Zum Hauptinhalt springen

Wie verwaltet man Zertifikate auf OPNsense?

Veröffentlicht am:
.
12 Minuten Lesezeit
.
Für die Englische Version

Zertifikate auf OPNsense werden verwendet, um Vertrauen zwischen Peers herzustellen. OPNsense ermöglicht die Erstellung von Zertifikaten direkt aus dem Front-End, um deren Verwendung zu vereinfachen. Darüber hinaus ermöglicht es die Erstellung von Zertifikaten für viele Anwendungen, ohne das openssl-Kommandozeilenprogramm zu verwenden. Die folgenden OPNsense-Komponenten verwenden Zertifikate:

Der Zertifikatsmanager im Abschnitt SystemTrust ist verantwortlich für die Erstellung und Verwaltung von Einträgen für die Zertifizierungsstelle (CA), Zertifikate und Zertifikatsperrlisten (CRL), die von der OPNsense Firewall verwendet werden. Sie können OPNsense-Zertifikate verwalten, indem Sie im OPNsense-Web-UI zu SystemTrustCertificates navigieren.

In diesem Leitfaden behandeln wir die folgenden Themen zur Verwaltung von OPNsense-Zertifikaten:

  • Was sind die Zertifikatstypen auf OPNsense?
  • Was ist PKI-Infrastruktur?
  • Was sind Zertifikatseigenschaften?
  • Wie verwaltet man die Root-Zertifizierungsstelle (CA)?
  • Wie verwaltet man Zertifikate?
  • Wie verwaltet man Zertifikatswiderrufslisten (CRL)?

Abbildung 1. Zertifikate auf OPNsense

Starten Sie noch heute kostenlos mit Zenarmor

Welche Zertifikatstypen gibt es in OPNsense?

Sie können die folgenden Arten von Zertifikaten auf Ihrer OPNsense-Firewall erstellen:

  1. Zertifizierungsstelle
  2. Client
  3. Server
  4. Kombinierter Client/Server

Darüber hinaus hat OPNsense die Fähigkeit, eine Zertifikatsanforderung zu erstellen. (CSR). Dies kann verwendet werden, um ein von einer externen Zertifizierungsstelle signiertes Zertifikat zu erstellen. (CA).

warnung

Stellen Sie sicher, dass Sie den richtigen Zertifikatstyp verwenden, um Verbindungsprobleme oder Probleme mit Kunden zu vermeiden. Sie können ein Serverzertifikat oder ein kombiniertes Client-/Serverzertifikat verwenden, um die Verbindung zur Weboberfläche zu schützen, aber kein CA- oder Client-Zertifikat.

Was ist PKI-Infrastruktur?

In der PKI (Public Key Infrastructure) ist eine Zertifizierungsstelle (CA die vertrauenswürdige Institution, die das PKI-Rahmenwerk initiiert. Anschließend signiert diese Zertifizierungsstelle alle einzelnen Zertifikate innerhalb einer Gruppe. Das CA-Zertifikat wird auf Servern und Clients verwendet, um die Legitimität von Server- und Client-Zertifikaten zu authentifizieren. Das CA-Zertifikat kann Signaturen auf Zertifikaten validieren, darf jedoch nicht zum Signieren von Zertifikaten verwendet werden. Um Zertifikate zu signieren, wird der private Schlüssel der Zertifizierungsstelle (CA) benötigt. Die Vertraulichkeit des privaten Schlüssels der Zertifizierungsstelle (CA) ist entscheidend für die Aufrechterhaltung der Sicherheit einer PKI. Der Zugriff auf den privaten Schlüssel der CA ermöglicht die Erstellung von Zertifikaten für eine PKI, daher muss er sicher aufbewahrt werden. Dieser Schlüssel wird nicht mit Clients oder Servern geteilt.

Ein Zertifikat wird als gültig angesehen, wenn es von einer bestimmten CA authentifiziert wurde. Für ein VPN wird ein von einer bestimmten Zertifizierungsstelle (CA) ausgestelltes Zertifikat für jedes VPN, das diese CA verwendet, als gültig angesehen. Es ist ratsam, eine separate Zertifizierungsstelle (CA) für jedes VPN mit unterschiedlichen Sicherheitsstufen zu erstellen. Wenn zwei mobile Zugriffs-VPNs denselben Sicherheitszugang haben, ist es akzeptabel, dieselbe Zertifizierungsstelle (CA) für beide VPNs zu verwenden. Wenn ein VPN für Benutzer und ein anderes VPN für die Fernadministration vorgesehen ist, jeweils mit unterschiedlichen Einschränkungen, ist es ratsam, dass jedes VPN eine separate Zertifizierungsstelle besitzt. (CA).

Was sind Zertifikatseigenschaften?

Zertifizierungsstellen und Zertifikateinträge teilen ähnliche Attribute. Gemeinsame Merkmale beider Kategorien werden im Folgenden erörtert.

Schlüssel

Die öffentlichen und privaten Schlüssel des Zertifikats werden für kryptografische Funktionen verwendet.

  • Key Type: Der Schlüsseltyp des Zertifikats kann RSA oder Elliptische Kurve sein.
    • RSA: RSA-Schlüssel sind im Vergleich zu ECDSA verbreiteter und allgemein akzeptierter, und sie bieten auch einige Leistungs Vorteile.
    • Elliptic Curve: Der Elliptische Kurven-Digital-Signatur-Algorithmus (ECDSA) ist eine neuere Technik, die nicht allgemein akzeptiert wurde. Der Hauptvorteil besteht darin, dass die gleichen Sicherheitsniveaus wie bei RSA mit weniger Schlüsseln erreicht werden können. ECDSA ist weniger effizient bei der Validierung von Signaturen im Vergleich zu RSA, bietet jedoch eine höhere Skalierbarkeit.
  • Key Length: Das Sicherheitsniveau von RSA-Schlüsseln steigt mit der Schlüssellänge. Größere Schlüssel bieten eine verbesserte Sicherheit, obwohl sie mehr Zeit für die Generierung benötigen und langsamer im Betrieb sind. Die Leistung von RSA verschlechtert sich erheblich bei größeren Schlüsseln.Es wird empfohlen, wo immer möglich, Schlüssel mit weniger als 2048 Bit zu vermeiden. Legacy- und eingebettete Systeme sind möglicherweise nicht mit größeren Schlüsseln kompatibel.

