Sophos XG mit gültigem SSL Zertifikat absichern

Schon einige Jahre betreibe ich zuhause eine Sophos UTM, seit kurzen nun das neue Modell XG. Da mich immer die Fehlermeldung bei einem ungültigem Zertifikat stört, habe ich mich mal dran gesetzt ein gültiges Zertifikat einzuspielen.

Da der Aufwand hierfür etwas höher ist und die Zertifikatsbeantragung nicht automatisch durchgeführt werden kann, habe ich mich gegen Let’s Encrypt entschieden und ein Zertifikat gekauft. Mit ca. 20 Euro pro Jahr halten sich die Kosten hierfür auch in Grenzen.

# CSR (Certificate Signing Request) erstellen

Um ein Zertifikat beantragen zu können brauchen wir ein CSR. Dieses kann man auf einem beliebigen Linux Rechner leicht erstellen, dafür benötigt man nur das **openssl** Package:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ‚example_com.key‘ -out ‚example_com.csr‘ -subj ‚/CN=example.com/C=DE‘

Die hier verwendete Domain „example.com“ muss natürlich gegen die tatsächliche Domain getauscht werden.

Nun wird eine .csr Datei erstellt sowie eine .key Datei. Letzteres ist der private Schlüssel und sollte nicht rausgegeben, geschweige denn veröffentlicht werden.

# Zertifikat beantragen und einspielen

Mit dem CSR kann man nun bei einem Dienstleister seiner Wahl ein SSL Zertifikat beantragen. Hat man das Zertifikat, öffnet man den Sophos Webadmin, navigiert über „Objects“, „Identity“ zu „Certificate“ und wählt „Add“.
Im folgenden Bildschirm wählt man nun das Zertifikat und je nachdem in welchem Format das Zertifikat vorliegt das entsprechende Format. Auch der bei CSR erstellte private Schlüssel muss angegeben werden.

Nun kann das ganze gespeichert werden.

Abschließend muss das gerade hochgeladene Zertifikat noch aktiviert werden.Dazu navigieren wir zu „System“, „Administration“, „Settings“. Dort kann das neue Zertifikat ausgewählt werden.

Ich nutze das Zertifikat auch zum absichern meiner virtuellen Webserver in der Web Application Firewall. Hierfür muss das Zertifikat jeweils bei jeder Konfiguration hinterlegt werden.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*