Protokolle für das einfache Ausrollen von Zertifikaten erhöhen die Skalierbarkeit der Ausrollung bei größeren Netzwerk-Umgebungen mit PKI (Public-Key-Infrastruktur). Neben dem anfänglichen Ausrollen der Zertifikate wird auch die regelmäßige Erneuerung der Zertifikate unterstützt. Dabei sendet der Client automatisiert eine Anfrage für die Erneuerung eines Zertifikats an einen Server wenn die restliche Lebensdauer des Zertifikats eine bestimmte Schwelle unterschreitet. Für eine Erhöhung der Sicherheit kann dadurch die Lebensdauer eines Zertifikats deutlich kürzer festgelegt werden, als dies bei einer manuellen Erstellung und Ausrollung praktikabel wäre.
Sämtliche bezogenen Zertifikate, Schlüssel und Widerrufslisten stehen in den entsprechenden Dropdown-Listen zur Auswahl zur Verfügung. Dabei muss die Zertifikatsregistrierungs-Instanz ausgewählt werden, welche das erforderliche Zertifikat bezieht.
Derzeit wird für die Zertifikatsregistrierung nur das Protokoll EST (Enrollment over Secure Transport) unterstützt.
Wenn ein Zertifikatsregistrierungs-Server konfiguriert ist und das Profil aktiviert wird, ist der Ablauf bei EST wie folgt:
Der Client bezieht das CA-Zertifikat vom EST-Server
Der Client erstellt seinen eigenen privaten Schlüssel
Der Client erstellt eine Zertifikatsanfrage (Certificate Signing Request, CSR)
Der Client sendet die Zertifikatsanfrage im PKCS#10-Format im Rahmen eines Enrollment an den EST-Server
Wenn der EST-Server das Enrollment akzeptiert, erstellt er daraufhin das Client-Zertifikat und signiert es mit der CA
Der Client bezieht das Zertifikat im positiven Fall
Der Client prüft regelmäßig die verbleibende Lebensdauer seines Zertifikats und sendet im Rahmen eines Reenrollment eine neue CSR wenn die verbleibende Lebensdauer einen Grenzwert unterschreitet (Parameter Anteil der Lebensdauer vor der automatischen Erneuerung)
Für den Fall, dass die Gültigkeit des CA-Zertifikats ausläuft, wird im Rahmen eines Rollover das CA-Zertifikat sowie das Client-Zertifikat ausgetauscht.
Bitte beachten Sie!
Client-Zertifikat und -Schlüssel, CA-Zertifikat und CRL werden nicht im Profil des Routers gespeichert und können somit auch nicht durch das Herunterladen und Wiederhochladen eines Profils im Binärformat auf einen anderen Router dupliziert werden.
Es ist nicht möglich, den privaten Schlüssel auf irgendeinem Weg (wie Web-Interface, CLI, ASCII-Konfiguration oder Binär-Konfiguration) vom Router herunterzuladen!
In der Bedienoberfläche des Routers wird im Menü Administration → Zertifikate im Abschnitt Zertifikatsregistrierung (EST) in der Spalte Status angezeigt. Über CLI kann der Status mit dem Befehl status.sysdetail.cert_enrollment.enrollment[x].state abgefragt werden. Dabei sind folgende Zustände möglich:
Bedienoberfläche | CLI | Bemerkung |
|---|---|---|
Inaktiv | inactive | |
Nicht im laufenden Profil enthalten | - | Wird angezeigt, wenn man eine neue EST-Instanz angelegt, aber das Profil noch nicht aktiviert hat. |
Privater Schlüssel wird erstellt | create_key_pair | |
CA-Zertifikat wird heruntergeladen | obtain_ca | |
Client-Zertifikat wird heruntergeladen | request_client_cert | |
Client-Zertifikat vorhanden | idle | |
CSR wird erstellt | create_csr | |
Erneuerung der Zertifikate | reenrollment | |
Fehler: Invalide Konfiguration | init |