Abbildung 2. RSA-Schlüssel

  • Curve Name: Mehrere ECDSA-Kurven sind verfügbar, jedoch wurde nur eine ausgewählte Handvoll auf ihre Kompatibilität mit verschiedenen Diensten auf der Firewall überprüft. Jede Kurve wird von einer Liste der Dienste begleitet, die sie unterstützen. Wählen Sie die Kurve je nach den Diensten aus, die diese Zertifizierungsstelle oder dieses Zertifikat verwenden werden.

Abbildung 3. ECDSA-Kurven

Digest-Algorithmus

Digest-Algorithmen, manchmal auch als Message-Digest-Algorithmen und Hash-Algorithmen bezeichnet, werden verwendet, um einen konsistenten Hash von Material für Signaturzwecke zu erzeugen.

Eine größere Hash-Größe weist auf eine höhere Stärke und eine geringere Anfälligkeit für Kollisionen hin, die die Integrität des Hashs gefährden könnten. Die aktuelle beste Praxis ist die Verwendung von mindestens SHA-256.

Abbildung 4. Digest-Algorithmus

Lebensdauer

Die Lebensdauer einer Zertifizierungsstelle oder eines Zertifikats ist die Dauer, gemessen in Tagen, während der das Zertifikat gültig bleibt. Kürzere Lebensdauern erhöhen die Sicherheit, erfordern jedoch häufigere Erneuerungen oder Ersetzungen der Zertifikate.

Zertifizierungsstellen halten eine längere Lebensdauer, wie zum Beispiel 3650 Tage (10 Jahre), für geeignet.

Benutzersignaturen haben oft eine lange Laufzeit, wobei die spezifischen Laufzeiten je nach den Anforderungen der Organisation variieren. Die GUI legt standardmäßig 3650 Tage für Benutzerzertifikate fest, jedoch ist es ratsam, wenn möglich eine kürzere Dauer auszuwählen.

Serverzertifikate haben strengere Kriterien bezüglich ihrer Lebensdauer. Die aktuelle maximale Gültigkeitsdauer für Serverzertifikate beträgt 398 Tage. Viele Browser und Softwareprogramme unterstützen keine Serverzertifikate mit verlängerten Laufzeiten mehr.

Ein weiteres einzigartiges Szenario betrifft Serverzertifikate, die mit ACME von Let's Encrypt erworben wurden. Diese haben eine Lebensdauer von 90 Tagen, werden jedoch vor Ablauf automatisch erneuert, wodurch weitere administrative Aufgaben nach der ersten Einrichtung minimiert werden.

Distinguished Name

Die mit einer Zertifizierungsstelle oder einem Zertifikat verbundene Entität, die als Subjekt bezeichnet wird, wird durch die verschiedenen Elemente des Zertifikats unterschieden. Das Hauptelement zu diesem Zweck ist der Distinguished Name. (DN). Diese Formulare werden normalerweise mit den Angaben einer Organisation oder, im Falle einer Einzelperson, mit persönlichen Informationen ausgefüllt. Diese Daten sind größtenteils oberflächlich, werden verwendet, um die Genauigkeit der CA zu bestätigen und sie von anderen CAs zu unterscheiden.

Ein DN besteht aus vielen Feldern, die Informationen über das Subjekt enthalten. Nur das Feld für den gemeinsamen Namen ist obligatorisch; die anderen Felder können leer gelassen werden.

tipp

Ein Domainname mit wenig unterscheidbaren Daten kann in Zukunft zu Fehlidentifikationen bei Vergleichen von Zertifikatssubjekten führen. Stellen Sie immer ausreichende Informationen zur Verfügung, um das Thema richtig zu identifizieren.

  • Common Name: Eine kurze Bezeichnung, wie ein Benutzername oder Hostname. Vermeiden Sie die Verwendung von Leerzeichen oder Satzzeichen, außer denen, die oft in einem Hostnamen vorkommen. Moderne Systeme verwenden diesen Namen nicht direkt zur Überprüfung von Zertifikaten; stattdessen konzentrieren sie sich auf die Werte des Subject Alternative Name.
  • Country Code: Der zweibuchstabige ISO-Ländercode für den Standort des Zertifikatinhabers. Der ISO-Ländercode unterscheidet sich vom Top-Level-Domain (TLD)-Code eines Landes.
  • State or Province: Der Name des Bundesstaates oder der Provinz, in der sich das Zertifikatssubjekt befindet. Schreiben Sie diese Nummer ohne Abkürzung oder Code aus.
  • City: Die Stadt, in der das Zertifikatsthema angesiedelt ist.
  • Organization: Der Name der Organisation, der die Person angehört. Zum Beispiel ein Firmenname, ein Name einer Regierungsbehörde oder ein entsprechender.
  • OCSP URI: Uniform Resource Identifier (URI) ist ein Bezeichner für das Zertifikat. Typischerweise als alternative Methode verwendet, um den Hostnamen während der Serverkommunikation zu identifizieren. Die Gültigkeit des Zertifikats ist nicht auf bestimmte URIs auf einem Server beschränkt.

Abbildung 5. Distinguished Name

hinweis

Beim Erstellen eines Zertifikats füllt die grafische Benutzeroberfläche automatisch die meisten Felder mit den Daten der ausgewählten Zertifizierungsstelle für die Signatur aus. Der Inhalt der Felder kann vor der Ausführung des Signaturverfahrens geändert werden.

