Wenden Sie sich direkt an unser Support-Team

Sicherheitszertifikate erstellen

Bitdefender GravityZone schafft volle Transparenz der gesamten Unternehmenssicherheitssituation und globaler Sicherheitsrisiken und ermöglicht die Steuerung der Sicherheitsdienste, die virtuelle und physische Arbeitsplatzrechner, Server und Mobilgeräte schützen. Sämtliche Bitdefender-Enterprise-Sicherheitslösungen werden innerhalb der GravityZone über eine zentrale Konsole verwaltet, das Control Center, das Steuerungs-, Berichts- und Warndienste für die verschiedenen Rollen innerhalb des Unternehmens zur Verfügung stellt.

In diesem Artikel wird beschrieben, wie Sie die Zertifikate erstellen, die GravityZone benötigt.


Einführung

Browser benötigen das Control Center-Sicherheitszertifikat, um das Control Center als vertrauenswürdig zu erkennen. Außer dem Control Center-Sicherheitszertifikat werden alle Sicherheitszertifikate ausschließlich für die Verwaltung von iOS-Geräten benötigt. Diese sind:

  • Kommunikationsserverzertifikat
  • Apple-MDM-Push-Zertifikat
  • iOS-MDM-Identifikations- und Profilunterzeichnungszertifikat
  • iOS-MDM-Vertrauenskettenzertifikat

iOS unterstützt serienmäßig Lösungen zur Verwaltung von Mobilgeräten von Drittanbietern. Apple Inc. stellt sehr strenge Anforderungen für die MDM-Schnittstelle. Sicherheit bedeutet, dass sich Client und Server zum Zeitpunkt, da MDM-Befehle an das Gerät gesandt werden, authentifizieren; daher läuft der MDM-Server als HTTPS-Server, und das Gerät muss dem Zertifikat vertrauen, das der Server bereitstellt.

Das Root-Zertifikat

Digitale Zertifikate werden mithilfe einer Vertrauenskette verifiziert. Das Root-Zertifikat ist das erste Zertifikat eines Baumes. Mit dem privaten Schlüssel dieses Zertifikats werden andere Zertifikate "unterzeichnet". Alle Zertifikate direkt unter dem Root-Zertifikat erben die Vertrauenswürdigkeit vom Root-Zertifikat.

Es gibt verschiedene Möglichkeiten, ein Gerät dem SSL-Zertifikat des MDM-Servers vertrauen zu lassen. Hier stellen wir drei davon vor, aber nur zwei davon sind in der Praxis sinnvoll und praktikabel.

  1. Besorgen Sie ein SSL-Zertifikat von einer Quelle, der das Gerät bereits vertraut.
    Besorgen Sie zum Beispiel ein Zertifikat für die konkrete IP-Adresse oder den Hostnamen des Geräts von einer Zertifizierungsstelle wie Verisign, Thawte oder anderen großen Anbietern. Das Gerät wird diesem Zertifikat vertrauen, sodass die Verwaltungsverbindung hergestellt werden kann.
    Für die meisten geschäftlichen Installationen ist diese Lösung jedoch nicht praktikabel.
  2. Das Unternehmen hat ein selbst unterzeichnetes Root-Zertifikat.
    Das Zertifikat muss vor der Registrierung importiert werden.
    Zum Glück ist Apple sich dieser Tatsache bewusst und hat es möglich gemacht, die Zertifikate und die MDM-Konfiguration in ein und demselben Download zur Verfügung zu stellen. Die Registrierung vollzieht sich außerdem in zwei Schritten:
    1. Die heruntergeladenen Zertifikate werden importiert, sodass dem Root-Zertifikat vertraut wird;
    2. Die Verbindung zum MDM-Server wird hergestellt, und das Gerät kann ab jetzt verwaltet werden.
  3. Das Unternehmen hat ein Zwischenzertifikat von einem bekannten Drittanbieter.
    Das Zertifikat wurde von einer zwischengeschalteten Zertifizierungsstelle ausgestellt. Dieses Zertifikat verwendet eine Vertauenskette, die beim Root-Zertifikat beginnt (dem das Gerät bereits vertraut).
    Das Zwischenzertifikat muss im Profil eingetragen werden.

