenn man versucht, ein SSL-Zertifikat von einer öffentlichen Zertifizierungsstelle auf ein Gerät zu importieren, ist das erfahrungsgemäß nicht immer einfach. Und die Watchguard Firebox bildet hier keine Ausnahme. Diese Anleitung zeigt, wie man ein Zertifikat von einem IIS-Server in eine Watchguard Firebox exportiert.

Man verwendet häufig mehrere Host-Namen oder Subdomains in der gleichen Domain durch die Watchguard Firebox und ruft dann verschiedenen Seiten in der Domain mit Host-Namen auf. Daher benötigt man Wildcard Zertifikate, wie *.MeineDomain.de, um den Verkehr mit den verschiedenen Host-Namen in der Domain zu sichern. Die Zertifikate werden als Wildcard Lizenzen gekauft, so dass sie auf mehreren Servern verwendet werden. in der Basisdomain und den Subdomains eingesetzt werden können.
Wir zeigen Ihnen, wie man eine ganze Zertifikatskette von einem IIS-Server exportiert, zusammenfasst, und in eine Watchguard Firebox importiert.

1. Öffnen Sie ein Eingabeaufforderungsfenster.

2. Geben Sie "mmc" ein, und drücken Sie die Eingabetaste. Beachten Sie, dass Sie in der Administratorrolle sein müssen, um Zertifikate im lokalen Computerspeicher anzuzeigen.

3. Klicken Sie im Menü Datei auf "Snap-In hinzufügen/entfernen".

4. Klicken Sie auf "Zertifikate" und Hinzufügen.

5. Wählen Sie im Dialogfeld Zertifikate des Snap-Ins "Computerkonto" aus, und klicken Sie auf Weiter.

6. Klicken Sie im Dialogfeld Computer auswählen auf "Fertig stellen".

7. Wählen Sie im Dialogfeld Eigenständiges Snap-In hinzufügen "Schließen" aus.

8. Klicken Sie im Dialogfeld "Snap-In hinzufügen bzw. entfernen" auf OK.

9. Klicken Sie im Fenster Konsolenstamm auf "Zertifikate (Lokaler Computer)", um die Zertifikatspeicher für den Computer anzuzeigen.

10. Klicken Sie auf den Ordner "Persönlich", um ihn zu erweitern.

11. Klicken Sie auf den Ordner "Zertifikate", um ihn zu erweitern.

12. Doppelklicken Sie auf das Zertifikat und öffnen Sie den kompletten Zertifizierungspfad

Erstellen Sie hiervon einen Screenshot oder merken Sie sich Ihren Zertifizierungspfad.

Sie müssen jedes Zertifikat im Zertifizierungspfad der Riehe nach in Ihre Firewall importieren. Die Zertifikate werden dabei vom ENDE des Zertifizierungspfades in hierarchischer Ordnung importiert.

13.Klicken Sie auf OK, und kehren Sie zurück auf "Zertifikate (Lokaler Computer) \ Persönlich \ Zertifikate"

Nun exportieren und speichern Sie die öffentlichen und privaten Zertifikate:

14. Rechtsklicken Sie das SSL-Zertifikat und wählen Sie "Alle Aufgaben -> Export"

15.Klicken Sie auf "Weiter"

16. Überprüfen Sie das Optionsfeld mit dem Titel "alle Zertifikate im Zertifizierungspfad, wenn möglich"

17.Klicken Sie auf Weiter

18. Klicken Sie auf Weiter

19.Geben Sie einen Dateinamen ein

20. Speichern Sie Ihre Zertifikate

Nun wird die neu erstellte PFX-Datei in eine PEM-Datei konvertiert, welche die Watchguard Firebox dann einlesen kann.

1. Öffnen Sie einen Webbrowser und gehen Sie zu https://www.sslshopper.com/ssl-converter.html

2. unter "Certificate File to convert", wählen Sie Ihre neue PFX-Datei

3. Stellen sie sicher, dass die Zertifikatsart auf PFX / PKSC # 12 eingestellt ist

4. Achten Sie darauf, der konvertierte Typ auf Standard-PEM eingestellt ist

5. Geben Sie das Passwort ein, das Sie verwendet haben, als Sie Ihren Schlüssel exportiert haben

6. Klicken Sie auf "Convert Certificate" und speichern Sie die Datei.

Sie können jedoch auch OPENssl verwenden um die Datei zu konvertieren.

Sie haben nun eine Textdatei, die Sie öffnen können, um dien einzelnen Zertifikate zu kopieren und dann in die Firebox einfügen.