Subject Alternative Name

Die Liste der Subject Alternative Names (SAN) ist ausschließlich für Zertifikate. Es enthält Daten, die zur Überprüfung der Echtheit des Zertifikats erforderlich sind. Wenn ein System eine Verbindung zu einem Gerät im Netzwerk herstellt, kann es den Hostnamen oder die IP-Adresse, mit der es verbunden ist, mit den Werten in der SAN-Liste des Zertifikats abgleichen. Durch die Verwendung dieser Methode kann es überprüfen, dass es sich mit dem richtigen Host und nicht mit einem betrügerischen verbindet.

tipp

Der Wert des Common Name aus einem Zertifikat wird gemäß den aktuellen Standards automatisch intern in die SAN-Liste aufgenommen.

Die folgenden SAN-Einträge können in ein Zertifikat aufgenommen werden:

  • FQDN or Hostname: Ein Beispiel für einen vollständig qualifizierten Domainnamen (FQDN) ist host.domain.tld, oder einfach ein Hostname wie host. Typischerweise wäre dieser Hostname im Domain Name System vorhanden. (DNS). Benutzertickets können als Benutzername fungieren.
  • IP Address: Eine IP-Adresse (z.B. x.x.x.x) ist normalerweise die Adresse eines Netzwerkgeräts, das mit diesem Zertifikat verbunden ist. Clients müssen das Zertifikat korrekt überprüfen, wenn sie sich über die IP-Adresse anstelle des Hostnamens verbinden.
  • URI: Uniform Resource Identifier (URI) ist ein Bezeichner für das Zertifikatsthema. Typischerweise als alternative Methode verwendet, um den Hostnamen während der Serverkommunikation zu identifizieren. Die Gültigkeit des Zertifikats ist nicht auf bestimmte URIs auf einem Server beschränkt.
  • Email Address: Eine E-Mail-Adresse für den Empfänger des Zertifikats.

Abbildung 6. SAN-Einstellungen

Wie verwaltet man die Root-Zertifizierungsstelle (CA)?

Sie können Ihre Certificate Authority (CA)-Einträge in OPNsense verwalten, indem Sie im OPNsense-Web-UI zu SystemTrustAuthorities navigieren. Beim Erstellen oder Bearbeiten eines CA-Eintrags stehen die folgenden Optionen zur Verfügung:

  • Descriptive name: Hier sollten Sie einen beschreibenden Namen für Ihr neues Zertifikat eingeben.

  • Certificate data: Sie müssen hier ein Zertifikat im X.509 PEM-Format einfügen. Zertifikatsdaten befinden sich normalerweise in einer Datei mit der Erweiterung .crt oder .pem. Der Text wäre einfach und in einem Block enthalten, wie folgt:

    -----BEGIN RSA PRIVATE KEY-----
    [A bunch of random-looking base64-encoded data]
    -----END RSA PRIVATE KEY-----

  • Certificate Private Key: Die Seriennummer des nächsten Zertifikats, verwendet, wenn die Zertifizierungsstelle die Seriennummern nicht randomisiert.Jedes Zertifikat muss eine eindeutige Seriennummer besitzen, um Komplikationen bei der Zertifikatswiderrufung zu vermeiden. Wenn die nächste Seriennummer nicht bekannt ist, versuchen Sie, die Gesamtzahl der von der Zertifizierungsstelle (CA) ausgestellten Zertifikate zu schätzen und setzen Sie die Seriennummer dann ausreichend hoch, um die Wahrscheinlichkeit einer Kollision zu minimieren.

    -----BEGIN RSA PRIVATE KEY-----
    [A bunch of random-looking base64-encoded data]
    -----END RSA PRIVATE KEY-----

  • Serial for next certificate: Die Seriennummer des nächsten Zertifikats, verwendet, wenn die Zertifizierungsstelle die Seriennummern nicht randomisiert.Jedes Zertifikat muss eine eindeutige Seriennummer besitzen, um Komplikationen bei der Zertifikatswiderrufung zu vermeiden. Wenn die nächste Seriennummer nicht bekannt ist, versuchen Sie, die Gesamtzahl der von der Zertifizierungsstelle (CA) ausgestellten Zertifikate zu schätzen und setzen Sie die Seriennummer dann ausreichend hoch, um die Wahrscheinlichkeit einer Kollision zu minimieren.

Wie erstellt man einen neuen Eintrag für die Zertifizierungsstelle (CA)?

Sie können ganz einfach einen neuen CA-Eintrag in OPNsense hinzufügen, indem Sie die folgenden Schritte befolgen:

  1. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

    Abbildung 7. Vertrauenswürdige Stellen auf OPNsense

  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol auf der rechten Seite der Seite.

  3. Geben Sie einen Descriptive name für die CA ein. Dies dient als Bezeichnung für diese Zertifizierungsstelle im gesamten grafischen Benutzerinterface.

  4. Wählen Sie die am besten geeignete Method zur Erstellung der CA.

    Abbildung 8. Auswahl der CA-Methode

  5. Füllen Sie die erforderlichen Felder je nach der von Ihnen ausgewählten CA-Generierungsmethode aus.

  6. Klicken Sie auf Save.

Was sind die CA-Generierungsmethoden auf OPNsense?

Beim Hinzufügen einer neuen Zertifizierungsstelle auf Ihrer OPNsense-Firewall können Sie eine der unten aufgeführten verfügbaren Methoden anwenden:

  1. Importieren einer vorhandenen Zertifizierungsstelle: Exportieren Sie ein CA-Zertifikat, das auf einem anderen Host erstellt wurde, mit oder ohne privaten Schlüssel. Dies kann in zwei Szenarien von Vorteil sein: Erstens für CAs, die mit einer anderen Technologie erstellt wurden, und zweitens für CAs, die von Dritten erstellt wurden und Vertrauen benötigen.Um eine von einem Zwischenzertifikat signierte CA anstelle einer direkt von einer Root-CA signierten zu importieren, importieren Sie jeden Schritt in der Kette unabhängig, beginnend mit der Root-CA.

    Abbildung 9. Importieren einer vorhandenen Zertifizierungsstelle

  2. Erstellen einer internen Zertifizierungsstelle: Diese Methode wird verwendet, um eine neue Root-CA zu erstellen.

    Abbildung 10. Erstellen einer internen Zertifizierungsstelle

  3. Erstellen einer Zwischenzertifizierungsstelle: Erstellt eine neue Zwischenzertifizierungsstelle (CA), die von einer anderen internen CA auf dieser Firewall authentifiziert wird.

    Abbildung 11. Erstellen einer Zwischenzertifizierungsstelle

  4. Erstellen Sie ein OCSP-Signaturzertifikat:

    Abbildung 12. OCSP-Signaturzertifikat hinzufügen

Nachdem Sie ein neues CA-Wurzelzertifikat erstellt haben, können Sie es auf der Seite Authorities wie unten dargestellt anzeigen:

Abbildung 13. Behörden

Wie man eine Zertifizierungsstelle (CA) anzeigt?

Sie können die Details eines vorhandenen CA-Zertifikats auf OPNsense ganz einfach anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Show certificate Infon mit einem i-Symbol am Ende der Zertifikatreihe. Dies öffnet ein Fenster, das die Zertifikatsinformationen anzeigt.

    Abbildung 14. CA-Liste

  3. Scrollen Sie nach unten zum Fenster, um das Zertifikat anzuzeigen.

    Abbildung 15. Zertifizierungsstellen (CA) Details anzeigen

Wie bearbeitet man eine Zertifizierungsstelle (CA)?

Sie können den vorhandenen CA-Eintrag in OPNsense ganz einfach bearbeiten, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

  2. Klicken Sie auf die Edit-Schaltfläche mit einem Stiftsymbol am Ende der Zertifikatreihe.

    Abbildung 16. Zertifizierungsstelle (CA) bearbeiten

Das Bearbeitungsfeld der GUI ermöglicht die Änderung der Felder, als ob die CA importiert werden würde.

Wie exportiert man eine Zertifizierungsstelle (CA)?

Sie können das vorhandene CA-Zertifikat auf OPNsense ganz einfach exportieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Export CA cert mit einem Download-Symbol am Ende der Zertifikatreihe. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.

    Abbildung 17. Zertifizierungsstelle (CA) exportieren

  3. Klicken Sie auf Save. Die CA-Zertifikatdatei wird standardmäßig mit der Erweiterung .crt heruntergeladen.

Wie exportiert man den privaten Schlüssel der Zertifizierungsstelle (CA)?

Sie können den privaten Schlüssel eines vorhandenen CA-Zertifikats auf OPNsense ganz einfach exportieren, indem Sie die folgenden Schritte befolgen:

  1. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Export CA private key mit einem Download-Symbol am Ende der Zertifikatreihe. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.

    Abbildung 18. Exportieren des privaten Schlüssels der Zertifizierungsstelle (CA)

  3. Klicken Sie auf Save. Die CA-Privatsschlüsseldatei wird mit der Erweiterung .key heruntergeladen.

Typischerweise wird der private Schlüssel einer Zertifizierungsstelle (CA) nicht exportiert, es sei denn, die CA wird verlagert oder ein Backup wird erstellt. Beim Einsatz der Zertifizierungsstelle (CA) für ein VPN oder andere Funktionen exportieren Sie nur das CA-Zertifikat und verzichten Sie darauf, den Schlüssel zu exportieren.

vorsicht

Der unbefugte Besitz eines privaten Schlüssels einer CA könnte es einem böswilligen Akteur ermöglichen, legitime Zertifikate zu erstellen, die von der CA anerkannt werden.

Wie löscht man eine Zertifizierungsstelle (CA)?

Sie können das vorhandene CA-Zertifikat auf OPNsense ganz einfach löschen, indem Sie die folgenden Schritte befolgen:

  1. Überprüfen Sie Abschnitte, die von einer Zertifizierungsstelle profitieren könnten, wie IPsec, OpenVPN und Softwarepakete. Denn um eine Zertifizierungsstelle (CA) zu entfernen, muss sie zuerst deaktiviert werden.

  2. Navigieren Sie zu SystemTrustAuthorities im OPNsense-Web-UI.

  3. Klicken Sie auf die Delete CA mit einem Mülleimer-Symbol am Ende der Zertifikatreihe. Dies öffnet ein Bestätigungsdialogfeld.

    Abbildung 19. Zertifizierungsstelle (CA) löschen

  4. Klicken Sie auf Yes, um die Zertifizierungsstelle und ihre CRLs zu entfernen und alle zugehörigen Zertifikate von der Firewall zu entkoppeln.

Was ist das Online Certificate Status Protocol?

OCSP ist ein Internetprotokoll, das entwickelt wurde, um den Widerrufsstatus eines X.509-Digitalzertifikats zu überprüfen. Es ist in RFC 6960 detailliert beschrieben und Teil des Internet-Standards. Es wurde als Ersatz für Zertifikatswiderrufslisten (CRLs) entwickelt, um explizit Probleme im Zusammenhang mit der Nutzung von CRLs in einer Public-Key-Infrastruktur anzugehen. (PKI).

OCSP bietet vergleichbare Funktionen wie CRLs, verifiziert jedoch Zertifikate in Echtzeit und verwendet einen Whitelisting-Ansatz anstelle von Blacklisting. Nach der Überprüfung der Zertifikate gegen ein vordefiniertes Online-Set wird der Server mit 'gut', 'widerrufen' oder 'unbekannt' antworten. Nur positive Antworten werden als akzeptabel angesehen.

Um die Gültigkeit eines Zertifikats zu überprüfen, muss die AuthorityInfoAccess-Erweiterung in der Zertifizierungsstelle enthalten sein. Das OCSP-URI-Argument erledigt dies in OPNsense.

Um die 'OCSP-Anfrage' zu überprüfen, benötigt der OCSP-Responder ein spezifisches Signierungszertifikat. Dieses Zertifikat kann in OPNsense unter SystemTrustAuthorities erstellt werden und sollte von derselben Zertifizierungsstelle bereitgestellt werden, die die Benutzer- und/oder Serverzertifikate ausgestellt hat.

OPNsense bietet keinen OCSP-Responder an, aber um die Idee zu testen, können wir den Befehl openssl-ocsp verwenden.

Um die OCSP-Idee zu testen, benötigen Sie die folgenden Komponenten:

  • Die CA-Zertifikatkette, die die Zertifikate signiert hat (export "cert" from Authorities page)
  • Das OCSP-Signaturzertifikat (export "cert" and "key" from Authorities page for the signer)
  • Eine Seriennummer eines widerrufenen Zertifikats (you may use the info button to find the serial number)
  • Eine Seriennummer eines nicht abgelaufenen oder widerrufenen Zertifikats
  • Eine Indexdatei für openssl-ocsp (Index aus dem Widerrufsmenü exportieren) wie in https://pki-tutorial.readthedocs.io/en/latest/cadb.html angegeben

Indem Sie die nächsten Schritte befolgen, können Sie OCSP auf OPNsense testen:

  1. Starten Sie den Server in einer Konsole, indem Sie den folgenden Befehl ausführen:

    openssl ocsp -index index.txt -port 8081 -rsigner ocsp_signer.crt -rkey ocsp_signer.key -CA ca.crt -ignore_err -text

  2. Führen Sie den nächsten Befehl aus, um das Zertifikat mit der Seriennummer 1 zu überprüfen:

    openssl ocsp -url http://127.0.0.1:8081 -CAfile ca.crt -issuer ca.crt -serial 1

    Sie sollten die folgende Ausgabe für ein gutes Zertifikat sehen:

    Response verify OK
    1: good
    This Update: Feb 22  10:34:59  2024 GMT

    Sie sollten die folgende Ausgabe für ein widerrufenes Zertifikat sehen:

    Response verify OK
    2: revoked
    This Update: Feb 22  10:34:59  2024 GMT
    Revocation Time: Jan 10  11:30:08  2024 GMT

    Sie sollten die folgende Ausgabe für ein unbekanntes Zertifikat sehen:

    Response verify OK
    9999: unknown
    This Update: Feb 22  10:34:59  2024 GMT

Wie verwaltet man Zertifikate?

Sie können Ihre Zertifikate verwalten, indem Sie im OPNsense-Web-UI zu SystemTrustCertificates navigieren.

Der Prozess zur Erstellung eines Zertifikats auf einer bestimmten Plattform folgt typischerweise der folgenden Reihenfolge:

  1. Ein Schlüsselpaar und eine Zertifikatsanforderung (CSR) werden vom Benutzer generiert. Der private Schlüssel ist vom CSR zu unterscheiden, der den öffentlichen Schlüssel enthält.
  2. Der Benutzer überträgt die CSR an die CA und hält den privaten Schlüssel vertraulich.
  3. Der CSR, der von der CA signiert wird, erzeugt ein Zertifikat.
  4. Das Zertifikat wird vom CA an den Verbraucher übermittelt.
  5. Der Benutzer hat nun ein vom CA vertrauenswürdiges Zertifikat und den privaten Schlüssel für das Zertifikat.

Die OPNsense-Webbenutzeroberfläche verwaltet den Großteil dieses Verfahrens automatisch, aber einzelne Schritte können auch manuell ausgeführt werden. Beim Erstellen eines internen Zertifikats ist das Erzeugen und Signieren eines CSR beispielsweise nicht erforderlich, da die grafische Benutzeroberfläche (GUI) diesen Prozess in einem einzigen Schritt vereinfacht und automatisiert. Abgesehen davon unterstützt die GUI auch die Signatur von CSRs und die Erstellung von CSRs, die an eine andere CA gesendet werden können.

Wie erstellt man ein neues Zertifikat?

Sie können ein neues Zertifikat auf der OPNsense-Firewall ganz einfach hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.
  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol oben rechts auf der Seite.
  3. Geben Sie einen Namen ein, der das Zertifikat beschreibt, in das Feld Descriptive name. Dies wird in der gesamten GUI als Bezeichnung für dieses Zertifikat verwendet.
  4. Wählen Sie die Method, die am besten für die Erstellung des Zertifikats geeignet ist, aus dem Dropdown-Menü aus. Die folgenden Optionen stehen zur Verfügung:1. Ein vorhandenes Zertifikat importieren 2. Erstellen eines internen Zertifikats 3. Erstellen Sie eine Zertifikatsanforderung 4. Signieren Sie eine Zertifikatsanforderung
  5. Befolgen Sie die Anweisungen für die ausgewählte Methode.
  6. Klicken Sie auf Speichern.

Wie erstellt man ein internes Zertifikat?

Der gebräuchlichste Ansatz zur Erstellung von Zertifikaten besteht darin, ein internes Zertifikat zu generieren. Folglich wird ein neues Zertifikat von einer der aktuellen Zertifizierungsstellen erstellt.

Sie können ein internes Zertifikat auf der OPNsense-Firewall ganz einfach hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol oben rechts auf der Seite.

  3. Geben Sie einen Namen ein, der das Zertifikat beschreibt, in das Feld Descriptive name ein.

  4. Wählen Sie die Option Create an internal certificate aus dem Dropdown-Menü Method. Dies zeigt die internen Zertifikateinstellungen unten an.

  5. Bestimmen Sie, welche Certificate Authority verwendet wird, um dieses Zertifikat zu signieren. Der private Schlüssel ist eine Voraussetzung dafür, dass die CA ein Zertifikat signieren kann, daher ist die Mitgliedschaft in dieser Liste auf CAs beschränkt, die ihn besitzen.

  6. Wählen Sie den Type des zu generierenden Zertifikats aus, der Typ definiert seine Einschränkungen. Verfügbare Zertifikatstypen sind wie folgt:1. Client-Zertifikat 2. Serverzertifikat 3. Kombiniertes Client/Server-Zertifikat 4. Zertifizierungsstelle

  7. Legen Sie die Eigenschaften des Zertifikats fest.

  8. Klicken Sie auf Save.

    Abbildung 20. Erstellen eines internen Zertifikats

Wie importiert man ein vorhandenes Zertifikat?

Die Funktion zum Importieren eines vorhandenen Zertifikats ist vorteilhaft, wenn man es mit Zertifikaten zu tun hat, die von einem anderen System generiert wurden oder von einem Drittanbieter bereitgestellt werden.

Sie können ein vorhandenes Zertifikat auf der OPNsense-Firewall ganz einfach importieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol oben rechts auf der Seite.

  3. Wählen Sie die Option Import an existing certificateaus dem Dropdown-Menü Method. Dies wird die vorhandenen Zertifikateinstellungen unten anzeigen.

  4. Geben Sie einen beschreibenden Namen für das Zertifikat in das Feld Descriptive name ein.

  5. Geben Sie die Certificate data im X.509 PEM-Format ein.

  6. Geben Sie die Private key data im X.509 PEM-Format ein.

  7. Klicken Sie auf Save.

    Abbildung 21. Importieren eines vorhandenen Zertifikats

vorsicht

Der häufigste Fehler besteht darin, den vorgesehenen Abschnitt des Zertifikats oder des privaten Schlüssels nicht korrekt einzufügen. Stellen Sie sicher, dass die kodierten Daten im gesamten Block enthalten sind, einschließlich der anfänglichen Kopfzeile und der abschließenden Fußzeile.

Wie erstellt man eine Zertifikatsanforderung?

Bei der Auswahl einer Methode zur Erstellung einer Zertifikatsanforderung wird eine neue Anforderungsdatei generiert, die später von einer Zertifizierungsstelle (CA) signiert werden kann, sogar von einer Drittanbieter-CA, die derzeit nicht auf der Firewall vorhanden ist. Dies wird oft verwendet, um ein Zertifikat von einer renommierten Root-Zertifizierungsstelle zu erhalten.

Um eine Zertifikatsanforderung auf der OPNsense-Firewall zu erstellen, können Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol oben rechts auf der Seite.

  3. Geben Sie einen Namen ein, der das Zertifikat beschreibt, in das Feld Descriptive name.

  4. Wählen Sie die Option Create Certificate Signing Request aus dem Dropdown-Menü Method. Dies wird die Zertifikateinstellungen unten anzeigen.

  5. Legen Sie die Eigenschaften des Zertifikats fest.

  6. Klicken Sie auf Save.

    Abbildung 22. Erstellen einer Zertifikatsanforderung

tipp

Die GUI zeigt Felder für Certificate Type und Alternative Names an, obwohl diese nur als Empfehlungen für die CA dienen. Die unterzeichnende CA hat die Befugnis, diese Alternativen zu ignorieren und sie durch eigene Werte zu ersetzen.

Wie signiert man eine Zertifikatsanforderung?

Das Signieren einer Certificate Signing Request (CSR) beinhaltet die Verwendung einer internen Zertifizierungsstelle (CA) auf der Firewall, um die CSR zu signieren und in ein vollständiges Zertifikat umzuwandeln.

Um eine Zertifikatsanforderung auf der OPNsense-Firewall zu signieren, können Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add mit dem +-Symbol oben rechts auf der Seite.

  3. Geben Sie einen Namen ein, der das Zertifikat beschreibt, in das Feld Descriptive name ein.

  4. Wählen Sie die Option Sign a Certificate Signing Request aus dem Dropdown-Menü Method. Dies wird die Zertifikateinstellungen unten anzeigen.

  5. Wählen Sie die Certificate authority auf der Firewall aus, die das CSR signieren wird. Es muss eine interne CA und ein privater Schlüssel vorhanden sein.

  6. Wählen Sie den Digest Algorithm für das neue Zertifikat aus.

  7. Legen Sie die Lifetime des neuen Zertifikats fest.

  8. Fügen Sie die im PEM-Format codierten CSR-Daten in das Feld CSR file ein. CSR-Daten finden sich oft in einer Datei mit der Erweiterung .req oder .pem. Der Text wäre schmucklos und in einem Block wie unten enthalten:

    -----BEGIN CERTIFICATE REQUEST-----
    [A bunch of random-looking base64-encoded data]
    -----END CERTIFICATE REQUEST-----

  9. Klicken Sie auf Weiter. Dies öffnet die Optionen für Betreff des Zertifikats.

    Abbildung 23. Gegenstand des Zertifikats

  10. Stellen Sie die Zertifikateinstellungen je nach Ihren Bedürfnissen ein.

  11. Klicken Sie auf Save. Sobald Sie die Schritte abgeschlossen haben, wird ein Zertifikatseintrag in der Liste erstellt, der bereit ist, verwendet oder exportiert zu werden.

Wie man Zertifikate anzeigt?

Sie können die Details eines vorhandenen Zertifikats auf OPNsense ganz einfach anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.

    Abbildung 24. Zertifikate anzeigen

  2. Klicken Sie auf die Schaltfläche Show certificate Info mit einem i-Symbol am Ende der Zertifikatreihe. Dies öffnet ein Fenster, das die Zertifikatsinformationen anzeigt.

  3. Scrollen Sie nach unten, um das Zertifikat im Fenster anzuzeigen.

    Abbildung 25. Zertifikatsdetails anzeigen

Wie exportiert man ein Zertifikat?

Sie können das vorhandene Zertifikat auf OPNsense ganz einfach exportieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.
  2. Klicken Sie auf die Schaltfläche Export user cert mit einem Download-Symbol am Ende der Zertifikatreihe. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.
  3. Klicken Sie auf Save. Die Zertifikatdatei wird standardmäßig mit dem Namen Web+GUI+TLS+certificate und der Erweiterung .crt heruntergeladen.

Wie exportiert man den privaten Schlüssel des Zertifikats?

