Hintergrund

Die im DEFENDO integrierte CA wird in erster Linie dazu genutzt, Zertifikate zur Authentifizierung von IPSec-VPN, OpenVPN oder Reverse-Proxy Verbindungen auszustellen. Läuft die CA ab, werden auch alle von ihr ausgestellten Zertifikate ungültig.
Wie jedes Zertifikat hat auch ein CA-Zertifikat eine Gültigkeitsdauer. Im DEFENDO betrug die Gültigkeitsdauer von CA-Zertifikaten die vor Version 6.0-1.6 erstellt wurden 10 Jahre. Die Begrenzung auf 10 Jahre war sinnvoll, da es sich um 2048 Bit Schlüssel handelte und Prognosen zu deren Sicherheit in unseren Augen keine längere Nutzungsdauer zuließen. Mittlerweile werden auch größere Schlüssel weitgehend unterstützt, so dass wir dazu übergegangen sind, CA Zertifikate per Default mit 4096 Bit Schlüsseln und einer Gültigkeitsdauer von 20 Jahren zu erstellen.
Dieser Artikel soll aufzeigen, was zu tun ist, wenn das CA-Zertifikat abläuft. Abhängig von der Anzahl der betroffenen Systeme kann der Wechsel aller Zertifikate natürlich mit deutlichem Aufwand verbunden sein. Wir haben deshalb Funktionen eingebaut, die eine weitestgehend unterbrechungsfreie Migration über einen längeren Zeitraum hinweg ermöglichen.
Die nachfolgende Beschreibung bezieht sich auf die Menü-Titel ab Version 7.1. Das Menü "System > Zertifikatsverwaltung > CA Zertifikate" entspricht in älteren Versionen dem Menü "System > Zertifikatsverwaltung". Der Link "DEFENDO-CA" entspricht in älteren Versionen dem Untermenü "DEFENDO-CA", der Link "Zertifikate" entspricht in älteren Versionen dem Untermenü "Erstellte Zertifikate".

Vorgehen bei einfachen Installationen

Sind nur sehr wenige Zertifikate in Verwendung und ist eine Unterbrechung des Nutzbetriebes vertretbar, können Sie wie folgt vorgehen:
  • Gehen Sie in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie auf den Link "DEFENDO-CA"
  • Erstellen Sie vorsichtshalber ein Backup des alten CA Schlüsselpaars (*.p12-Datei)
  • Erstellen Sie das neue CA-Zertifikat und fertigen Sie auch davon ein Backup an
  • Wechseln Sie zurück in die Übersicht "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie diesmal auf den Link "Zertifikate"
  • Erstellen Sie neue Zertifikate für die anderen beteiligten Server und Clients. Speziell bei Zertifikaten für Server sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind
  • Verteilen Sie die neuen Zertifikate an die entsprechenden Administratoren und Anwender
  • Sollte Ihr DEFENDO einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat in der DEFENDO-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen
  • Als letztes Zertifikat erstellen Sie das Zertifikat mit dem Namen "VPN" neu, das für den lokalen VPN-Server gedacht ist. Auch hier sollten Sie die Zertifikatsdaten nicht verändern
  • Es ist denkbar, dass einzelne Gegenstellen Ihren DEFENDO nicht über CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue DEFENDO VPN-Zertifikat übermitteln, das Sie mit "Zertifikat exportieren" herunterladen können (*.crt-Datei)
  • Die Kommunikationspartner können sich nun erst dann wieder erfolgreich authentifizieren, wenn diese die neuen Zertifikate installiert haben