Zertifikate für das Bitdefender-MDM-System

Hier folgt eine kurze Beschreibung der Zertifikate für das MDM-System:

  1. Das Kommunikationsserver-Zertifikat wird zur Sicherung der Kommunikation zwischen dem Kommunikationsserver und iOS-Mobilgeräten eingesetzt.
    Anforderungen:
    • Dieses SSL-Zertifikat kann entweder von Ihrem Unternehmen oder einer externen Zertifizierungsstelle unterzeichnet sein.
    • Der Common Name des Zertifikats muss extrakt mit dem Domain-Namen oder der IP-Adresse übereinstimmen, die von mobilen Clients verwendet wird, um eine Verbindung zum Kommunikationsserver herzustellen. Er ist als externe MDM-Adresse in der Konfigurationsoberfläche der GravityZone-Appliance-Konsole konfiguriert.
    • Mobile Clients müssen diesem Zertifikat vertrauen. Hierfür müssen Sie auch die iOS-MDM-Vertrauenskette hinzufügen.
  2. Apple benötigt das Apple-MDM-Push-Zertifikat, um beim Versand von Push-Benachrichtigungen die Sicherheit der Kommunikation zwischen dem Sicherheitszertifikate erstellen Kommunikationsserver und den Servern des Diensts "Apple Push Notifications" (APNs) sicherzustellen. Mit Push-Benachrichtigungen werden Geräte dazu aufgefordert, eine Verbindung zum Kommunikationsserver herzustellen, wenn dort neue Aufgaben oder Richtlinienänderungen verfügbar sind.
    Apple stellt dieses Zertifikat direkt Ihrem Unternehmen zur Verfügung, es erfordert aber, dass die Anfrage zur Unterzeichnung eines Zertifikat von Bitdefender unterzeichnet wird. Im Control Center gibt es einen Assistenten, der Ihnen hilft, ein Apple-MDM-Push-Zertifikat zu erwerben.
  3. Das iOS-MDM-Identitäts- und -Profilunterzeichnungszertifikat wird vom Kommunikationsserver dazu benutzt, Identitätszertifikate und Konfigurationsprofile, die an mobile Geräte gesendet werden, zu unterzeichnen.
    Anforderungen:
    • Es muss ein Zwischen- oder Endentitätszertifikat sein, das entweder von Ihrem Unternehmen oder einer externen Zertifizierungsstelle unterzeichnet ist.
    • Mobile Clients müssen diesem Zertifikat vertrauen. Hierfür müssen Sie auch die iOS-MDM-Vertrauenskette hinzufügen.
  4. Die iOS-MDM-Vertrauenskettenzertifikate sind auf mobilen Geräten nötig, um sicherzustellen, dass sie dem Kommunikationsserverzertifikat und dem iOS-MDMIdentitäts- und -Profilunterzeichnungszertifikat vertrauen. Der Kommunikationsserver sendet dieses Zertifikat während ihrer Aktivierung an mobile Geräte.
    Die iOS-MDM-Vertrauenskette muss alle Zwischenzertifikate bis hin zum Root-Zertifikat Ihres Unternehmens oder bis zum von der externen Zertifizierungsstelle unterzeichneten Zwischenzertifikat enthalten. Die Vertrauenskette ist eine Verkettung von Zertifikaten im PEM-Format, die keinen privaten Schlüssel hat.

Vorgehen Schritt für Schritt

Der folgende Ansatz ist simpel und eignet sich für Testzwecke oder Installationen, die nicht in eine bestehende Public-Key-Infrastruktur (PKI) eingebunden sind:

  1. Root-Zertifikat erstellen
  2. Unterzeichnungszertifikat erstellen
  3. SSL-Zertifikat erstellen
  4. Vertrauenskette erstellen, die die Zertifikate aus Schritt 1 und 2 beinhaltet
  5. Zertifikate zur GravityZone-Konsole hochladen
  1. Erstellen Sie auf einer Linux-Maschine, auf der OpenSSL installiert ist, die folgenden Bash-Skripte im selben Ordner:
    1. Öffnen Sie eine Datei mit dem Namen, der im Texteditor erwähnt ist, und erstellen Sie die Skriptdatei wie folgt.
      z. B.:#vim create_ca.sh
    2. Geben Sie :i ein, um vom Anzeigemodus in den Bearbeitungsmodus zu wechseln.
    3. Geben Sie die genannten Befehle für jede Datei in den Editor ein.
    4. Speichern Sie die Datei.
      z. B.: Geben Sie :wq ein.

