Lets Encrypt ist eine globale Zertifizierungsstelle (CA). Diese Organisation ist nicht gewinnorientiert und verlangt keine Gebühren für ihre Zertifikate. Jedes Zertifikat ist 90 Tage lang gültig. Mit der RAS Console können Sie Let's Encrypt-Zertifikate ausstellen, automatisch erneuern und widerrufen.

Let's Encrypt-Zertifikat ausstellen

So stellen Sie ein neues Let's Encrypt-Zertifikat aus:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > Zertifikate.

2. Klicken Sie auf die Schaltfläche [+] links neben dem Dropdownmenü Aufgaben und wählen Sie Let's Encrypt-Zertifikat ausstellen aus.

3. Wählen Sie die Option Ich habe die Let's Encrypt EULA gelesen und akzeptiere sie aus.

4. Geben Sie in der Liste E-Mails zum Ablauf die E-Mail-Adressen an, die Benachrichtigungen von Lets Encrypt erhalten sollen.

5. Alternativ ändern Sie die Zeit, zu der Zertifikate automatisch erneuert werden, im Feld Zertifikate vor Ablauf automatisch erneuern.

6. Klicken Sie auf OK.

7. Geben Sie im Dialog Let's Encrypt-Zertifikat ausstellen Folgendes an:

   • Name: Name des Zertifikats.

   • Beschreibung: Beschreibung des Zertifikats.

   • Verwendung: HALB und/oder Secure Gateway.

   • Schlüsselgröße: Schlüsselgröße.

   • Länderkennung: Länderkennung für Ihr Land.

   • Bundesland/Kanton: Name Ihres Bundeslandes oder Ihrer Provinz.

   • Stadt: Ihre Stadt.

   • Organisation: Name Ihrer Organisation.

   • Organisationseinheit: Name Ihrer Organisationseinheit.

   • E-Mail-Adresse: E-Mail Adresse Ihrer Organisation.

   • Allgemeiner Name: Gültiger Domänenname eines öffentlich zugänglichen HALB oder Secure Gateways.

   • Alternative Namen: Gültige Domänennamen von öffentlich zugänglichen HALBs oder Secure Gateways.

8. Klicken Sie auf Speichern.

Manuelles Erneuern von Let's Encrypt-Zertifikaten

So erneuern Sie manuell ein Let's Encrypt-Zertifikat:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > Zertifikate.

2. Klicken Sie mit der rechten Maustaste auf das Let's Encrypt-Zertifikat, das Sie erneuern möchten.

3. Wählen Sie im Kontextmenü Steuerungselement > Erneuern aus.

Widerrufen von Let's Encrypt-Zertifikaten

So widerrufen Sie ein Let's Encrypt-Zertifikat:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > Zertifikate.

2. Klicken Sie mit der rechten Maustaste auf das Let's Encrypt-Zertifikat, das Sie widerrufen möchten.

3. Wählen Sie im Kontextmenü Steuerungselement > Widerrufen aus.

4. Wählen Sie im Dialogfeld Zertifikat sperren den Grund aus, warum Sie das Zertifikat sperren möchten.

5. Klicken Sie auf Widerrufen.

Wenn Sie ein neues Let's Encrypt-Zertifikat mit Parallels RAS erstellen, wird folgender Prozess ausgeführt:

1. Der primäre Connection Broker von Parallels RAS, der die Lizenzierungsrolle hostet, stellt die erste Anfrage an den Let's Encrypt-Server, um ein Konto zu erstellen.

2. Die Kontoerstellung wird bestätigt. Parallels RAS erstellt eine CSR und sendet sie an den Let's Encrypt-Server.

3. Es wird eine Liste von Herausforderungen empfangen, und Connection Broker liest das vom Let's Encrypt-Server gesendete HTTP-Token.

4. Secure Gateway oder HALB ruft die Token vom Connection Broker ab.

5. Sobald dies geschehen ist, benachrichtigt Connection Broker den Let's Encrypt-Server.

6. Let's Encrypt startet den Verifizierungsprozess, indem es zum Secure Gateway oder HALB geht und die Verfügbarkeit des Tokens bestätigt.

7. Die Herausforderungen sind abgeschlossen, einschließlich der Bestätigung, dass die Secure Gateways oder HALB auf die genannte Domäne antworten können.