Weitgehend unterbrechungsfreie Umstellung

Insbesondere größere Installationen können in der Regel nicht in kürzester Zeit umgestellt werden. Mit der nachfolgend beschriebenen Methode können Sie die Umstellung schon Monate vor Ablauf des CA-Zertifikats beginnen. Unterbrechungen beschränken sich dabei auf den Neuaufbau von Verbindungen.
Vorbereitung
Gehen Sie in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie auf den Link "DEFENDO-CA"
Notieren Sie sich sorgfältig die angezeigten Zertifikatsdaten ("Ausgestellt von") der alten CA
Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird
Erstellen Sie vorsichtshalber ein Backup des alten CA Schlüsselpaars (*.p12-Datei)
Wechseln Sie auf dem Reiter (Tab) "CA Sperrliste". Falls dort eine Zertifikats-Sperrliste (CRL) verfügbar ist, exportieren Sie diese bitte (*.crl-Datei).
Reverse-Proxy mit Client-Zertifikaten (Teil 1)
Sollte von der lokalen CA noch keine CRL erstellt worden sein (siehe vorheriger Punkt), kann es sinnvoll sein, dies jetzt nachzuholen. Sollte es nämlich in der Phase der CA-Umstellung notwendig werden, ein von der neuen CA ausgestelltes Zertifikat zu sperren (beispielsweise weil ein Mitarbeiter die Firma verlässt oder ein Gerät gestohlen wird), muss im Reverse-Proxy auch eine CRL der alten CA hinterlegt werden. Legen Sie bei Bedarf die CRL im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter dem Link "DEFENDO-CA" auf dem Reiter (Tab) "CA Sperrliste" an und exportieren Sie diese (*.crl-Datei).
Egal ob Sie eine CRL erstellt haben oder nicht: Wechseln Sie nun in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern
Aktivieren Sie auf dem Reiter "Vertrauenswürdige CA" zusätzlich zur DEFENDO eigenen CA die benutzerdefinierte CA und importieren Sie den zuvor gesicherten öffentlichen Schlüssel der (alten) DEFENDO CA (*.crt-Datei).
Damit ist sichergestellt, dass sich nach der Erstellung des neuen CA-Zertifikats auch Clients mit Zertifikaten der alten CA verbinden können
Erstellen des neuen CA-Zertifikats
Weiter geht es im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter "DEFENDO-CA"
Erstellen Sie das neue CA-Zertifikat. Dabei müssen die Zertifikatsdaten (Distinguished Name) exakt identisch mit den zuvor notierten Daten des alten Zertifikats sein
Fertigen Sie ein Backup des neuen CA-Schlüsselpaars an (*.p12-Datei)
Exportieren Sie den öffentlichen Schlüssel (*.crt-Datei), da dieser eventuell später benötigt wird
Reverse-Proxy mit Client-Zertifikaten (Teil 2)
War keine Zertifikats-Sperrliste (CRL) der alten CA angelegt, können Sie diesen Abschnitt überspringen
Erstellen Sie bitte jetzt eine neue Sperrliste im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter "DEFENDO-CA" auf dem Reiter (Tab) "CA Sperrliste". Sie brauchen diese Sperrliste nicht herunterzuladen.
Clients mit Zertifikaten der alten CA können sich nun vorübergehend nicht mehr verbinden!
Wechseln Sie in das Menü "Module > Reverse-Proxy" und bearbeiten Sie nacheinander alle Ports, die Client-Zertifikate anfordern
Importieren Sie auf dem Reiter "Vertrauenswürdige CA" die anfangs gesicherte Sperrliste der alten CA (*.crl-Datei)
Clients mit Zertifikaten der alten CA können sich nun wieder verbinden
VPN mit Zertifikaten
Öffnen Sie nun das Menü "Module > Netzwerk > Einstellungen" und dort den Reiter (Tab) "Vertrauenswürdige VPN CA"
Legen Sie dort die soeben aktualisierte DEFENDO CA als neue vertrauenswürdige CA fest
Sofern die Zertifikatsdaten identisch zur alten CA sind, wird Ihnen angeboten, der alten Version der CA weiterhin zu vertrauen. Stimmen Sie dem bitte zu. Fehlt diese Rückfrage, sind vermutlich die Zertifikatsdaten der alten und neuen CA unterschiedlich, so dass ein unterbrechungsfreier Wechsel nicht möglich ist. Korrigieren Sie ggf. das CA-Zertifikat