    Die Namen und Inhalte der Skripte:

    1. createroot.sh

      #!/bin/bash

      openssl req -newkey rsa:2048 -days 3650 -x509 -keyout rootkey.pem -out root.cer -sha256 -subj "/C=XX/O=XX/CN=XX/"

      Beachten Sie: Ersetzen Sie das Land C=XX, das Unternehmen O=XX und den Common Name CN=XX durch die für Sie passenden Werte.
      z. B.: "/C=RO/O=Bitdefender/CN=MDM Root/"
       
    2. createssl.sh

      #!/bin/bash

      openssl req -new -newkey rsa:2048 -keyout sslkey.pem -out ssl.csr -sha256 -subj "/CN=$1/" -batch

      openssl x509 -req -days 365 -sha256 -in ssl.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -out ssl.cer

       

    3. createcom.sh

      #!/bin/bash

      openssl req -new -newkey rsa:2048 -keyout comkey.pem -out com.csr -subj "/CN=$1/" -batch

      openssl x509 -req -days 365 -in com.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha1 -out com.cer

       

    4. createsgn.sh

      #!/bin/bash

      openssl req -out sgn.csr -new -newkey rsa:2048 -keyout sgnkey.pem -subj "/C=XX/O=XX/CN=XX/" -batch

      openssl x509 -req -days 365 -in sgn.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha1 -out sgn.cer -extfile noCA.cnf

      rm sgn.csr

      Beachten Sie: Ersetzen Sie das Land C=XX, das Unternehmen O=XX und den Common Name CN=XX durch die für Sie passenden Werte.

      z.B.:"/C=RO/O=Bitdefender/CN=MDM Signing Certificate/"
       
    5. createchain.sh

      #!/bin/bash

      cat root.cer sgn.cer >chain.pem

       

    6. noCA.cnf


      basicConstraints=CA:false

  2. Erstellen Sie mithilfe der soeben erstellten Skripte die Zertifikate.
    Führen Sie die Skripte in der folgenden Reihenfolge in der Bash-Shell aus:
    1. Das Root-Zertifikat

      #./createroot.sh

      Vergessen Sie nicht das Passwort, das den privaten Schlüssel schützt.
      Es werden die folgenden Dateien erstellt: root.cer, rootkey.pem.
       
    2. Control-Center-Sicherheitszertifikat

      #./createssl.sh IP | FQHN

      Geben Sie entweder die IP-Adresse oder den Fully-Qualified Host Name an (je nach Konfiguration des Servers). Vergessen Sie auch hier nicht das Passwort.
      Es werden die folgenden Dateien erstellt: Das SSL-Zertifikat - ssl.cer, der private Schlüssel - sslkey.pem.
       
    3. Kommunikationsserverzertifikat

      #./createcom.sh IP | FQHN

      Geben Sie entweder die IP-Adresse oder den Fully-Qualified Host Name an (je nach Konfiguration des Servers). Vergessen Sie auch hier nicht das Passwort.
      Es werden die folgenden Dateien erstellt: com.cer, comkey.pem.
       
    4. Apple-MDM-Push-Zertifikat
      Apple stellt dieses Zertifikat direkt Ihrem Unternehmen zur Verfügung, es erfordert aber, dass die Anfrage zur Unterzeichnung eines Zertifikat von Bitdefender unterzeichnet wird. Im Control Center gibt es einen Assistenten, der Ihnen hilft, ein Apple-MDM-Push-Zertifikat zu erwerben.
      Beachten Sie: Sie benötigen eine Apple-ID, um das Zertifikat zu erhalten. Wenn Sie keine Apple-ID haben, können Sie hier eine erstellen. Denken Sie daran, Ihre Apple-ID zu bestätigen und eine Sicherheitsfrage festzulegen, bevor Sie mit der Erlangung des Apple-MDM-Push-Zertifikat fortfahren.
       
    5. iOS-MDM-Identifikations- und Profilunterzeichnungszertifikat

      #./createsgn.sh

      Geben Sie das Passwort für das Root-Zertifikat ein, und vergessen Sie nicht das Passwort, das den privaten Schlüssel dieses Zertifikats schützt.
      Es werden die folgenden Dateien erstellt: sgn.cer, sgnkey.pem.
       
    6. iOS-MDM-Vertrauenskettenzertifikate

      #./createchain.sh

      Es wird die folgende Datei erstellt: chain.pem. Es wird auch eine Datei namens root.serial erstellt, die Sie aber ignorieren können.
       
  3. Laden Sie die entsprechenden Dateien ins Control Center hoch.
    Das Vorgehen zum Hochladen wird im Kapitel Zertifikate desAdministratorenhandbuchs erklärt.
Sie finden die Lösung für Ihr Problem nicht? Öffnen Sie bitte ein E-Mail-Ticket und wir werden Ihre Fragen oder Bedenken in der kürzesten Zeit beantworten.

Bewerten Sie diesen Artikel:

Senden