Von einer Zertifizierungsstelle unterzeichnetes TLS-Zertifikat für den Import vorbereiten

Ein von einer Zertifizierungsstelle unterzeichnetes TLS-Zertifikat (CA-Zertifikat), das in Kaspersky Secure Mail Gateway importiert werden soll, muss folgenden Anforderungen genügen:

• Die Zertifikatsdatei muss einen eindeutigen Namen in der Liste der in Kaspersky Secure Mail Gateway verwendeten Zertifikate haben.
• Die Dateien des Serverzertifikats, des CA-Zwischenzertifikats und des CA-Stammzertifikats sowie die Datei des privaten Schlüssels müssen das Format PEM haben.
• Die Schlüssellänge muss 1.024 Bit oder mehr betragen.
• Es muss unbedingt eine vollständige Zertifikatskette (Pfad vom Serverzertifikat bis zum CA-Stammzertifikat) vorhanden sein.

  Beim Abrufen eines CA-Zertifikats kann es erforderlich sein, zusätzlich zum Serverzertifikat ein Zwischenzertifikat zu verwenden.

• Die Reihenfolge der angegebenen Zertifikate in der Zertifikatskette muss wie folgt lauten: Zuerst das Zertifikat des Servers selbst, dann die CA-Zwischenzertifikate.
• Zwischenzertifikate dürfen in der Zertifikatskette nicht übersprungen werden.
• In der Zertifikatskette dürfen sich keine Zertifikate befinden, die nicht zum aktuellen Zertifikat gehören.

Als Beispiel dienen Anweisungen für die Vorbereitung des Imports eines von einer Zertifizierungsstelle unterzeichneten TLS-Zertifikats des Servers server_cert.pem, dessen privater Schlüssel sich in der Datei key.pem befindet. Der Name des Zwischenzertifikats des Servers lautet intermediate CA, der Name des Stammzertifikats root CA.

Gehen Sie folgendermaßen vor, um den Import eines von einer Zertifizierungsstelle unterzeichneten TLS-Zertifikats in Kaspersky Secure Mail Gateway vorzubereiten:

1. Löschen Sie das Kennwort für den Zugriff auf das Zertifikat aus der Datei des TLS-Zertifikats, sofern das Kennwort verwendet wurde. Führen Sie dazu den folgenden Befehl aus:

   # openssl rsa -in <Name der Datei des privaten Schlüssels>.pem -out <Name der Datei des privaten Schlüssels nach dem Löschen des Kennworts>.pem

   Sie können beispielsweise folgenden Befehl ausführen:

   # openssl rsa -in key.pem -out key-nopass.pem

2. Führen Sie eine der folgenden Aktionen aus:
   • Wenn Sie nicht sicher sind, dass die Clients, die dieses Zertifikat vom Server erhalten, über eine eigene Kopie des CA-Stammzertifikats bzw. des CA-Zwischenzertifikats verfügen, führen Sie den privaten Schlüssel, das Serverzertifikat, das CA-Zwischenzertifikat und das CA-Stammzertifikat in eine Datei zusammen. Führen Sie dazu den folgenden Befehl aus:

     % cat <Name der privaten Schlüsseldatei nach Löschen des Kennworts>.pem <Name des Serverzertifikats>.pem <Name des CA-Zwischenzertifikats>.pem <Name des CA-Stammzertifikats>.pem <Name des TLS-Zertifikats nach dem Zusammenführen der Dateien>.pem

     Sie können beispielsweise folgenden Befehl ausführen:

     % cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem

   • Wenn Sie sicher sind, dass die Clients, die dieses Zertifikat vom Server erhalten, über eine eigene Kopie des CA-Stammzertifikats bzw. des CA-Zwischenzertifikats verfügen, führen Sie den privaten Schlüssel und das Serverzertifikat in eine Datei zusammen. Führen Sie dazu den folgenden Befehl aus:

     % cat <Name der Datei des privaten Schlüssels nach dem Löschen des Kennworts>.pem <Name des Serverzertifikats>.pem <Name des Serverzertifikats nach der Zusammenführung der Dateien>.pem

     Sie können beispielsweise folgenden Befehl ausführen:

     % cat key-nopass.pem server_cert.pem > cert.pem

Das von einer Zertifizierungsstelle unterzeichnete TLS-Zertifikat (beispielsweise cert.pem) kann jetzt in Kaspersky Secure Mail Gateway importiert werden.

Siehe auch TLS-Protokoll bei der Ausführung von Kaspersky Secure Mail Gateway verwenden TLS-Zertifikat erstellen TLS-Zertifikat löschen Selbst unterzeichnetes TLS-Zertifikat für den Import vorbereiten TLS-Zertifikat aus Datei importieren

Nach oben