Zu diesem Zeitpunkt ist sichergestellt, dass sich VPN- und Reverse-Proxy-Verbindungen sowohl mit Zertifikaten der alten, als auch der neuen CA herstellen lassen. Sie können nun nach und nach alle Systeme umstellen, indem Sie im Menü "System > Zertifikatsverwaltung > CA Zertifikate" unter dem Link "Zertifikate" neue Zertifikate und Installationspakete erstellen, ohne jedoch das eigene VPN-Server Zertifikat mit Namen "VPN" neu zu erstellen. Insbesondere bei Server-Zertifikaten sollten Sie die Zertifikatsdaten nicht verändern, da diese u.U. in der Konfiguration hinterlegt sind.
Folgende Besonderheiten sind zu beachten:
DEFENDOORBITER
Die Installationspakete enthalten sowohl das neue als auch das alte CA-Zertifikat. Das alte Zertifikat wird jedoch erst ab DEFENDOORBITER-Version 2.3.1 erkannt und installiert. Aktualisieren Sie Ihren DEFENDOORBITER falls erforderlich
DEFENDO Außenstellen
Beim Import eines von der neuen CA ausgestellten Zertfifikats wird angeboten, die vertrauenswürdige CA zu aktualisieren. Führen Sie diesen Schritt unbedingt durch. Dabei erfolgt wiederum die Rückfrage, ob alte und neue Version des CA-Zertifikats beizubehalten sind, sofern die Zertifikatsdaten (Distinguished Name) identisch sind. Auch dem müssen Sie zustimmen
Sind mehrere DEFENDOs auch quer untereinander vernetzt, sollten Sie das neue CA-Zertifikat bereits im Vorfeld als vertrauenswürdig hinterlegen
DEFENDO Außenstellen die mit OpenVPN angebunden sind und deren ovpnc-Schnittstelle auf dem Reiter "Authentifizierung" ein verbindungsspezifisches Zertifikat aufweist, können nicht unterbrechungsfrei umgestellt werden
iOS VPN-Installationspakete
Der CA-Wechsel wurde hier bislang noch nicht getestet. Setzen Sie sich bei Bedarf mit dem technischen Support in Verbindung
Authentifizierung über bestimmtes Zertifikat
Sollte Ihr DEFENDO einzelne IPSec-Gegenstellen nicht anhand der CA sondern über das jeweilige Zertifikat authentifizieren, müssen Sie das Zertifikat in der DEFENDO-Konfiguration aktualisieren. Prüfen Sie dazu den Reiter "Authentifizierung" in den IPSec-Verbindungen
Das Ablauf-Datum des CA-Zertifikats spielt in diesem Fall zumindest auf DEFENDO-Systemen keine Rolle. Lediglich das Ablaufdatum des Zertifikats der Gegenstelle ist relevant. Authentifziert auch die Gegenstelle Ihren DEFENDO über bestimmtes Zertifikat, müsste dieses folglich nicht zwingend aktualisiert werden
Produkte von Drittherstellern
Sofern diese den DEFENDO anhand des CA-Zertifikats authentifizieren, empfiehlt es sich, auf diesen Geräten sowohl das alte als auch das neue CA-Zertifikat zu hinterlegen
Mit Abschluss dieser Phase sind nun alle Systeme auf Zertifikate der neuen CA umgestellt, mit Ausnahme des DEFENDO-eigenen VPN-Servers, der als letztes umgestellt wird:
  • Erstellen Sie schließlich das Zertifikat mit dem Namen "VPN" neu. Auch hier sollten Sie die Zertifikatsdaten nicht verändern
  • Es ist denkbar, dass einzelne Gegenstellen Ihren DEFENDO nicht über CA sondern anhand des Server-Zertifikats authentifizieren. In diesem Fall müssen Sie der Gegenstelle das neue DEFENDO VPN-Zertifikat übermitteln, das Sie mit "Zertifikat exportieren" herunterladen können (*.crt-Datei)
  • Im Menü "Module > Netzwerk > Einstellungen" können Sie nun auf dem Reiter (Tab) "Vertrauenswürdige VPN CA" das alte CA-Zertifikat löschen
  • Entsprechend können Sie im Menü "Module > Reverse-Proxy" nacheinander alle Ports bearbeiten, die Client-Zertifikate anfordern. Deaktivieren Sie auf dem Reiter "Vertrauenswürdige CA" die benutzerdefinierte (alte) CA.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany