# SSL/TLS-Verschlüsselung

Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Gateway kann verschlüsselt werden. Auf der Registerkarte **SSL/TLS** können Sie Datenverschlüsselungsoptionen konfigurieren.

## **Verwendung der Standardeinstellungen der Site**

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option **Standardeinstellungen erben**. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter [**Standardeinstellungen der Site (Gateways)**](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ras-secure-gateway/konfiguration-eines-ras-secure-gateways/standardeinstellungen-der-site-secure-gateways).

## **Durchsetzung von HSTS**

Mit der Schaltfläche **Konfigurieren** im HSTS-Abschnitt können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Gateway durchgesetzt wird, sind alle Webanforderungen an es gezwungen, HTTPS zu verwenden. Das betrifft insbesondere das [RAS-Nutzerportal](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ras-secure-gateway/konfiguration-eines-ras-secure-gateways/nutzerportal-konfigurieren), das aus Sicherheitsgründen normalerweise nur HTTPS-Anfragen akzeptiert.

Wenn Sie auf die Schaltfläche **Konfigurieren** klicken, öffnet sich das Dialogfeld **HSTS-Einstellungen**, in dem Sie Folgendes festlegen können:

* **Strenge HTTP-Transportsicherheit (HSTS) durchsetzen:** Aktiviert oder deaktiviert HSTS für das Secure Gateway.
* **Max. Alter:** Gibt das maximale Alter für HSTS an, d. h. die Zeit (in unserem Fall in Monaten), in der der Webbrowser nur über HTTPS mit dem Secure Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.
* **Subdomains einbeziehen:** Gibt an, ob Subdomains eingefügt werden sollen (falls vorhanden).
* **Vorab laden:** Aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari, Internet Explorer 11 und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht einmal, eine Anforderung über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.

**Hinweis:** Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. **Wichtig:** Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.

Beachten Sie auch die folgenden Anforderungen:

* Ihre Site muss über ein gültiges SSL-Zertifikat verfügen. Weitere Hinweise finden Sie unter [**SSL-Serverkonfiguration**](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ras-secure-gateway/konfiguration-eines-ras-secure-gateways/ssl-tls-verschluesselung/ssl-serverkonfiguration).
* Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.

## **SSL wird konfiguriert**

Standardmäßig wird einem RAS Secure Gateway bei der Installation des Gateways ein selbstsigniertes Zertifikat zugewiesen. Jedem RAS Secure Gateway muss ein Zertifikat zugewiesen werden und das Zertifikat sollte den vertrauenswürdigen Stammzertifizierungsstellen auf der Client-Seite hinzugefügt werden, um Sicherheitswarnungen zu vermeiden.

SSL-Zertifikate werden auf Site-Ebene unter Verwendung der Unterkategorie **Farm** > **Site** > **Zertifikate** in der RAS-Konsole erstellt. Sobald ein Zertifikat erstellt ist, kann es einem RAS Secure Gateway zugewiesen werden. Informationen zum Erstellen und Verwalten von Zertifikaten finden Sie im Kapitel [**SSL-Zertifikatsverwaltung**](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ssl-zertifikatsverwaltung).

So konfigurieren Sie SSL für einen Secure Gateway:

1. Wählen Sie die Option **SSL aktivieren für Port** und geben Sie eine Portnummer an (Standardeinstellung ist 443).
2. Wählen Sie in der Dropdownliste **Akzeptierte SSL-Versionen** die vom RAS Secure Gateway akzeptierte SSL-Version aus.
3. Wählen Sie im Feld **Verschlüsselungsstärke** eine gewünschte Verschlüsselungsstärke aus.
4. Geben Sie im Feld **Verschlüsselung** die Verschlüsselung an. Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.
5. Die Option **Verschlüsselungen entsprechend Serverpräferenz verwenden** ist standardmäßig aktiviert. Sie können Client-Einstellungen verwenden, indem Sie diese Option deaktivieren.
6. Wählen Sie in der Dropdownliste **Zertifikate** das gewünschte Zertifikat aus. Informationen darüber, wie Sie ein neues Zertifikat erstellen und es in dieser Liste erscheinen lassen können, finden Sie im Kapitel [**SSL-Zertifikatsverwaltung**](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ssl-zertifikatsverwaltung).

   Die Option **\<Alle übereinstimmenden Verwendungen>** verwendet jedes Zertifikat, das für die Verwendung durch einen Secure Gateway konfiguriert ist. Wenn Sie ein Zertifikat erstellen, geben Sie die Eigenschaft „Verwendung“ an, in der Sie „Gateway“, „HALB“ oder beides auswählen können. Wenn bei dieser Eigenschaft die Option „Gateway“ ausgewählt ist, kann sie mit einem Secure Gateway verwendet werden. Hinweis: Wenn Sie diese Option wählen, aber kein einziges passendes Zertifikat vorhanden ist, wird eine Warnung angezeigt und Sie zuerst ein Zertifikat erstellen müssen.

## **Verschlüsseln der Parallels Client-Verbindung**

Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Secure Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Secure Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf **Gateway SSL** ein.

Um die Konfiguration des Parallels Clients zu vereinfachen, wird empfohlen, ein Zertifikat zu verwenden, das von einer bekannten vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgestellt wurde. Beachten Sie, dass einige Webbrowser (Chrome, Edge usw.) den Zertifikatspeicher des Betriebssystems verwenden, wenn sie sich mit dem RAS-Nutzerportal verbinden.

## **Konfiguration von Parallels Clients**

Wenn Sie ein benutzerdefiniertes Stammzertifikat (ein von Enterprise CA ausgestelltes Zertifikat) hinzufügen möchten, sollten Parallels-Clients wie folgt konfiguriert werden:

1. Exportieren Sie das Zertifikat im Base-64-codierten X.509-Format (`.CER`).
2. Öffnen Sie das exportierte Zertifikat mit einem Texteditor wie Notepad oder WordPad und kopieren Sie den Inhalt in die Zwischenablage.
3. Befolgen Sie je nach Betriebssystem eine der folgenden Anweisungen.

### Hinzufügen eines Zertifikats in Parallels Client für Windows

So fügen Sie das Zertifikat in Parallels Client für Windows hinzu:

1. Ermitteln Sie den Speicherort Ihrer `trusted.pem`-Datei. Bei den meisten Systemen sollte sich diese im Installationsverzeichnis befinden. Diese Datei enthält Zertifikate von allgemein vertrauenswürdigen Instanzen.
2. Öffnen Sie die Datei `customtrusted.pem` in dem Verzeichnis, in dem sich `trusted.pem` befindet. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie. In dieser Datei werden Zertifikate von benutzerdefinierten vertrauenswürdigen Instanzen gespeichert.
3. Fügen Sie den Inhalt des exportierten Zertifikats in die Datei ein. Wenn die Datei bereits vorhanden ist und andere Zertifikate enthält, fügen Sie das Zertifikat am Ende der Datei hinzu.

### Hinzufügen eines Zertifikats in Parallels Client für Linux

So fügen Sie das Zertifikat in Parallels Client für Linux hinzu:

* Unter IGEL OS 12:
  1. Öffnen Sie die Datei mit dem Namen `customtrusted.pem` im Verzeichnis `$HOME/.config/2X/Client/`. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie. In dieser Datei werden Zertifikate benutzerdefinierter vertrauenswürdiger Instanzen gespeichert.
  2. Fügen Sie den Inhalt des exportierten Zertifikats in die Datei ein. Wenn die Datei vorhanden ist und andere Zertifikate enthält, fügen Sie das Zertifikat am Ende der Datei hinzu.
* Bei anderen Linux-Distributionen:
  1. Ermitteln Sie den Speicherort Ihrer `trusted.pem`-Datei. Bei den meisten Systemen sollte dies das `<Installationsverzeichnis>/share/`-Verzeichnis sein. Diese Datei enthält Zertifikate von allgemein vertrauenswürdigen Instanzen.
  2. Öffnen Sie die Datei `customtrusted.pem` in dem Verzeichnis, in dem sich `trusted.pem` befindet. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie. In dieser Datei werden Zertifikate von benutzerdefinierten vertrauenswürdigen Instanzen gespeichert.
  3. Fügen Sie den Inhalt des exportierten Zertifikats in die Datei ein. Wenn die Datei bereits vorhanden ist und andere Zertifikate enthält, fügen Sie das Zertifikat am Ende der Datei hinzu.

## **Sichern von RDP-UDP-Verbindungen**

Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.

So verwenden Sie DTLS auf einem RAS Secure Gateway:

1. Stellen Sie sicher, dass auf der Registerkarte **SSL/TLS** die Option **SSL aktivieren für Port** ausgewählt ist.
2. Stellen Sie sicher, dass auf der Registerkarte [**Netzwerk**](https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/verwaltung-von-benutzergeraeten-und-client-richtlinien/client-richtlinien/konfigurieren-der-sitzungseinstellungen/netzwerk) die Option **RDP-UDP-Tunnelling aktivieren** ausgewählt ist.

Die Parallels Clients müssen für die Verwendung des Modus **SSL-Verbindung** konfiguriert sein. Diese Option kann clientseitig unter **Verbindungseinstellungen** > **Verbindungsmodus** eingestellt werden.

Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.parallels.com/landing/ras-admin-guide/v21-de-de/ras-secure-gateway/konfiguration-eines-ras-secure-gateways/ssl-tls-verschluesselung.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.