Sie können den privaten Schlüssel eines vorhandenen Zertifikats auf OPNsense ganz einfach exportieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.
  2. Klicken Sie auf die Schaltfläche Export user key mit einem Download-Symbol am Ende der Zertifikatreihe. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.
  3. Klicken Sie auf Save. Die private Schlüsseldatei des Zertifikats wird standardmäßig mit dem Namen Web+GUI+TLS+certificate und der Erweiterung .key heruntergeladen.

Wie exportiert man das Zertifikat und den privaten Schlüssel im .p12-Format?

Sie können die Zertifikatdatei und den privaten Schlüssel eines vorhandenen Zertifikats im .p12-Format auf OPNsense ganz einfach exportieren, indem Sie die folgenden Schritte befolgen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.
  2. Klicken Sie auf die Schaltfläche Export ca+user cert+user key im .p12-Format mit einem Download-Symbol am Ende der Zertifikatreihe. Dies öffnet ein Dialogfeld, das nach einem Passwort fragt.
  3. Sie können optional ein Passwort eingeben, um die exportierte Datei zu schützen.
  4. Klicken Sie auf Download. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.
  5. Klicken Sie auf Save. Die Zertifikats- und privaten Schlüsseldateien im .p12-Format werden standardmäßig mit dem Namen Web+GUI+TLS+certificate und der Erweiterung .p12 heruntergeladen.

Wie löscht man das Zertifikat?

Sie können das vorhandene Zertifikat auf OPNsense ganz einfach löschen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemTrustCertificates im OPNsense-Web-UI.
  2. Klicken Sie auf die Schaltfläche Delete cert mit einem Mülleimer-Symbol am Ende der Zertifikatreihe. Dies öffnet ein Bestätigungsdialogfeld.
  3. Klicken Sie auf Yes, um das Zertifikat von der Firewall zu entfernen.

Wie verwaltet man Zertifikatswiderrufslisten (CRL)?

Eine Zertifikatsperrliste (CRL) ist eine Zusammenstellung von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden. Diese Zertifikate könnten gehackt worden sein oder müssen ungültig gemacht werden. Einige Dienste auf OPNsense können diese verwenden, um zu überprüfen, ob ein Zertifikat noch gültig ist, auch wenn es noch nicht abgelaufen ist. Das Widerrufen eines Zertifikats führt dazu, dass es als nicht vertrauenswürdig eingestuft wird, solange die Anwendung, die die Zertifizierungsstelle verwendet, auch eine Zertifikatswiderrufsliste (CRL) verwendet. (CRL). CRLs werden mit dem privaten Schlüssel einer CA erstellt und signiert. Um Zertifikate über die GUI in eine CRL zu erstellen oder einzufügen, ist der private Schlüssel der CA erforderlich.

Eine Anwendung, die eine Zertifizierungsstelle (CA) wie OpenVPN verwendet, kann sich entscheiden, eine Zertifikatsperrliste (CRL) zu verwenden, um verbundene Client-Zertifikate zu authentifizieren. Um Zertifikate über die GUI zu einer CRL hinzuzufügen oder zu erstellen, muss der private Schlüssel der CA verfügbar sein, um die CRL zu generieren und zu signieren. Wenn die Zertifizierungsstelle (CA) extern verwaltet wird und ihr privater Schlüssel nicht auf der Firewall gespeichert ist, kann dennoch eine Zertifikatsperrliste (CRL) außerhalb der Firewall erstellt und dann importiert werden.

Traditionell wird jeder Zertifizierungsstelle (CA) eine einzige Zertifikatsperrliste (CRL) zugewiesen, und nur ungültige Zertifikate werden in dieser CRL aufgenommen. Die grafische Benutzeroberfläche ermöglicht jedoch die Verwendung zahlreicher Zertifikatswiderrufslisten für eine einzige Zertifizierungsstelle. OpenVPN ermöglicht die Auswahl unterschiedlicher Zertifikatswiderrufslisten (CRLs) für jede VPN-Instanz. Dies kann verwendet werden, um ein bestimmtes Zertifikat daran zu hindern, sich mit einer Instanz zu verbinden, während es gleichzeitig erlaubt wird, sich mit einer anderen zu verbinden. IPsec konsultiert alle Certificate Revocation Lists (CRLs), ohne die Möglichkeit, spezifische wie in OpenVPN auszuwählen.

Um eine Zertifikatswiderrufsliste (CRL) auf OPNsense zu definieren, gehen Sie zu SystemTrustRevocation und klicken Sie auf das [+]-Zeichen neben Ihrer (lokalen) Zertifizierungsstelle, um eine neue CRL zu erstellen. Sie können eine Certificate Revocation List (CRL) ändern, indem Sie Zertifikate hinzufügen oder entfernen, indem Sie das Stiftsymbol verwenden.

tipp

Um eine Zertifikatsperrliste (CRL) für externe Werkzeuge zu verwenden, können Sie sie durch Klicken auf die Download-Schaltfläche herunterladen.

CRLs haben eine Einschränkung in der Skalierbarkeit, da jeder Benutzer die gesamte Liste herunterladen muss, um die Vertrauenswürdigkeit eines Zertifikats zu überprüfen. Die Informationen können weniger präzise sein, da diese Listen oft nur zu bestimmten Zeitpunkten erstellt werden.

Bei der Implementierung einer Zertifikatswiderrufsliste (CRL) für eine lokale Behörde auf OPNsense ist Skalierbarkeit oft kein bedeutendes Problem, da die Anzahl der Zertifikate normalerweise begrenzt ist, zum Beispiel auf die Anzahl der Mitarbeiter in der Organisation.

Wie erstellt man eine neue Zertifikatsperrliste?

Um eine Zertifikatssperrliste (CRL) auf OPNsense zu definieren, können Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu SystemTrustRevocation im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add/Import CRL mit dem +-Symbol neben Ihrer (lokalen) Zertifizierungsstelle, um eine neue CRL zu generieren.

    Abbildung 26. Zertifikatswiderrufsliste

  3. Wählen Sie Create an Internal Certificate Revocation List aus dem Method-Dropdown-Menü.

  4. Geben Sie einen Descriptive name ein. Dies wird verwendet, um diese Zertifikatsperrliste in verschiedenen Listen innerhalb der grafischen Benutzeroberfläche zu unterscheiden. Es ist ratsam, den Namen der Zertifizierungsstelle (CA) und/oder den Zweck der Zertifikatssperrliste anzugeben. (CRL).

  5. Wählen Sie die Certificate Authority aus.

  6. Setzen Sie die Lifetime, die standardmäßig 9999 beträgt.

  7. Geben Sie die Serial an, die standardmäßig 0 ist.

  8. Klicken Sie auf Save. Der Browser kehrt zur Zertifikatswiderrufsliste (CRL) zurück und zeigt das aktualisierte Element an.

    Abbildung 27. Erstellen einer neuen Zertifikatsperrliste

So importieren Sie eine vorhandene Zertifikatsperrliste?

Um eine vorhandene Zertifikatssperrliste (CRL) in OPNsense zu importieren, können Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu SystemTrustRevocation im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Add/Import CRL mit dem +-Symbol neben Ihrem (lokalen) Zertifikat.

  3. Wählen Sie Import an existing Certificate Revocation List aus dem Method-Dropdown-Menü.

  4. Geben Sie einen Descriptive name ein. Dies wird verwendet, um diese Zertifikatsperrliste in verschiedenen Listen innerhalb der grafischen Benutzeroberfläche zu unterscheiden. Es ist ratsam, den Namen der Zertifizierungsstelle (CA) und/oder den Zweck der Zertifikatssperrliste anzugeben. (CRL).

  5. Wählen Sie die Certificate Authority aus.

  6. Fügen Sie eine Zertifikatsperrliste im X.509 CRL-Format in das Feld CRL data ein. Es wären Klartextdaten, die in einem Block wie folgt eingeschlossen sind:

    -----BEGIN X509 CRL-----
    [A bunch of random-looking base64-encoded data]
    -----END X509 CRL-----

  7. Klicken Sie auf Save.

    Abbildung 28. Importieren einer vorhandenen Zertifikatsperrliste

Wie exportiert man eine Zertifikatsperrliste?

Um eine Zertifikatssperrliste (CRL) auf OPNsense zu exportieren, können Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu SystemTrustRevocation im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Export CRL mit dem Download-Symbol am Ende der CRL-Zeile. Dies öffnet einen Datei-Explorer auf Ihrem lokalen Computer.

    Abbildung 29. Widerrufsliste für Exportzertifikate

  3. Klicken Sie auf Save. Die Datei der Zertifikatswiderrufsliste (CRL) wird standardmäßig mit der Erweiterung .crl heruntergeladen.

Wie löscht man die Zertifikatsperrliste?

Sie können die Zertifikatssperrliste (CRL) auf OPNsense ganz einfach löschen, indem Sie die folgenden Schritte befolgen:

  1. Überprüfen Sie Abschnitte, die von der Zertifikatswiderrufsliste profitieren könnten, wie IPsec, OpenVPN und Softwarepakete. Denn um eine Zertifikatswiderrufsliste zu entfernen, muss sie zuerst deaktiviert werden.
  2. Navigieren Sie zu SystemTrustRevocation im OPNsense-Web-UI.
  3. Klicken Sie auf die Schaltfläche Delete CRL mit einem Mülleimer-Symbol am Ende der CRL-Zeile. Dies öffnet ein Bestätigungsdialogfeld.
  4. Klicken Sie auf Yes, um die CRL von der Firewall zu entfernen.

Wie widerruft man ein Zertifikat?

Ein Zertifikat wird widerrufen, indem das Zertifikat zu einer CRL hinzugefügt wird. Sie können ein Zertifikat auf OPNsense ganz einfach widerrufen, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu SystemTrustRevocation im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Edit CRL mit dem Stiftsymbol neben Ihrem (lokalen) Zertifikat. Diese Seite zeigt alle widerrufenen Zertifikate auf der Zertifikatssperrliste (CRL) an und bietet eine Funktion zum Hinzufügen neuer Zertifikate.

  3. Wählen Sie das Zertifikat aus, das widerrufen werden soll, aus dem Dropdown-Menü Choose a Certificate to Revoke.

  4. Geben Sie einen Descriptive name ein. Dies wird verwendet, um diese Zertifikatsperrliste in verschiedenen Listen innerhalb der grafischen Benutzeroberfläche zu unterscheiden. Es ist ratsam, den Namen der Zertifizierungsstelle (CA) und/oder den Zweck der Zertifikatsperrliste anzugeben. (CRL).

  5. Wählen Sie den Reason aus dem Dropdown-Menü aus, um anzugeben, warum das Zertifikat widerrufen wird.

  6. Klicken Sie auf Add. Wenn ein Zertifikat hinzugefügt wird, wird die Certificate Revocation List (CRL) aktualisiert, falls es bereits von einer VPN-Instanz verwendet wird, um sicherzustellen, dass die Änderungen sofort wirksam werden.

    Abbildung 30. Zertifikat widerrufen

Wie entfernt man ein Zertifikat aus einer CRL?

Sie können ein Zertifikat auf OPNsense ganz einfach aus der CRL entfernen, indem Sie die folgenden Schritte befolgen:

  1. Gehen Sie zu SystemTrustRevocation im OPNsense-Web-UI.

  2. Klicken Sie auf die Schaltfläche Edit CRLn mit dem Stiftsymbol neben Ihrem (lokalen) Zertifikat. Diese Seite zeigt alle widerrufenen Zertifikate auf der Zertifikatswiderrufsliste an. (CRL).

  3. Klicken Sie auf die Schaltfläche Delete this certificate from the CRL mit einem Mülleimer-Symbol am Ende der Zertifikatreihe.

    Abbildung 31. Ein Zertifikat aus einer CRL entfernen

  4. Klicken Sie auf Yes, um die Entfernung des Zertifikats zu bestätigen.

Letztes Update am von Zenarmor