In diesem Dokument erfahren Sie, wie Sie eine CSR-Anfrage (Certificate Signing Request) erstellen und Zertifikate auf den Routern der Serien RV160 und RV260 importieren und exportieren.
Digitale Zertifikate sind im Kommunikationsprozess wichtig. Sie ermöglicht die digitale Identifikation für die Authentifizierung. Ein digitales Zertifikat enthält Informationen zur Identifizierung eines Geräts oder Benutzers, z. B. Name, Seriennummer, Firma, Abteilung oder IP-Adresse.
Zertifizierungsstellen (Certificate Authority, CA) sind vertrauenswürdige Behörden, die Zertifikate zur Überprüfung ihrer Authentizität "signieren", was die Identität des Geräts oder Benutzers garantiert. Sie stellt sicher, dass der Zertifikatsinhaber wirklich der ist, der er sein will. Ohne ein vertrauenswürdiges signiertes Zertifikat können Daten verschlüsselt werden, aber die Partei, mit der Sie kommunizieren, ist möglicherweise nicht die, mit der Sie denken. CA verwendet Public Key Infrastructure (PKI) bei der Ausgabe von digitalen Zertifikaten, die die Sicherheit durch Verschlüsselung von öffentlichen oder privaten Schlüsseln gewährleisten. Zertifizierungsstellen sind für die Verwaltung von Zertifikatsanfragen und die Ausstellung digitaler Zertifikate zuständig. Beispiele für CA: IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust, Verisign und vieles mehr.
Zertifikate werden für SSL- (Secure Socket Layer), TLS- (Transport Layer Security), DTLS- (Datagram TLS)-Verbindungen (z. B. Hypertext Transfer Protocol (HTTPS) und LDAPS (Secure Lightweight Directory Access Protocol) verwendet.
· RV160
· RV260
·1.0.00.15
Dieser Artikel enthält folgende Informationen:
Schritt 1: Melden Sie sich bei der Webseite für die Konfiguration an.
Schritt 2: Navigieren Sie zu Administration > Certificate.
Schritt 3: Klicken Sie auf der Seite Zertifikat auf die Schaltfläche CSR/Zertifikat generieren...
Schritt 4: Wählen Sie aus einer der folgenden Optionen in der Dropdown-Liste den zu generierenden Zertifikatstyp aus.
· Selbstsigniertes Zertifikat - Dies ist ein SSL-Zertifikat (Secure Socket Layer), das von einem eigenen Ersteller signiert wird. Dieses Zertifikat ist weniger vertrauenswürdig, da es nicht abgebrochen werden kann, wenn der private Schlüssel durch einen Angreifer kompromittiert wird. Sie müssen die gültige Dauer in Tagen angeben.
· Zertifizierungsstellenzertifikat: Wählen Sie diesen Zertifikatstyp aus, damit Ihr Router wie eine interne Zertifizierungsstelle fungiert und Zertifikate ausstellt. Im Hinblick auf die Sicherheit ähnelt es einem selbstsignierten Zertifikat. Dies kann für OpenVPN verwendet werden.
· Certificate Signing Request - Dies ist eine Public Key Infrastructure (PKI), die an die Zertifizierungsstelle gesendet wird, um ein digitales Identitätszertifikat zu beantragen. Sie ist sicherer als selbstsignierte Schlüssel, da der private Schlüssel geheim gehalten wird. Diese Option wird empfohlen.
· Zertifikat signiert durch Zertifizierungsstellenzertifikat - Wählen Sie diesen Zertifikatstyp aus, und geben Sie die entsprechenden Details an, um das Zertifikat von Ihrer internen Zertifizierungsstelle zu signieren.
In diesem Beispiel wählen Sie Zertifikatssignierungsanfrage.
Schritt 5: Geben Sie den Zertifikatsnamen ein. In diesem Beispiel geben Sie CertificateTest ein.
Schritt 6: Wählen Sie im Feld Subject Alternative Name (Subject Alternative Name) eine der folgenden Optionen aus: IP-Adresse, FQDN (Fully Qualified Domain Name) oder E-Mail und geben Sie dann den gewünschten Namen aus dem, was Sie ausgewählt haben, ein. In diesem Feld können Sie zusätzliche Hostnamen angeben.