7. Öffnen Sie die neu erstellte PEM-Datei. Das sollte dann etwa wie diese aussehen. Zusammen mit dem privaten und öffentlichen Schlüssel, werden eine Anzahl von Zertifikaten, enthalten sein:

—–BEGIN RSA PRIVATE KEY—–
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
—–END RSA PRIVATE KEY—–
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: *.domain.com
subject=/OU=Domain Control Validated/OU=IssuerSSL Wildcard/CN=*.domain.com
issuer=/C=US/ST=New Jersey/L=Jersey City/O=IssuerSSL CA/CN=IssuerSSL CA
—–BEGIN CERTIFICATE—–
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
—–END CERTIFICATE—–

8. Öffnen Sie den Firebox System Manager Ihrer Firebox aus.

9. Wählen Sie "View -> Certificates..."

10. Klicken Sie auf "Import Certificate / CRL"

11. Wählen Sie "IPSEC, Web Server, Other"

12. Fügen Sie zuerst den privaten Schlüssel und dann den öffentlichen Schlüssel in das Fenster ein. Sie müssen beide Schlüssel in das gleiche Fenster einfügen. "Load from File" funktioniert nicht für diese Art von Datei. Sie müssen manuell mit "Paste" einfügen.

13. Klicken Sie auf "Import Certificate"

Wenn alles gut gegangen ist, sehen Sie eine Erfolgsbenachrichtigung. Ihre Zertifikate werden nun importiert.

Der abschließende Schritte verwendet den Policy Manager, um das neu importierte Zertifikat als Webserverzertifikate einzustellen und die Firebox neu zu starten

14. Öffnen Sie den Policy Manager.

15. Gehen Sie zu "Setup -> Authentication -> Web Server Certificate.".

16. Wählen Sie "Third party certificate". Aus dem Pull-down-Menü wählen Sie nun Ihr neu importiertes Zertifikat.

17. Starten Sie die Watchguard Firebox neu.

Das sollte es gewesen sein. Ihre Firebox müsste jetzt mit einem öffentlich unterzeichneten und gültigen Zertifikat antworten.

Um das Zertifikat zu testen, gehen Sie zu https://MeineFirewall.MeineDomain.de/sslvpn.html. Überprüfen Sie, ob das Zertifikat korrekt ist.

Exportieren des https-Proxy Zertifikats

Dieser Vorgang exportiert ein https-Proxy Zertifikat von Ihrer Watchguard Firebox-Firewall im PEM-Format.

  • Öffnen Sie den Watchguard System Manager und verbinden Sie mit Ihrer Firebox-Firewall
  • Öffnen Sie den Firebox System Manager
  • Wählen Sie View > Certificates.
  • Wählen Sie das "https Proxy Authority" CA-Zertifikat aus der Liste und klicken Sie auf Export.
  • Geben einen Namen ein (Standard: selfsignedCA.pem) und wählen Sie einen für alle Benutzer zugänglichen Speicherort um das Zertifikat zu speichern.
  • Kopieren Sie das gespeicherte Zertifikat bei Bedarf auf die Client-Rechner

Importieren von Zertifikaten auf Client-Geräte

Um Zertifikate, die Sie auf der Firebox-Firewall installiert haben, mit Client-Geräten zu verwenden, müssen Sie die Zertifikate mit FSM exportieren und dann die Zertifikate auf jedem Client importieren.

Windows 7 Zertifikat installieren

Sie müssen als Administrator angemeldet sein, um diese Schritte ausführen zu können. Sie können das Firebox https-Proxy-Zertifikat importieren, um es auf dem eigenen Computer verwenden zu können. Durch das Importieren wird das Zertifikat im richtigen Zertifikatordner platziert.

  • Öffnen Sie die Zertifikatverwaltung, indem Sie auf die Schaltfläche "Start" klicken, certmgr.msc in das Feld Suche eingeben und dann die EINGABETASTE drücken.‌ Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.
  • Erweitern Sie auf den Ordner "Vertrauenswürdige Stammzertifizierungsstellen", und klicken Sie mit der rechten Maustaste auf "Zertifikate" klicken Sie auf "Alle Aufgaben"->"Importieren.
  • Klicken Sie auf Weiter, und "Durchsuchen". Wenn Sie im Zertifikatimport-Assistenten auf "Durchsuchen" klicken, werden standardmäßig nur X.509-Zertifikate angezeigt. Möchten Sie einen anderen Zertifikattyp importieren, müssen Sie diesen im Dialogfeld "Öffnen" auswählen. Wählen Sie hier aus Ihrem öffentlichen Ordner das selfsignedCA.pem Zertifikat.

Android Zertifikate installieren

So installieren Sie ein das Zertifikat aus dem internen Speicher Ihres Android Gerätes:

  • Kopieren Sie das selfsignedCA.pem Zertifikat von Ihrem Computer in das Stammverzeichnis des internen Speichers Ihres Android-Gerätes, also nicht in ein Unterverzeichnis.
  • Benennen Sie das Zertifikat von selfsignedCA.PEM nach selfsignedCA.CRT um.
  • Tippen Sie auf dem Startbildschirm oder dem Menü-Bildschirm auf das Symbol "Einstellungen" ..
  • Wechseln Sie zu Persönlich > Sicherheit > Berechtigungsspeicher > Von USB-Speicher installieren.
  • Es werden jetzt ausschließlich noch nicht installierte Zertifikate angezeigt. Berühren Sie den Dateinamen des zu installierenden selfsignedCA.CRT-Zertifikats.
  • Geben Sie nach Aufforderung das Passwort des Berechtigungsspeichers ein und berühren Sie OK.
  • Geben Sie einen Namen für das Zertifikat ein und berühren Sie OK.
  • Falls Sie noch kein Muster, keine PIN oder kein Passwort für Ihr Gerät festgelegt haben, werden Sie jetzt dazu aufgefordert. Möglicherweise hat Ihr Systemadministrator vorab festgelegt, welche Art von Sperre zu verwenden ist.

Gepanet GmbH ist Watchguard Gold Partner

Watchguard Gold Partner SupportGepanet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein Watchguard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Deshalb können wir ein sehr breites Spektrum an Firewall-Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und VPN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei Gepanet GmbH und gewinnen Sie das gutes Gefühl mit Ihrer IT-Sicherheit zurück.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard XTM oder XCS Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard XTM Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für Watchguard Geräte, die nicht bei uns gekauft wurden.)

Watchguard Firewall   Beschreibung
Watchguard Firebox T10
Watchguard Firebox T10-W
Watchguard Firebox T10-D

Watchguard Firebox T10

Die Watchguard Firebox T10 sichert remote Netzwerke, die bisher keine ausreichende Sicherheit hatten. Ideal für kleine Büros / Home Office und Filialen mit bis zu 15 Benutzer. Die Firebox T10-W unterstützt Wireless, die T10-D aDSL / vDSL.
Watchguard Firebox T30 T30-W
Watchguard Firebox T50 T50-W

Watchguard Firebox T30 25 Benutzer
Watchguard Firebox T50  40 Benutzer
Firebox T30-W / T50-W: WLAN 802.11 a/g/n/ac.
kleine Büros / Home Office / Einzelhandel
Watchguard Firebox M270

Watchguard Firebox M300

Watchguard Firebox M400

Watchguard Firebox M440

Watchguard Firebox M500

Watchguard Firebox M400 / M500

Watchguard Firebox M270   70 Benutzer  0.8 Gbps
Watchguard Firebox M300  150 Benutzer  800 Mbps
Watchguard Firebox M400  350 Benutzer 1,4 Gbps
Watchguard Firebox M500  750 Benutzer 1,7 Gbps
Watchguard Firebox M440  750 Benutzer 24+2 Ports
Watchguard Firebox M4600

Watchguard Firebox M5600

Watchguard Firebox M4600  3000 Benutzer
40Gbps FW / 9Gbps AV


Watchguard Firebox M5600  12000 Benutzer
60 Gbps FW / 12 Gbps AV

Watchguard AccessPoints
Watchguard AP100 WAP
Watchguard AP102 WAP
Watchguard AP200 WAP
Watchguard AP300 WAP

Unter WSM zentral administrierbare Watchguard WLAN Access Points mit hoher Firewall-Sicherheit.
Watchguard AP100 und Watchguard AP200. Wetterfester Watchguard AP102 für Outdoor. Watchguard AP300 mit 802.11ac
Watchguard XTMv
XTMv Small Office, Medium Office
XTMv Large Office, Datacenter

Watchguard XTMv Firwall als virtuelle Maschine

Watchguard XTMv virtuelle Firewall für VMware Hypervisor. Hohe Netzwerksicherheit und Schutz für Anwendungen und Daten.
Watchguard LiveSecurity

WatchGuard APT Blocker

WatchGuard Dimension

Watchguard LiveSecurity Service LSS Watchguard Live Security: Support und Software-Updates.
Watchguard APT Blocker: Abwehr für Advanced Persistent Threats
Watchguard Dimension: Kostenfreie Visualisierung und optionale Verwaltung über Dimension Command
Watchguard System Manager
WSM

Watchguard System Manager zentrale Verwaltung

Zentrale Verwaltung der WatchGuard Produkte. Die Konfiguration und VPN Struktur wird zentral und einfach verwaltet und verteilt. Das erspart Fehlersuche und Systempflege.
Watchguard Training, Schulung

Watchguard Support

Training, Schulung, Workshops, Consulting, Inbetriebnahme, Regeländerungen, Problembehebung, ganze einfach mit Gepanet GmbH.
Watchguard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller ablösen und mit Watchguard Trade-In zur supergünstigen Firewall?

Gepanet GmbH >> Services >> Tipps und Tricks >> Watchguard https Proxy

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Fax: +49 8382 9479 826
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben