Um ein selbstsigniertes Zertifikat zu erzeugen, navigieren Sie zu Infrastruktur > Zertifikate. Klicken Sie auf die drei Punkte, wählen Sie Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie folgende Optionen an:

• Name: Geben Sie einen Namen für dieses Zertifikat ein. Dieses Feld ist ein Pflichtfeld.

• Beschreibung: Eine optionale Beschreibung.

• Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll. Diese Auswahl ist obligatorisch.

• Schlüsselgröße: Die Schlüsselgröße des Zertifikats in Bits. Hier können Sie aus den vordefinierten Werten wählen. Die Standardeinstellung ist 2048 Bit, die erforderliche Mindestlänge nach den aktuellen Industriestandards.

• Ungültig in: Das Ablaufdatum des Zertifikats.

• Länderkennung: Wählen Sie Ihr Land aus.

• Bundesland/Kanton: Ihr Bundesland oder Kanton.

• Stadt: Name der Stadt.

• Organisation: Der Name Ihrer Organisation.

• Organisationseinheit: Einheit der Organisation.

• E-Mail-Adresse: Ihre E-Mail-Adresse. Dieses Feld ist ein Pflichtfeld.

• Allgemeiner Name: Der Common Name (CN), auch bekannt als der Fully Qualified Domain Name (FQDN). Dieses Feld ist ein Pflichtfeld.

• Alternative Antragstellernamen: Geben Sie einen oder mehrere alternative Antragstellernamen (Subject Alternative Name – SAN) an. Hinweis: Da mobile Parallels Clients das Feld „Alternative Antragstellernamen“ nicht unterstützen, ist es am sichersten, einen allgemeinen festzulegen, den die meisten mobilen Geräte verwenden werden.

Klicken Sie auf Generieren, um das Zertifikat zu generieren. Danach erscheint das Zertifikat in der Liste Zertifikate, wobei in der Spalte Status die Option Selbstsigniert angezeigt wird.

So können Sie Zertifikateigenschaften anzeigen und ändern:

1. In der Ansicht Infrastruktur > Zertifikate klicken Sie auf den Namen des Zertifikats.

2. Rechts in der Ansicht überprüfen Sie im Abschnitt Informationen die Zertifikateigenschaften.

3. Im Abschnitt Aktionen können Sie das Zertifikat aktivieren oder deaktivieren. Siehe auch: Exportieren eines Zertifikats in eine Datei. Wenn Sie das Zertifikat löschen möchten, klicken Sie auf Löschen.

4. Klicken Sie im mittleren Fensterbereich auf Eigenschaften, um einige der Zertifikateigenschaften zu ändern.

5. Klicken Sie links oben auf Bearbeiten, um die Einstellungen (falls erforderlich) zu ändern. Sie können den Namen und die Beschreibung des Zertifikats ändern und auch festlegen, ob das Zertifikat für Gateways, HALB oder beides verwendet werden soll.

Let’s Encrypt ist eine globale Zertifizierungsstelle (CA). Diese Organisation ist nicht gewinnorientiert und verlangt keine Gebühren für ihre Zertifikate. Jedes Zertifikat ist 90 Tage lang gültig. Mit der RAS-Konsole können Sie Let's Encrypt-Zertifikate ausstellen, automatisch erneuern und widerrufen.

Let's Encrypt-Zertifikat ausstellen

So stellen Sie ein neues Let's Encrypt-Zertifikat aus:

1. Navigieren Sie zu Infrastruktur > Zertifikate.

2. Klicken Sie auf das Symbol [...] und wählen Sie dort die Option Let's Encrypt-Einstellungen aus.

3. Wählen Sie die Option Ich habe die Let's Encrypt EULA gelesen und akzeptiere sie aus.

4. Geben Sie in der Liste E-Mails zum Ablauf die E-Mail-Adressen an, die Benachrichtigungen von Let’s Encrypt erhalten sollen.

5. Alternativ ändern Sie die Zeit, zu der Zertifikate automatisch erneuert werden, im Feld Zertifikate vor Ablauf automatisch erneuern.

6. Navigieren Sie zurück zu Infrastruktur > Zertifikate.

7. Wählen Sie im Menü [...] Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie folgende Optionen an:

   • Name: Name des Zertifikats.

   • Beschreibung: Beschreibung des Zertifikats.

   • Verwendung: HALB und/oder Secure Gateway.

   • Schlüsselgröße: Schlüsselgröße.

   • Länderkennung: Länderkennung für Ihr Land.

   • Bundesland/Kanton: Name Ihres Bundeslandes oder Ihrer Provinz.

   • Stadt: Ihre Stadt.

   • Organisation: Name Ihrer Organisation.

   • Organisationseinheit: Name Ihrer Organisationseinheit.

   • E-Mail-Adresse: E-Mail Adresse Ihrer Organisation.

   • Allgemeiner Name: Gültiger Domänenname eines HALB oder Secure Gateways.

   • Alternative Namen: Gültige Domänennamen von HALB oder Secure Gateways.

8. Klicken Sie auf Zertifikat ausstellen.

Manuelles Erneuern von Let's Encrypt-Zertifikaten

So erneuern Sie manuell ein Let's Encrypt-Zertifikat:

1. Navigieren Sie zu Infrastruktur > Zertifikate.

2. Wählen Sie das Let's Encrypt-Zertifikat, das Sie erneuern möchten, aus.

3. Wählen Sie Steuerungselement > Erneuern im Drei-Punkt-Menü [...].

Widerrufen von Let's Encrypt-Zertifikaten

So widerrufen Sie ein Let's Encrypt-Zertifikat:

1. Navigieren Sie zu Infrastruktur > Zertifikate.

2. Wählen Sie das Let's Encrypt-Zertifikat, das Sie erneuern möchten, aus.

3. Wählen Sie Steuerungselement > Widerrufen im Drei-Punkt-Menü [...].

Wenn Sie ein neues Let's Encrypt-Zertifikat mit Parallels RAS erstellen, wird folgender Prozess ausgeführt:

1. Der primäre Connection Broker von Parallels RAS, der die Lizenzierungsrolle hostet, stellt die erste Anfrage an den Let's Encrypt-Server, um ein Konto zu erstellen.

2. Die Kontoerstellung wird bestätigt. Parallels RAS erstellt eine CSR und sendet sie an den Let's Encrypt-Server.

3. Es wird eine Liste von Herausforderungen empfangen, und Connection Broker liest das vom Let's Encrypt-Server gesendete HTTP-Token.

4. Secure Gateway oder HALB ruft die Token vom Connection Broker ab.

5. Sobald dies geschehen ist, benachrichtigt Connection Broker den Let's Encrypt-Server.

6. Let's Encrypt startet den Verifizierungsprozess, indem es zum Secure Gateway oder HALB geht und die Verfügbarkeit des Tokens bestätigt.

7. Die Herausforderungen sind abgeschlossen, einschließlich der Bestätigung, dass die Secure Gateways oder HALB auf die genannte Domäne antworten können.

8. Unter der Annahme, dass die Herausforderung erfolgreich abgeschlossen wurde, fordert Parallels RAS ein Zertifikat an.

9. Ein gültiges Zertifikat wird vom Let's Encrypt-Server in den Connection Broker heruntergeladen.

10. Connection Broker verteilt das Zertifikat an die Secure Gateways oder HALB.

So generieren Sie eine Zertifikatsignaturanforderung (CSR):

1. Navigieren Sie zu Infrastruktur > Zertifikate.

2. Klicken Sie auf die drei Punkte, wählen Sie Hinzufügen > Selbstsigniertes Zertifikat generieren aus und geben Sie erforderlichen Informationen ein. Die Informationen sind genau die gleichen wie diejenigen, wie unter Selbstsigniertes Zertifikat generieren beschrieben.

3. Nachdem Sie die Informationen eingegeben haben, klicken Sie auf Generieren. Die Ansicht „Zertifikat-Informationen“ öffnet sich.

4. Klicken Sie im mittleren Fensterbereich auf Zertifikat anfordern, um die angeforderten Daten anzuzeigen. Kopieren Sie diese Daten in einen Texteditor und speichern Sie die Datei für Ihre Unterlagen. In dieser Ansicht können Sie zu diesem Zeitpunkt auch einen öffentlichen Schlüssel importieren. Sie können die Anforderung jetzt bei einer Zertifizierungsstelle einreichen, den öffentlichen Schlüssel erhalten und ihn importieren, ohne die Ansicht zu schließen, oder Sie können dies später tun.

So übermitteln Sie die Anforderung an eine Zertifizierungsstelle und importieren einen öffentlichen Schlüssel:

1. Falls die Ansicht „Zertifikat anfordern“ geschlossen ist, öffnen Sie diese (klicken Sie in der Hauptliste auf die Anfrage und dann auf Zertifikat anfordern).

2. Kopieren Sie die Anforderung und laden Sie sie auf die Webseite der Zertifizierungsstelle hoch (oder senden Sie sie per E-Mail, in diesem Fall müssen Sie später zu dieser Ansicht zurückkehren).

3. Beziehen Sie die Zertifikatsdatei von der Zertifizierungsstelle.

4. Klicken Sie auf die Schaltfläche Öffentlichen Schlüssel importieren und schließen Sie die Zertifikatsregistrierung ab, indem Sie die Schlüsseldatei und die Zertifikatsdatei angeben.

Nachdem Sie ein Zertifikat hinzugefügt haben, können Sie es einem RAS Secure Gateway, HALB oder beiden zuweisen, je nach dem Verwendungstyp, den Sie bei der Erstellung des Zertifikats angegeben haben. Mehr über die Option Nutzung des Zertifikats weiter unten.

Zertifikatnutzung

Die Zertifikatnutzung ist eine Option, die Ihnen zeigt, ob das Zertifikat für RAS Secure Gateways, HALB oder beides verfügbar sein soll. Siehe Generieren eines selbstsignierten Zertifikats. Wenn Sie später SSL für ein RAS Secure Gateway oder HALB konfigurieren, müssen Sie ein SSL-Zertifikat angeben. Wenn Sie ein Zertifikat auswählen, sind die folgenden Optionen verfügbar, je nachdem, wie die Option Nutzung für ein bestimmtes Zertifikat konfiguriert ist:

• <Alle passenden Nutzungen>: Dies ist die Standardoption, die immer verfügbar ist. Das bedeutet, dass jedes Zertifikat verwendet wird, bei dem die Auswahl für Nutzung mit dem Objekttyp (Gateway oder HALB) übereinstimmt. Wenn Sie z. B. ein Gateway konfigurieren und ein Zertifikat haben, dessen Option Nutzung auf „Gateway“ eingestellt ist, wird dieses verwendet. Wenn bei einem Zertifikat sowohl Gateway- als auch HALB-Nutzungsoptionen ausgewählt wurden, kann es auch mit dem angegebenen Gateway verwendet werden. Dies funktioniert bei HALB auf die gleiche Weise, wenn Sie „Lastvert. für SSL-Arbeitslast“ konfigurieren. Bitte beachten Sie: Wenn Sie diese Option für ein Gateway oder HALB wählen, aber kein einziges passendes Zertifikat existiert, sehen Sie eine Warnung und müssen erst ein Zertifikat erstellen.

• Weitere Elemente in der Dropdownliste Zertifikate sind einzelne Zertifikate, die je nach den Einstellungen für Nutzung des Zertifikats vorhanden sind oder nicht. Wenn Sie z. B. „Lastvert. für SSL-Arbeitslast“ für HALB konfigurieren und ein Zertifikat mit der Option Nutzung auf „HALB“ gesetzt haben, erscheint das Zertifikat in der Dropdownliste. Andererseits werden Zertifikate, bei denen die Nutzung auf „Gateway“ eingestellt ist, nicht aufgelistet.

Wenn Sie z. B. nur ein Zertifikat benötigen, das Sie für alle Ihre Gateways verwenden möchten, müssen Sie ein Zertifikat erstellen und die Option Nutzung auf „Gateways“ setzen. Sie können dann jedes Gateway so konfigurieren, dass es dieses spezielle Zertifikat verwendet, oder Sie können die Standardauswahl <Alle passenden Nutzungen> beibehalten. Im letzteren Fall wird das Zertifikat automatisch von einem Gateway abgerufen. Genau das gleiche Szenario funktioniert auch für HALB.

Gateways

So weisen Sie einem RAS Secure Gateway ein Zertifikat zu:

1. Navigieren Sie zu Infrastruktur > Gateways.

2. Klicken Sie auf ein Gateway in der Liste.

3. Klicken Sie im mittleren Fensterbereich auf Eigenschaften .

4. Wählen Sie die Kategorie SSL/TLS aus.

5. Wählen Sie in der Dropdownliste Zertifikate das von Ihnen erstellte Zertifikat aus.

Beachten Sie, dass Sie auch die Option <Alle passenden Nutzungen> verwenden können. Dann wird jedes Zertifikat verwendet, das die Verwendung auf Gateway oder Gateway und HALB eingestellt hat.

HALB

Beachten Sie, dass zum Zeitpunkt der Erstellung dieses Handbuchs HALB nicht im RAS-Verwaltungsportal verwaltet werden kann. Verwenden Sie bitte die desktopbasierte RAS-Konsole.

Das Parallels RAS-Verwaltungsportal enthält eine Zertifikatsverwaltungsoberfläche, mit der Sie alle Ihre SSL-Zertifikate an einem Ort verwalten können.

Zertifikate werden auf Site-Ebene verwaltet. Sobald ein Zertifikat der Site hinzugefügt wurde, kann es mit jedem RAS Secure Gateway oder HALB verwendet werden, das ebenfalls auf dieser Site vorhanden ist.

Navigieren Sie zu Infrastruktur > RD-Sitzungshosts, um die Zertifikate zu verwalten. Die Liste Zertifikate zeigt die bestehenden Zertifikate an. Wenn Sie Parallels RAS installieren, wird das selbstsignierte Zertifikat <Standard> automatisch erstellt, sodass Sie mindestens dieses Zertifikat in der Liste sehen. Das Standard-Zertifikat wird auch automatisch allen neuen RAS Secure Gateways und HALB zugewiesen.

In den folgenden Abschnitten werden die Aufgaben der Zertifikatsverwaltung detailliert beschrieben und zusätzliche Informationen und Anweisungen zum Zertifikat werden bereitgestellt.

Um ein Zertifikat in eine Datei zu exportieren, wählen Sie es aus der Liste aus, klicken Sie dann auf die drei Punkte und wählen Sie Zertifikat exportieren.

Sie können das Zertifikat später in einer anderen Farm oder an einer anderen Site importieren, indem Sie auf Zertifikat importieren klicken und die Zertifikatsdatei im Feld Private Schlüsseldatei angeben.

Um ein Zertifikat aus einer Datei zu importieren, klicken Sie auf die drei Punkte, wählen Sie Hinzufügen> Zertifikat importieren aus und geben Sie folgende Optionen an:

• Name: Geben Sie einen Namen für das Zertifikat ein.

• Beschreibung: Eine optionale Beschreibung.

• Verwendung: Geben Sie an, ob das Zertifikat für RAS Secure Gateways oder HALB oder für beides verwendet werden soll.

• Private Schlüsseldatei: Geben Sie eine Datei an, die den privaten Schlüssel enthält. Klicken Sie auf Durchsuchen, um nach der Datei zu suchen.

• Zertifikatsdatei: Wenn Sie eine private Schlüsseldatei (oben) angeben und eine passende Zertifikatsdatei haben, wird diese automatisch in dieses Feld eingefügt. Andernfalls geben Sie eine Zertifikatsdatei an.

Klicken Sie abschließend auf OK. Das Zertifikat wird jetzt in der Liste angezeigt, wobei in der Spalte Status die Option Importiert angezeigt wird.