In diesem Beispiel wählen wir FQDN und geben ciscoesupport.com ein.
Schritt 7: Wählen Sie ein Land aus der Dropdown-Liste Ländername (C) aus.
Schritt 8: Geben Sie einen Bundesland- oder Provinznamen in das Feld Bundesland oder Bundesland ein.
Schritt 9: Geben Sie im Ortsnamen einen Ortsnamen ein.
Schritt 10: Geben Sie den Namen der Organisation im Feld Organisationsname ein.
Schritt 11: Geben Sie den Namen der Organisationseinheit ein (z. B. Schulung, Support usw.).
In diesem Beispiel geben wir eSupport als Namen unserer Organisationseinheit ein.
Schritt 12: Geben Sie einen allgemeinen Namen ein. Der FQDN des Webservers, der dieses Zertifikat empfängt.
In diesem Beispiel wurde ciscosmbsupport.com als allgemeiner Name verwendet.
Schritt 13: Geben Sie eine E-Mail-Adresse ein.
Schritt 14: Wählen Sie im Dropdown-Menü die Schlüssellänge für die Verschlüsselung aus. Folgende Optionen sind verfügbar: 512, 1024 oder 2048. Je größer die Schlüssellänge, desto sicherer ist das Zertifikat. Je größer die Schlüssellänge, desto länger dauert die Verarbeitung.
Best Practice: Es wird empfohlen, die maximale Schlüssellänge auszuwählen, um eine strengere Verschlüsselung zu ermöglichen.
Schritt 15: Klicken Sie auf Generieren.
Schritt 16: Ein Information-Popup wird mit dem Text "Zertifikat erfolgreich generieren!" angezeigt. Nachricht. Klicken Sie auf OK, um fortzufahren.
Schritt 17: Exportieren Sie die CSR aus der Zertifikatstabelle.
Schritt 18: Ein Fenster Zertifikat exportieren wird angezeigt. Wählen Sie PC für den Export in aus und klicken Sie anschließend auf Exportieren.
Schritt 19: Es sollte ein anderes Fenster angezeigt werden, in dem Sie gefragt werden, ob die Datei geöffnet oder gespeichert werden soll.
In diesem Beispiel wählen wir Datei speichern und klicken dann auf OK.
Schritt 20: Suchen Sie den Speicherort der .pem-Datei. Klicken Sie mit der rechten Maustaste auf die .pem-Datei, und öffnen Sie sie mit dem bevorzugten Text-Editor.
In diesem Beispiel öffnen wir die .pem-Datei mit Notepad++.
Anmerkung: Sie können es auch mit Notepad öffnen.
Schritt 21: Stellen Sie sicher, dass die - BEGINNUNGSZERTIFIKATANFORDERUNG und - ENDZERTIFIKATANFORDERUNG - sich in der eigenen Zeile befindet.
Anmerkung: Einige Teile des Zertifikats waren verschwommen.
Schritt 22: Wenn Sie Ihren CSR haben, müssten Sie zu Ihren Hosting-Diensten oder einer Zertifizierungsstelle-Website (z. B. GoDaddy, Verisign usw.) gehen und ein Zertifikat anfordern. Sobald Sie eine Anfrage gesendet haben, wird diese mit dem Zertifikatsserver kommunizieren, um sicherzustellen, dass kein Grund besteht, das Zertifikat nicht auszustellen.
Anmerkung: Wenn Sie nicht wissen, wo sich die Zertifikatsanforderung auf der Website befindet, wenden Sie sich an die Zertifizierungsstelle oder den Support für die Hosting-Site.
Schritt 23: Laden Sie das Zertifikat herunter, sobald es abgeschlossen ist. Es sollte sich um eine .cer- oder .crt-Datei handeln. In diesem Beispiel wurden beide Dateien bereitgestellt.
Schritt 24: Gehen Sie zurück zur Seite Zertifikat Ihres Routers, und importieren Sie die Zertifikatsdatei, indem Sie auf den Pfeil klicken, der auf das Symbol Gerät zeigt.
Schritt 25: Geben Sie im Feld Zertifikatsname den Zertifikatsnamen ein. Der Name darf nicht mit dem Namen der Zertifikatssignierungsanfrage übereinstimmen. Wählen Sie im Abschnitt Zertifikatsdatei hochladen die Option Importieren aus PC aus, und klicken Sie auf Durchsuchen.., um die Zertifikatsdatei hochzuladen.
