Online-Hilfe

Zertifikatsregistrierung

Protokolle für das einfache Ausrollen von Zertifikaten erhöhen die Skalierbarkeit der Ausrollung bei größeren Netzwerk-Umgebungen mit PKI (Public-Key-Infrastruktur). Neben dem anfänglichen Ausrollen der Zertifikate wird auch die regelmäßige Erneuerung der Zertifikate unterstützt. Dabei sendet der Client automatisiert eine Anfrage für die Erneuerung eines Zertifikats an einen Server wenn die restliche Lebensdauer des Zertifikats eine bestimmte Schwelle unterschreitet. Für eine Erhöhung der Sicherheit kann dadurch die Lebensdauer eines Zertifikats deutlich kürzer festgelegt werden, als dies bei einer manuellen Erstellung und Ausrollung praktikabel wäre.

Sämtliche bezogenen Zertifikate, Schlüssel und Widerrufslisten stehen in den entsprechenden Dropdown-Listen zur Auswahl zur Verfügung. Dabei muss die Zertifikatsregistrierungs-Instanz ausgewählt werden, welche das erforderliche Zertifikat bezieht.

Derzeit wird für die Zertifikatsregistrierung nur das Protokoll EST (Enrollment over Secure Transport) unterstützt.

Wenn ein Zertifikatsregistrierungs-Server konfiguriert ist und das Profil aktiviert wird, ist der Ablauf bei EST wie folgt:

  • Der Client bezieht das CA-Zertifikat vom EST-Server
  • Der Client erstellt seinen eigenen privaten Schlüssel
  • Der Client erstellt eine Zertifikatsanfrage (Certificate Signing Request, CSR)
  • Der Client sendet die Zertifikatsanfrage im PKCS#10-Format im Rahmen eines "Enrollment" an den EST-Server
  • Wenn der EST-Server das "Enrollment" akzeptiert, erstellt er daraufhin das Client-Zertifikat und signiert es mit der CA
  • Der Client bezieht das Zertifikat im positiven Fall
  • Der Client prüft regelmäßig die verbleibende Lebensdauer seines Zertifikats und sendet im Rahmen eines "Reenrollment" eine neue CSR wenn die verbleibende Lebensdauer einen Grenzwert unterschreitet (Parameter Anteil der Lebensdauer vor der automatischen Erneuerung)
Für den Fall, dass die Gültigkeit des CA-Zertifikats ausläuft, wird im Rahmen eines "Rollover" das CA-Zertifikat sowie das Client-Zertifikat ausgetauscht.

Client-Zertifikat und -Schlüssel, CA-Zertifikat und CRL werden nicht im Profil des Routers gespeichert und können somit auch nicht durch das Herunterladen und Wiederhochladen eines Profils im Binärformat auf einen anderen Router dupliziert werden.

Es ist nicht möglich, den privaten Schlüssel auf irgendeinem Weg (wie Web-Interface, CLI, ASCII-Konfiguration oder Binär-Konfiguration) vom Router herunterzuladen!

Im Web-Interface des Routers wird im Menü Administration auf der Seite Zertifikatsregistrierung der aktuelle Zustand jeder EST-Instanz unter Status angezeigt. Dabei sind folgende Zustände möglich:

  • Inaktiv
  • Nicht im laufenden Profil enthalten
  • Privater Schlüssel wird erstellt
  • CA-Zertifikat wird heruntergeladen
  • Client-Zertifikat wird heruntergeladen
  • Client-Zertifikat vorhanden
  • CSR wird erstellt
  • Erneuerung der Zertifikate
  • Instanz wird heruntergefahren
  • Fehler: Invalide Konfiguration

Zurück zur Übersicht