 |
Online-Hilfe |
Gesicherter Zugriff auf das Web-Interface des Routers
Zur Absicherung der Konfiguration des Routers über das Web-Interface stehen folgende Funktionen zur Verfügung:
- Gesicherter Zugang über HTTPS-Verbindung
- Authentifizierung eines Clients mit einem Zertifikat
Gesicherter Zugang über HTTPS-Verbindung
Das Web-Interface ermöglicht auch eine sichere Konfiguration unter Verwendung des HTTPS-Protokolls. Das HTTPS-Protokoll ermöglicht eine Authentifizierung des Servers (d.h. des Routers) sowie eine Verschlüsselung der Datenübertragung.
Authentifizierung über die Geräte-individuelle Zertifikat/Schlüssel-Kombination
Standardmäßig wird der Router über eine selbstzertifizierte, Geräte-individuelle Zertifikat/Schlüssel-Kombination authentifiziert. Bei einem ersten Zugriff über das HTTPS-Protokoll zeigt der Browser an, dass der Router ein ungültiges Sicherheitszertifikat verwendet. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat (CA-Zertifikat) unbekannt ist. Sie können diese Warnmeldung ignorieren und (je nach Browser und Betriebssystem) eine Ausnahme für diesen Server hinzufügen oder die sichere Verbindung zu diesem Server trotzdem aufbauen.
Wir empfehlen, das CA-Zertifikat "CA_INSYS_Router.pem" herunterzuladen und in Ihren Browser zu importieren, um INSYS MICROELECTRONICS als Zertifizierungsstelle anzuerkennen. Gehen Sie dazu vor, wie in der Dokumentation Ihres Browsers beschrieben.
Wenn INSYS MICROELECTRONICS als Zertifizierungsstelle in Ihrem Browser hinterlegt ist und sie erneut auf den Router über das HTTPS-Protokoll zugreifen, zeigt der Browser erneut an, dass ein ungültiges Sicherheitszertifikat verwendet wird. Dem Zertifikat wird nicht vertraut, weil sich der Common Name des Zertifikates von Ihrer Eingabe in der Adressleiste des Browsers unterscheidet. Der Browser meldet, dass sich ein anderes Gerät unter dieser URL meldet. Der Common Name des Zertifikates besteht aus der MAC-Adresse des Routers, wobei die Doppelpunkte durch Unterstriche ersetzt sind. Sie können diese Warnmeldung ignorieren und (je nach Browser und Betriebssystem) eine Ausnahme für diesen Server hinzufügen oder die sichere Verbindung zu diesem Server trotzdem aufbauen.
Um auch diese Browser-Warnung zu vermeiden, müssen Sie den Common Name des zu erreichenden Routers in die Adressleiste Ihres Browsers eingeben. Damit die URL zum richtigen Gerät führt, muss der Common Name mit der IP-Adresse des Routers verknüpft werden. Den Allgemeinen Namen (Common Name) können Sie herausfinden, indem Sie das Zertifikat vom Router herunterladen und dies ansehen. Die Vorgehensweise hierzu ist von Ihrem Browser abhängig. Die Vorgehensweise für das Einrichten der Verknüpfung ist abhängig von Ihrem Betriebssystem:
- Editieren von /etc/hosts (Linux/Unix)
- Editieren von C:\WINDOWS\system32\drivers\etc\hosts (Windows XP/7/8)
- Konfigurieren Ihres eigenen DNS-Servers
Sehen Sie für weitere Informationen dazu in der Dokumentation Ihres Betriebssystems nach.
Authentifizierung über eine eigene Zertifikatsstruktur
Alternativ ist es auch möglich, Ihre eigene Zertifikatsstruktur zu verwenden, und eine selbst generierte Zertifikat/Schlüssel-Kombination auf den Router zu laden, um dann diese für einen Zugang über eine HTTPS-Verbindung zu verwenden.
Dazu müssen Sie zuerst Ihre selbst generierte Zertifikat/Schlüssel-Kombination in der Zertifikatsverwaltung des Routers hochladen (Menü Administration -> Zertifikate).
Danach muss diese Zertifikat/Schlüssel-Kombination bei der Konfiguration des Web-Interface-Zugangs über HTTPS ausgewählt werden (Menü Administration -> Web-Interface).
Authentifizierung eines Clients mit einem Zertifikat
Diese Funktion ermöglicht den Zugriff auf das Web-Interface des Routers über eine HTTPS-Verbindung ohne Eingabe der Zugangsdaten. Dazu muss die Client-Authentifizierung via Zertifikat (Menü Administration -> Web-Interface) aktiviert sein. Auf dem Router muss dazu ein CA-Zertifikat installiert (Menü Administration -> Zertifikate) und für die Client-Authentifizierung ausgewählt sein. Im Browser des Clients, der auf den Router zugreifen soll, muss ein Client-Zertifikat installiert sein, dass mit diesem CA-Zertifikat erstellt wurde. Optional kann eine CRL hinterlegt und ausgewählt werden, um bereits ausgestellte Zertifikate nachträglich zurückrufen zu können. Über die Benutzergruppe können die Rechte für einen Zugriff, der über ein Client-Zertifikat authentifiziert wird, eingeschränkt werden.