Schritt 26: Ein Fenster Datei-Upload wird angezeigt. Navigieren Sie zum Speicherort der Zertifikatsdatei. Wählen Sie die Zertifikatsdatei, die Sie hochladen möchten, und klicken Sie auf Öffnen. In diesem Beispiel wurde CertificateTest.cer ausgewählt.
Schritt 27: Klicken Sie auf die Schaltfläche Hochladen, um das Hochladen Ihres Zertifikats zum Router zu starten.
Anmerkung: Wenn Sie eine Fehlermeldung erhalten, bei der Sie Ihre .cer-Datei nicht hochladen können, kann dies daran liegen, dass Ihr Router das Zertifikat als Spam-Kodierung benötigt. Sie müssen die Codierung (.cer Dateierweiterung) in eine Paketcodierung (.crt Dateierweiterung) konvertieren.
Schritt 28: Wenn der Import erfolgreich war, sollte ein Informationsfenster angezeigt werden, das Sie darüber informiert, dass der Import erfolgreich war. Klicken Sie auf OK, um fortzufahren.
Schritt 29: Ihr Zertifikat sollte erfolgreich aktualisiert werden. Sie sollten sehen können, von wem Ihr Zertifikat signiert wurde. In diesem Beispiel sehen wir, dass unser Zertifikat von CiscoTest-DC1-CA signiert wurde. Wenn Sie das Zertifikat als unser primäres Zertifikat festlegen möchten, wählen Sie das Zertifikat mithilfe des Optionsfelds links aus, und klicken Sie auf die Schaltfläche Als primäres Zertifikat auswählen....
Anmerkung: Wenn Sie das primäre Zertifikat ändern, gelangen Sie zurück zu einer Warnseite. Wenn Sie Firefox verwenden und es als graue leere Seite angezeigt wird, müssten Sie die Konfiguration auf Ihrem Firefox anpassen. Dieses Dokument über das Mozilla Wiki bietet einige Erläuterungen dazu: CA/AddRootToFirefox. Um die Warnungsseite erneut sehen zu können, folgen Sie diesen Schritten, die auf der Support-Seite der Mozilla-Community gefunden wurden.
Schritt 30: Klicken Sie auf der Firefox-Warnseite auf Erweitert ... und akzeptieren Sie das Risiko und fahren Sie fort, um zum Router zurückzukehren.
Anmerkung: Diese Warnbildschirme unterscheiden sich je nach Browser, führen aber die gleichen Funktionen aus.
Schritt 31: In der Zertifikatstabelle sollten Sie sehen, dass NETCONF, WebServer und RESTCONF auf das neue Zertifikat ausgetauscht wurden, anstatt das Default-Zertifikat zu verwenden.
Sie sollten jetzt erfolgreich ein Zertifikat auf Ihrem Router installiert haben.
Schritt 1: Wenn Sie von der Seite Zertifikat weg navigiert haben, wechseln Sie zu Administration > Certificate.
Schritt 2: Klicken Sie in der Zertifikatstabelle auf das Details-Symbol im Abschnitt Details.
Schritt 3: Die Seite Zertifikatdetails wird angezeigt. Sie sollten alle Informationen zu Ihrem Zertifikat anzeigen können.
Schritt 4: Klicken Sie auf das Sperrsymbol auf der linken Seite der Leiste Uniform Resource Locator (URL).
Anmerkung: Die folgenden Schritte werden in einem Firefox-Browser verwendet.
Schritt 5: Eine Dropdown-Liste mit Auswahlmöglichkeiten wird angezeigt. Klicken Sie auf das Pfeilsymbol neben dem Feld Verbindung.
Schritt 6: Klicken Sie auf Weitere Informationen.
Schritt 7: Im Bereich Seiteninfo sollten Sie im Abschnitt Website-Identität kurze Informationen zu Ihrem Zertifikat sehen können. Vergewissern Sie sich, dass Sie sich auf der Registerkarte Sicherheit befinden, und klicken Sie dann auf Zertifikat anzeigen, um weitere Informationen zu Ihrem Zertifikat anzuzeigen.
