Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Damit sowohl die Unified Firewall in der Zentrale als auch die Unified Firewall in der Filiale VPN-SSL Einwahl-Verbindungen annehmen können, muss auf beiden Unified Firewalls jeweils eine eigene CA sowie zwei ein VPN-SSL Zertifikate Zertifikat erstellt werden. Eines der Das VPN-SSL-Zertifikate Zertifikat wird dann jeweils in den VPN-SSL-Einstellungen hinterlegt und dient zum Entschlüsseln der VerbindungenVerbindung. Anschließend wird das andere VPN-SSL Zertifikat mitsamt der Zertifikatskette Das Zertifikat wird anschließend exportiert und in der jeweils anderen Unified Firewall importiert. Dort wird das importierte Zertifikat in der VPN-SSL Verbindung hinterlegt und dient dort zum Verschlüsseln der Verbindung.

...

1.1.1 Verbinden Sie sich mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Image Modified

1.1.2 Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Zentrale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

Image Modified

1.1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in den VPN-SSL-Einstellungen der Zentrale hinterlegt wird (siehe Schritt 1.1.8). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Zentrale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Setzen Sie die Gültigkeit auf mindestens 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.

Image Modified

1.1.4 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in der VPN-SSL-Verbindung der Filiale hinterlegt wird. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:Klicken Sie bei dem in Schritt 1.1.3 erstellten Zertifikat auf die Schaltfläche für den Zertifikat-Export.

Image Added

1.1.5 Wählen Sie das Format PEM / CRT, aktivieren die Option Zertifikatskette exportieren und klicken auf Exportieren.

Image Added

1.1.6 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

Image Added

1.1.8 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte VPN-Zertifikat aus.
  • Private-Key-Passwort: Tragen
  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Zentrale-Filiale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.1.23 vergebene Private-Key-Passwort ein.
Info

Bei Bedarf können Sie auch die Gültigkeit des Zertifikates anpassen.

Image Removed

1.1.5 Klicken Sie bei dem in Schritt 1.1.4 erstellten Zertifikat auf die Schaltfläche für den Zertifikat-Export.

Image Removed

1.1.6 Wählen Sie das Format PEM / CRT, aktivieren die Option Zertifikatskette exportieren und klicken auf Exportieren.

Image Removed

1.1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

Image Removed

1.1.8 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte VPN-Zertifikat aus.
  • Private-Key-Passwort: Tragen Sie das in Schritt 1.1.3 vergebene Private-Key-Passwort ein.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.23.0/24.
  • Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
Info
Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

Image Removed

1.2 Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen auf der Unified Firewall in der Filiale:

1.2.1 Verbinden Sie sich mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Image Removed

1.2.2  Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Filiale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

Image Removed

1.2.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in den VPN-SSL-Einstellungen der Filiale hinterlegt wird (siehe Schritt 1.2.8). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate aus.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Filiale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Setzen Sie die Gültigkeit auf mindestens 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2.2 vergebene Private-Key-Passwort.

Image Removed

  • Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.23.0/24.
  • Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.


Info
Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

Image Added


1.2 Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen auf der Unified Firewall in der Filiale:

1.2.1 Verbinden Sie sich mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Image Added

1.2.2  Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Filiale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

Image Added

1.2.3 Erstellen 1.2.4 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in der den VPN-SSL-Verbindung Einstellungen der Zentrale hinterlegt wirdFiliale hinterlegt wird (siehe Schritt 1.2.8). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate aus.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Filiale-Zentrale).
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Setzen Sie die Gültigkeit auf mindestens 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2.2 vergebene Private-Key-Passwort.
Info

Bei Bedarf können Sie auch die Gültigkeit des Zertifikates anpassen.

Image Removed

Image Added

1.2.5 4 Klicken Sie bei dem in Schritt 1.2.43 erstellten Zertifikat auf die Schaltfläche für den Zertifikat-Export.

1.2.6 5 Wählen Sie das Format PEM / CRT, aktivieren die Option Zertifikatskette exportieren und klicken auf Exportieren.

1.2.7 6 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

Image Modified

1.2.8 7 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:

...