 |
Online-Hilfe |
Zertifikatsverwaltung
Die in der Zertifikatsverwaltung gespeicherten Zertifikate und Schlüssel sowie der Diffie-Hellman-Parametersatz und die Zertifikatssperrlisten (CRL) werden zur Authentifizierung und Verschlüsselung gesicherter Verbindungen und zur Authentifizierung bei Zugriffen auf den Router verwendet.
Ein CA-Zertifikat (oder Root-Zertifikat) ist das Zertifikat der Zertifizierungsstelle (CA, Certificate Authority) mit dem alle weiteren Zertifikate oder Schlüssel, die von dieser Zertifizierungsstelle erzeugt wurden, verifiziert werden.
Das (öffentliche) Zertifikat bildet zusammen mit dem (geheimen) privaten Schlüssel ein Schlüsselpaar. Dieses muss für alle Teilnehmer von derselben CA erzeugt werden.
Der Diffie-Hellman-Parametersatz ist eine nicht geheime Datei, die sorgfältig erstellte Zufallszahlen enthält und für die Verschlüsselung verwendet wird.
Die Certificate Revocation List (CRL, Zertifikatssperrliste) dient der Beschreibung der Ungültigkeit von Zertifikaten. Sie ermöglicht es festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde.
Der statische OpenVPN-Schlüssel (PSK, Pre-shared Key) kann alternativ zur zertifikatsbasierten Authentifizierung bei OpenVPN-Verbindungen verwendet werden. Client und Server müssen in dem Fall über den identischen statischen Schlüssel verfügen, um sich gegenseitig zu authentifizieren.
 |
Zertifikate werden meist so erstellt, dass sie nur eine bestimmte Anzahl von Jahren oder Monaten gültig sind. Deshalb muss die Uhrzeit des Routers korrekt eingestellt sein. Ansonsten kann das Zertifikat als abgelaufen angesehen werden und die Authentifizierung schlägt fehl. |
Auf dem Router ist das CA-Bundle von cURL mit einer Reihe von Standard-CA-Zertifikaten vorinstalliert. Dies ermöglicht bei Verwendung von Standard-Servern (z.B. für E-Mail, Auto-Update) eine Verifizierung der CA-Zertifikate, ohne dass die dafür erforderlichen CA-Zertifikate hochgeladen werden müssen. Wird diesen Standard-CA-Zertifikaten nicht vertraut, müssen sämtliche erforderlichen CA-Zertifikate manuell hochgeladen werden.