Schritt 8: Die Seite Certificate Viewer sollte angezeigt werden. Sie sollten alle Informationen über Ihr Zertifikat, die Gültigkeitsdauer, die Fingerabdrücke und die Person, von der es ausgestellt wurde, einsehen können.
Anmerkung: Da dieses Zertifikat von unserem Testzertifikatserver ausgestellt wurde, ist der Aussteller unbekannt.
So laden Sie Ihr Zertifikat herunter, um es auf einen anderen Router zu importieren:
Schritt 1: Klicken Sie auf der Seite Zertifikat auf das Exportsymbol neben dem Zertifikat, das Sie exportieren möchten.
Schritt 2: Ein Exportzertifikat wird angezeigt. Wählen Sie ein Format für den Export des Zertifikats aus. Folgende Optionen sind verfügbar:
· PKCS#12 - Public Key Cryptography Standards (PKCS) #12 ist ein exportiertes Zertifikat, das in der Erweiterung .p12 enthalten ist. Um die Datei zu verschlüsseln, wird ein Kennwort benötigt, um sie beim Exportieren, Importieren und Löschen zu schützen.
· PEM - Privacy Enhanced Mail (PEM) wird häufig für Webserver verwendet, damit diese mithilfe eines einfachen Texteditors wie Notepad leicht in lesbare Daten übersetzt werden können.
Wählen Sie Als PKCS#12-Format exportieren aus, geben Sie ein Kennwort ein und bestätigen Sie das Kennwort. Wählen Sie anschließend PC als Exportieren in: feld. Klicken Sie auf Exportieren, um das Zertifikat auf Ihren Computer zu exportieren.
Anmerkung: Denken Sie daran, dass dieses Kennwort beim Importieren in einen Router verwendet wird.
Schritt 3: Es erscheint ein Fenster mit der Frage, was Sie mit dieser Datei machen sollten. In diesem Beispiel wählen wir Datei speichern und klicken dann auf OK.
Schritt 4: Die Datei sollte im Standardspeicherort gespeichert werden.
In unserem Beispiel wurde die Datei im Ordner Downloads auf unserem Computer gespeichert.
Schritt 1: Klicken Sie auf der Seite Zertifikat auf die Schaltfläche Zertifikat importieren....
Schritt 2: Wählen Sie den Zertifikatstyp aus der Dropdown-Liste Typ im Abschnitt Zertifikat importieren aus. Die Optionen sind wie folgt definiert:
· Zertifizierungsstellenzertifikat - Ein Zertifikat, das von einer vertrauenswürdigen Behörde eines Drittanbieters zertifiziert wurde, die bestätigt hat, dass die im Zertifikat enthaltenen Informationen korrekt sind.
Zertifikat für · lokales Gerät - Ein auf dem Router generiertes Zertifikat.
· PKCS#12 Encoded File - Public Key Cryptography Standards (PKCS) #12 ist ein exportiertes Zertifikat, das in der Erweiterung .p12 enthalten ist.
In diesem Beispiel wurde PKCS#12 Encoded File als Typ ausgewählt. Geben Sie einen Namen für das Zertifikat ein, und geben Sie dann das Kennwort ein, das verwendet wurde.
Schritt 3: Wählen Sie im Abschnitt Zertifikatsdatei hochladen entweder Importieren vom PC oder Importieren aus USB. In diesem Beispiel wurde Import von PC ausgewählt. Klicken Sie auf Durchsuchen..., um eine Datei zum Hochladen auszuwählen.
Schritt 4: Navigieren Sie im Fenster File Upload (Dateihochladen) zu dem Speicherort, an dem sich die PKCS#12 Encoded File (Dateierweiterung .p12) befindet. Wählen Sie die Datei .p12 aus und klicken Sie dann auf Öffnen.
Schritt 5: Klicken Sie auf Hochladen, um das Hochladen des Zertifikats zu starten.
Schritt 6: Ein Informationsfenster wird angezeigt, in dem Sie wissen, dass das Zertifikat erfolgreich importiert wurde. Klicken Sie auf OK, um fortzufahren.
Schritt 7: Sie sollten sehen, dass Ihr Zertifikat hochgeladen wurde.
Sie sollten gelernt haben, wie Sie ein CSR-Zertifikat generieren, importieren und ein Zertifikat auf den Routern der Serien RV160 und RV260 herunterladen.