8. Unter der Annahme, dass die Herausforderung erfolgreich abgeschlossen wurde, fordert Parallels RAS ein Zertifikat an.

9. Ein gültiges Zertifikat wird vom Let's Encrypt-Server in den Connection Broker heruntergeladen.

10. Connection Broker verteilt das Zertifikat an die Secure Gateways oder HALB.

Um ein Zertifikat aus einer Datei zu importieren, klicken Sie auf der Registerkarte Zertifikate auf Aufgaben > Zertifikat importieren. Geben Sie in dem sich daraufhin öffnenden Dialogfeld Folgendes an:

• Name: Geben Sie einen Namen für das Zertifikat ein.

• Beschreibung: Eine optionale Beschreibung.

• Private Schlüsseldatei: Geben Sie eine Datei an, die den privaten Schlüssel enthält. Klicken Sie auf die Schaltfläche [...], um nach der Datei zu suchen.

• Zertifikatsdatei: Wenn Sie eine private Schlüsseldatei (oben) angeben und eine passende Zertifikatsdatei haben, wird diese automatisch in dieses Feld eingefügt. Andernfalls geben Sie eine Zertifikatsdatei an.

• Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll.

Klicken Sie abschließend auf OK. Das Zertifikat wird in der Liste in der RAS-Konsole angezeigt, wobei in der Spalte Status der Vermerk Importiert erscheint.

Um die Zertifikatsinformationen anzuzeigen, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften. Überprüfen Sie in dem sich öffnenden Dialogfeld die Eigenschaften und klicken Sie dann auf die Schaltfläche Zertifikatsinformationen anzeigen, um die Vertrauensinformationen des Zertifikats, Details, den Zertifizierungspfad und den Zertifikatsstatus anzuzeigen. Sie können die Zertifikatsinformationen auch anzeigen, indem Sie mit der rechten Maustaste darauf klicken und Zertifikatsinformationen anzeigen wählen.

Für importierte Zertifikate gibt es im Dialogfeld Eigenschaften eine zusätzliche Registerkarte Zwischenstatus. Wenn das Originalzertifikat ein Zwischenzertifikat (zusätzlich zum Stammzertifikat) enthielt, wird es hier angezeigt. Sie können hier ein anderes Zwischenzertifikat einfügen, wenn Sie es wünschen.

Die Parallels RAS-Konsole enthält eine Zertifikatsverwaltungsoberfläche, mit der Sie alle Ihre SSL-Zertifikate an einem Ort verwalten können.

Zertifikate werden auf Site-Ebene verwaltet. Sobald ein Zertifikat der Site hinzugefügt wurde, kann es mit jedem RAS Secure Gateway oder HALB verwendet werden, das ebenfalls auf dieser Site vorhanden ist.

Um Zertifikate zu verwalten, navigieren Sie in der RAS-Konsole zu Serverfarm > Site > Zertifikate. Die Registerkarte Zertifikate im rechten Bereich zeigt die vorhandenen Zertifikate an. Wenn Sie Parallels RAS installieren, wird das selbstsignierte Zertifikat <Standard> automatisch erstellt, sodass Sie mindestens dieses Zertifikat in der Liste sehen. Das Standard-Zertifikat wird auch automatisch allen neuen RAS Secure Gateways und HALB zugewiesen.

In den folgenden Abschnitten werden die Aufgaben der Zertifikatsverwaltung detailliert beschrieben und zusätzliche Informationen und Anweisungen zum Zertifikat werden bereitgestellt.

Um ein selbstsigniertes Zertifikat zu erzeugen, navigieren Sie zu Serverfarm > Site > Zertifikate. Klicken Sie auf Aufgaben > Selbstsigniertes Zertifikat generieren. Geben Sie in dem sich öffnenden Dialogfeld die folgenden Optionen an:

• Name: Geben Sie einen Namen für dieses Zertifikat ein. Dieses Feld ist ein Pflichtfeld.

• Beschreibung: Eine optionale Beschreibung.

• Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll. Diese Auswahl ist obligatorisch.

• Schlüsselgröße: Die Schlüsselgröße des Zertifikats in Bits. Hier können Sie aus den vordefinierten Werten wählen. Die Standardeinstellung ist 2048 Bit, die erforderliche Mindestlänge nach den aktuellen Industriestandards.

• Länderkennung: Wählen Sie Ihr Land aus.

• Ungültig in: Das Ablaufdatum des Zertifikats.

• Bundesland/Kanton: Ihr Bundesland oder Kanton.

• Stadt: Name der Stadt.

• Organisation: Der Name Ihrer Organisation.

• Organisationseinheit: Einheit der Organisation.

• E-Mail-Adresse: Ihre E-Mail-Adresse. Dieses Feld ist ein Pflichtfeld.

• Allgemeiner Name: Der Common Name (CN), auch bekannt als der Fully Qualified Domain Name (FQDN). Dieses Feld ist ein Pflichtfeld.

• Alternative Namen: Geben Sie einen oder mehrere alternative Namen (SANs) an. Klicken Sie auf das Symbol [...] und fügen Sie dann eine oder mehrere DNS- oder IP-Adressen hinzu. Da Parallels Client für mobile Geräte das SAN-Feld nicht unterstützt, ist es am sichersten, wenn Sie Ihren allgemeinen Namen auf den Namen festlegen, den die meisten mobilen Geräte verwenden werden.

Klicken Sie auf Speichern, um das Zertifikat zu generieren. Danach erscheint das Zertifikat in der Liste Zertifikate in der RAS-Konsole, wobei in der Spalte Status die Option Selbstsigniert angezeigt wird.

Um die Zertifikatsinformationen anzuzeigen, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften. Überprüfen Sie in dem sich öffnenden Dialogfeld die Eigenschaften und klicken Sie dann auf die Schaltfläche Zertifikatsinformationen anzeigen, um die Vertrauensinformationen des Zertifikats, Details, den Zertifizierungspfad und den Zertifikatsstatus anzuzeigen. Sie können die Zertifikatsinformationen auch anzeigen, indem Sie mit der rechten Maustaste darauf klicken und Zertifikatsinformationen anzeigen wählen.

Wenn Sie ein Upgrade einer Parallels RAS vor RAS 17.1 auf eine RAS 17.1 (oder neuer) durchführen, wird jedes Zertifikat, das von RAS Secure Gateways und HALB verwendet wird, aufgezählt und nur eindeutige Zertifikate werden der Unterkategorie Zertifikate hinzugefügt. Gateways und HALB werden dann 1-zu-1 mit den Zertifikaten verknüpft, die sie vor dem Upgrade verwendet haben.

Weitere Maßnahmen im Zusammenhang mit einem Upgrade sind:

• Die Option zum Vererben von Standardwerten in Gateways ist nach dem Upgrade ausgeschaltet.

• Wenn ein Gateway während eines Upgrades deaktiviert wird, verfügt der Connection Broker immer noch über die Informationen über das vom Gateway verwendete Zertifikat, sodass das Gateway richtig konfiguriert ist, wenn es wieder online ist.

• Die Standardeinstellungen der Site sind so konfiguriert, dass das standardmäßige selbstsignierte Zertifikat verwendet wird.

• Beim Hinzufügen eines neuen Gateways wird dieses so konfiguriert, dass es das standardmäßige selbstsignierte Zertifikat verwendet, vorausgesetzt, die Standardeinstellungen der Site werden nicht nachträglich geändert.

Um ein Zertifikat in eine Datei zu exportieren, klicken Sie auf der Registerkarte Zertifikate auf Aufgaben > Zertifikat exportieren, geben Sie einen Dateinamen an und klicken Sie auf Speichern. Sie können das Zertifikat später in einer anderen Farm oder an einer anderen Site importieren, indem Sie auf Aufgaben > Zertifikat importieren klicken und die Zertifikatsdatei im Feld Private Schlüsseldatei angeben.

Nachdem Sie ein Zertifikat zu einer Site hinzugefügt haben, können Sie es einem RAS Secure Gateway, HALB oder beiden zuweisen, je nach dem Verwendungstyp, den Sie bei der Erstellung des Zertifikats angegeben haben (am Anfang dieses Kapitels beschrieben). Mehr über die Option Nutzung des Zertifikats weiter unten.

Zertifikatnutzung

Die Zertifikatnutzung ist eine Option, die Sie bei der Erstellung eines Zertifikats angeben. Sie ersehen daraus, ob das Zertifikat für RAS Secure Gateways, HALB oder beides verfügbar sein soll. Bei der Einstellung dieser Option können Sie aus den folgenden Optionen wählen:

• Secure Gateway: Falls ausgewählt, wird das Zertifikat für RAS Secure Gateways verfügbar.

• HALB: Falls ausgewählt, wird das Zertifikat für HALB verfügbar.

Sie können eine der oben genannten Optionen oder beide auswählen. Im letzteren Fall wird das Zertifikat sowohl für Gateways als auch für HALB verfügbar. Einzelheiten zur Erstellung eines Zertifikats und zur Auswahl dieser Optionen finden Sie unter Generieren eines selbstsignierten Zertifikats und Generieren einer Zertifikatsignaturanforderung (CSR).

Wenn Sie später SSL für ein RAS Secure Gateway oder HALB konfigurieren, müssen Sie ein SSL-Zertifikat angeben. Informationen zur Vorgehensweise finden Sie unter SSL/TLS-Verschlüsselung und Konfigurieren von HALB in der RAS-Konsole. Wenn Sie ein Zertifikat auswählen, sind die folgenden Optionen verfügbar, je nachdem, wie die Option Nutzung für ein bestimmtes Zertifikat konfiguriert ist:

• <Alle passenden Nutzungen>: Dies ist die Standardoption, die immer verfügbar ist. Das bedeutet, dass jedes Zertifikat verwendet wird, bei dem die Auswahl für Nutzung mit dem Objekttyp (Gateway oder HALB) übereinstimmt. Wenn Sie z. B. ein Gateway konfigurieren und ein Zertifikat haben, dessen Option Nutzung auf „Gateway“ eingestellt ist, wird dieses verwendet. Wenn bei einem Zertifikat sowohl Gateway- als auch HALB-Nutzungsoptionen ausgewählt wurden, kann es auch mit dem angegebenen Gateway verwendet werden. Dies funktioniert bei HALB auf die gleiche Weise, wenn Sie „Lastvert. für SSL-Arbeitslast“ konfigurieren. Bitte beachten Sie: Wenn Sie diese Option für ein Gateway oder HALB wählen, aber kein einziges passendes Zertifikat existiert, sehen Sie eine Warnung und müssen erst ein Zertifikat erstellen.

• Weitere Elemente in der Dropdownliste Zertifikate sind einzelne Zertifikate, die je nach den Einstellungen für Nutzung des Zertifikats vorhanden sind oder nicht. Wenn Sie z. B. „Lastvert. für SSL-Arbeitslast“ für HALB konfigurieren und ein Zertifikat mit der Option Nutzung auf „HALB“ gesetzt haben, erscheint das Zertifikat in der Dropdownliste. Andererseits werden Zertifikate, bei denen die Nutzung auf „Gateway“ eingestellt ist, nicht aufgelistet.

Wenn Sie z. B. nur ein Zertifikat benötigen, das Sie für alle Ihre Gateways verwenden möchten, müssen Sie ein Zertifikat erstellen und die Option Nutzung auf „Gateways“ setzen. Sie können dann jedes Gateway so konfigurieren, dass es dieses spezielle Zertifikat verwendet, oder Sie können die Standardauswahl <Alle passenden Nutzungen> beibehalten. Im letzteren Fall wird das Zertifikat automatisch von einem Gateway abgerufen. Genau das gleiche Szenario funktioniert auch für HALB.

Gateways

So weisen Sie einem RAS Secure Gateway ein Zertifikat zu:

1. Gehen Sie zu Serverfarm > Site > Secure Gateways.

2. Klicken Sie mit der rechten Maustaste auf ein Gateway und wählen Sie Eigenschaften.

3. Wählen Sie die Registerkarte SSL/TLS.

4. Wählen Sie in der Dropdownliste Zertifikate das von Ihnen erstellte Zertifikat aus.

5. Klicken Sie auf OK.

Beachten Sie, dass Sie auch die Option <Alle passenden Nutzungen> verwenden können. Dann wird jedes Zertifikat verwendet, das die Verwendung auf Gateway oder sowohl Gateway als auch HALB eingestellt hat.

HALB

Um einem HALB ein Zertifikat zuzuweisen, navigieren Sie zu Serverfarm > Site > HALB. Unter der Voraussetzung, dass Ihr HALB aktiviert und konfiguriert ist und die Option Lastvert. für SSL-Arbeitslast ausgewählt ist, gehen Sie nach den folgenden Anweisungen vor:

1. Klicken Sie auf Konfigurieren neben der Option Lastvert. für SSL-Arbeitslast.

2. Ein Zertifikat muss verwendet werden, wenn die Option Modus auf SSL-Verschiebung gesetzt ist. Noch einmal, vorausgesetzt, es ist ausgewählt, fahren Sie mit dem nächsten Schritt fort.

3. Klicken Sie auf Konfigurieren.

4. Wählen Sie im Dialogfeld SSL das Zertifikat in der Dropdownliste Zertifikate aus.

Wie bei Gateways können Sie auch hier die Option <Alle passenden Nutzungen> wählen, die jedes Zertifikat verwendet, für das die Nutzung auf HALB oder sowohl HALB als auch Gateway eingestellt ist.

Root- und Power-Administratoren haben immer Rechte zur Verwaltung von Zertifikaten. Benutzerdefinierte Administratoren haben sie nicht standardmäßig. Um Power-Administratoren Berechtigungen zur Verwaltung von Zertifikaten zu gewähren, wird der globale Berechtigungstyp Zertifikate verwendet.

Wenn Sie ein Root- oder Power-Administrator sind, können Sie Zertifikatsberechtigungen wie folgt festlegen:

1. Navigieren Sie in der RAS-Konsole zu Verwaltung > Konten.

2. Wählen Sie ein benutzerdefiniertes Administratorenkonto und klicken Sie auf Aufgaben > Eigenschaften.

3. Klicken Sie im Dialogfeld Kontoeigenschaften auf Berechtigungen ändern.

4. Wählen Sie im Dialogfeld Kontoberechtigungen im linken Bereich eine Site aus und klicken Sie auf Berechtigungen ändern (oder klicken Sie auf den Link Bearbeiten im rechten Bereich).

5. Wählen Sie im linken Bereich (Berechtigungstyp) Zertifikate aus.

6. Wählen Sie im rechten Fensterbereich (Globale Berechtigungen) eine oder mehrere Berechtigungen aus.

7. Wenn Sie fertig sind, schließen Sie alle Dialogfelder.

Ein RAS-Administrator kann seine Berechtigungen auch an einen benutzerdefinierten Administrator delegieren. Navigieren Sie dazu zu Serverfarm > Site > Zertifikate und klicken Sie auf Aufgaben > Berechtigungen delegieren. Delegieren Sie in dem sich öffnenden Dialogfeld die Berechtigungen an einen gewünschten benutzerdefinierten Administrator.

Alle Aktionen, die Sie an Zertifikaten durchführen, werden geprüft und können später eingesehen werden. Beachten Sie, dass Zertifikatsänderungen nicht rückgängig gemacht werden können. Wenn Sie zu einem früheren Zustand zurückkehren möchten, müssen Sie ein Zertifikat löschen und ein neues erstellen.

So prüfen Sie Zertifikate:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > Site > Zertifikate.

2. Klicken Sie auf Aufgaben > Prüfung der Einstellungen.

3. Es öffnet sich ein Dialogfeld, in dem Sie die Historie der Zertifikatsaktionen einsehen können. Beachten Sie, dass die Schaltfläche Zurückwechseln deaktiviert ist. Wie zu Beginn dieses Abschnitts erwähnt, ist die Rücknahme einer Zertifikatsaktion nicht möglich.

4. Um Details zu einem bestimmten Auditeintrag anzuzeigen, doppelklicken Sie auf den Eintrag.

Um ein CSR zu erzeugen, navigieren Sie zu Serverfarm > Site > Zertifikate. Klicken Sie auf Aufgaben > Zertifikatsanforderung erzeugen. Geben Sie in dem sich öffnenden Dialogfeld die erforderlichen Informationen an. Die Informationen sind genau die gleichen wie für das oben beschriebene selbstsignierte Zertifikat. Wenn Sie eine Erklärung benötigen, beachten Sie bitte die Liste der Optionen in diesem Abschnitt.

Nachdem Sie die Informationen eingegeben haben, klicken Sie auf Generieren. Es öffnet sich ein weiteres Dialogfeld, das die Anfrage anzeigt. Kopieren Sie die Anfrage in einen Texteditor und speichern Sie die Datei für Ihre Unterlagen. Das Dialogfeld erlaubt Ihnen auch, einen öffentlichen Schlüssel zu diesem Zeitpunkt zu importieren. Sie können die Anforderung jetzt bei einer Zertifizierungsstelle einreichen, den öffentlichen Schlüssel erhalten und ihn importieren, ohne das Dialogfeld zu schließen, oder Sie können dies später tun. Wenn Sie das Dialogfeld schließen, wird das Zertifikat in der RAS-Konsole angezeigt, wobei in der Spalte Status die Angabe Angefordert erscheint.

So übermitteln Sie die Anforderung an eine Zertifizierungsstelle und importieren einen öffentlichen Schlüssel:

1. Wenn das Dialogfeld Eigenschaften der Zertifikatsanforderung geschlossen ist, öffnen Sie es, indem Sie mit der rechten Maustaste auf ein Zertifikat klicken und Eigenschaften wählen. Wählen Sie in dem Dialogfeld die Registerkarte Anforderung.

2. Kopieren Sie die Anforderung und fügen Sie sie in die Webseite der Zertifizierungsstelle ein (oder senden Sie sie per E-Mail, in diesem Fall müssen Sie später zu diesem Dialogfeld zurückkehren).

3. Beziehen Sie die Zertifikatsdatei von der Zertifizierungsstelle.

4. Klicken Sie auf die Schaltfläche Öffentlichen Schlüssel importieren und schließen Sie die Zertifikatsregistrierung ab, indem Sie die Schlüsseldatei und die Zertifikatsdatei angeben.