Zur Absicherung der Konfiguration des Routers über die Benutzeroberfläche stehen folgende Funktionen zur Verfügung:
Gesicherter Zugang über HTTPS-Verbindung
Authentifizierung eines Clients mit einem Zertifikat
Gesicherter Zugang über HTTPS-Verbindung
Die Benutzeroberfläche ermöglicht auch eine sichere Konfiguration unter Verwendung des HTTPS-Protokolls. Das HTTPS-Protokoll ermöglicht eine Authentifizierung des Servers (d.h. des Routers) sowie eine Verschlüsselung der Datenübertragung.
Authentifizierung über die Geräte-individuelle Zertifikat/Schlüssel-Kombination
Standardmäßig wird der Router über eine selbstzertifizierte, Geräte-individuelle Zertifikat/Schlüssel-Kombination authentifiziert. Bei einem ersten Zugriff über das HTTPS-Protokoll zeigt der Browser an, dass der Router ein ungültiges Sicherheitszertifikat verwendet. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat (CA-Zertifikat) unbekannt ist. Sie können diese Warnmeldung ignorieren und (je nach Browser und Betriebssystem) eine Ausnahme für diesen Server hinzufügen oder die sichere Verbindung zu diesem Server trotzdem aufbauen.
Wir empfehlen, die CA-Zertifikatskette herunterzuladen und in Ihren Browser zu importieren, um INSYS MICROELECTRONICS als Zertifizierungsstelle anzuerkennen. Gehen Sie dazu vor, wie in der Dokumentation Ihres Browsers beschrieben.
Die CA-Zertifikatskette besteht aus folgenden beiden CA-Zertifikaten:
Intermediate-Zertifikat, mit dem die Geräte-individuellen HTTPS-Server-Zertifikate ausgestellt wurden
Root-Zertifikat, mit dem das obige Intermediate-Zertifikat ausgestellt wurde
Hinweis für ältere Router!
Verwenden sie für Router mit einer Seriennummer bis 24136330 und einer MAC-Adresse bis 00:05:B6:12:E1:22 das bisherige CA-Zertifikat.
Hinweis für neue Router mit einer Firmware-Version bis 8.0!
Wenn Ihr Router eine Seriennummer ab 24136331 und eine MAC-Adresse ab 00:05:B6:12:E1:23 hat, aber mit einer Firmware-Version von 8.0 oder darunter betrieben wird, ergeben sich zwei Besonderheiten:
Da die alte Firmware die neue CA nicht kennt, zeigt sie in der klassischen Benutzeroberfläche eine Warnmeldung an, die besagt, dass das konfigurierte HTTPS-Zertifikat nicht von dem konfigurierten CA-Zertifikat ausgestellt wurde. Dies ist nur eine Warnung; sie kann ignoriert werden, da die HTTPS-Verbindung weiterhin funktioniert.
Wenn die Client-Authentifizierung über Zertifikate konfiguriert ist und das geräte-individuelle Zertifikat als Server-Zertifikat verwendet wird, wird die Client-Authentifizierung über Zertifikate deaktiviert. Wenn kein Fallback-Benutzername/Passwort konfiguriert ist, sind diese Geräte nicht mehr über HTTPS erreichbar.
Beide Effekte können unter einer Firmware-Version von 7.6 oder höher entschärft werden, indem die neue Zertifikatskette oben (Root-Zertifikat und Intermediate-Zertifikat) auf den Router hochgeladen wird und das Intermediate-Zertifikat als CA-Zertifikat für HTTPS ausgewählt wird.
Generell empfiehlt INSYS icom immer die Verwendung einer eigenen PKI für die HTTPS-Server-Zertifikate und die Client-Authentifizierung über Zertifikate. In diesem Fall tritt keiner der oben genannten Effekte auf.
Wenn INSYS MICROELECTRONICS als Zertifizierungsstelle in Ihrem Browser hinterlegt ist und sie erneut auf den Router über das HTTPS-Protokoll zugreifen, zeigt der Browser erneut an, dass ein ungültiges Sicherheitszertifikat verwendet wird. Dem Zertifikat wird nicht vertraut, weil sich der Common Name des Zertifikates von Ihrer Eingabe in der Adressleiste des Browsers unterscheidet. Der Browser meldet, dass sich ein anderes Gerät unter dieser URL meldet. Der Common Name des Zertifikates besteht aus der MAC-Adresse des Routers, wobei die Doppelpunkte durch Unterstriche ersetzt sind. Sie können diese Warnmeldung ignorieren und (je nach Browser und Betriebssystem) eine Ausnahme für diesen Server hinzufügen oder die sichere Verbindung zu diesem Server trotzdem aufbauen.
Um auch diese Browser-Warnung zu vermeiden, müssen Sie den Common Name des zu erreichenden Routers in die Adressleiste Ihres Browsers eingeben. Damit die URL zum richtigen Gerät führt, muss der Common Name mit der IP-Adresse des Routers verknüpft werden. Den Allgemeinen Namen (Common Name) können Sie herausfinden, indem Sie das Zertifikat vom Router herunterladen und dies ansehen. Die Vorgehensweise hierzu ist von Ihrem Browser abhängig. Die Vorgehensweise für das Einrichten der Verknüpfung ist abhängig von Ihrem Betriebssystem:
Editieren von /etc/hosts (Linux/Unix)
Editieren von C:\WINDOWS\system32\drivers\etc\hosts (Windows XP/7/8)
Konfigurieren Ihres eigenen DNS-Servers
Sehen Sie für weitere Informationen dazu in der Dokumentation Ihres Betriebssystems nach.
Authentifizierung über eine eigene Zertifikatsstruktur
Alternativ ist es auch möglich, Ihre eigene Zertifikatsstruktur zu verwenden, und eine selbst generierte Zertifikat/Schlüssel-Kombination auf den Router zu laden, um dann diese für einen Zugang über eine HTTPS-Verbindung zu verwenden.
Dazu müssen Sie zuerst Ihre selbst generierte Zertifikat/Schlüssel-Kombination in der Zertifikatsverwaltung des Routers hochladen (Menü Administration -> Zertifikate).
Danach muss diese Zertifikat/Schlüssel-Kombination bei der Konfiguration des Benutzeroberflächen-Zugangs über HTTPS ausgewählt werden (Menü Administration → Konfigurationszugriff → Web-/REST-Interface).
Authentifizierung eines Clients mit einem Zertifikat
Diese Funktion ermöglicht den Zugriff auf die Benutzeroberfläche des Routers über eine HTTPS-Verbindung ohne Eingabe der Zugangsdaten. Dazu muss die Client-Authentifizierung via Zertifikat (Menü Administration → Konfigurationszugriff → Web-/REST-Interface) aktiviert sein. Auf dem Router muss dazu ein CA-Zertifikat installiert (Menü Administration → Zertifikate) und für die Client-Authentifizierung ausgewählt sein. Im Browser des Clients, der auf den Router zugreifen soll, muss ein Client-Zertifikat mit Schlüssel installiert sein, dass mit diesem CA-Zertifikat erstellt wurde. Optional kann eine CRL hinterlegt und ausgewählt werden, um bereits ausgestellte Zertifikate nachträglich zurückrufen zu können. Über die Benutzergruppe können die Rechte für einen Zugriff, der über ein Client-Zertifikat authentifiziert wird, eingeschränkt werden.