TLS-Zertifikate
Diese Seite beschreibt, wie Sie als Bediener das TLS-Zertifikat verwalten, das die Appliance auf ihrer Weboberfläche ausliefert. Der hier beschriebene Bildschirm ist TLS Certificates in der TUI.
Der Bildschirm besteht aus zwei Bereichen.
- Der Statusbereich oben zeigt Betreff, Aussteller, den Gültigkeitszeitraum (mit einer Warnung in der Zeile, sobald das Zertifikat in weniger als 30 Tagen abläuft), die IP- und DNS-SANs, die das Zertifikat abdeckt, den SHA256-Fingerabdruck sowie eine
Typ:-Zeile, die ausweist, ob das aktive Zertifikat selbstsigniert oder kundenseitig bereitgestellt ist. - Die Aktionsliste unten bietet CSR erstellen, Zertifikat hochladen und Selbstsigniertes Zertifikat wiederherstellen an — sowie CSR abbrechen, sobald eine Anfrage auf die Signatur wartet.
Befinden sich beim Öffnen des Bildschirms bereits Zertifikatsdateien im SFTP-Austauschverzeichnis, erscheint unter dem Statusbereich ein Hinweis wie 1 Zertifikat im SFTP bereit — Hochladen zum Anwenden als Erinnerung, dass noch Arbeit ansteht.
Mit r aktualisieren Sie die Hauptansicht jederzeit — nützlich, wenn ein Kunde gerade Dateien per SFTP hochgeladen hat und der Hinweis erscheinen soll, ohne dass Sie den Bildschirm verlassen.
Auslieferungszustand
Eine frisch installierte Appliance erzeugt beim ersten Start ein selbstsigniertes Zertifikat und liefert es auf der Weboberfläche aus. Eine öffentliche CA ist nicht beteiligt, daher warnen Browser beim ersten Besuch — das ist so erwartet.
Für reine LAN- oder Headless-Installationen reicht das selbstsignierte Zertifikat oft aus: Die Mobile-App ist nicht auf eine öffentliche CA angewiesen. Sie verifiziert die Appliance stattdessen über den Fingerabdruck, sodass eine Kopplung auch mit selbstsigniertem Zertifikat sicher ist. Den Ablauf finden Sie unten unter Fingerabdruck und Kopplung mit der Mobile-App.
Möchten Sie, dass Browser das Zertifikat ohne Warnung akzeptieren — oder gibt es Vorgaben, ein kundenseitiges Zertifikat einzuspielen — verwenden Sie wie unten beschrieben Zertifikat hochladen. Um jederzeit zum Appliance-eigenen Zertifikat zurückzukehren, verwenden Sie Selbstsigniertes Zertifikat wiederherstellen.
Ein CA-signiertes Zertifikat anfordern
Signiert Ihre CA Zertifikate auf Basis einer Zertifikatsignierungsanfrage (CSR), kann die Appliance die Anfrage und den passenden privaten Schlüssel für Sie erzeugen — der private Schlüssel verlässt die Appliance dabei nie.
- Wählen Sie auf dem Bildschirm TLS Certificates CSR erstellen und bestätigen Sie. Das aktive Zertifikat liefert weiter aus; es wird lediglich ein neuer ausstehender Schlüssel angelegt. Die Anfrage übernimmt die IP- und DNS-Namen der Appliance, damit das signierte Zertifikat dieselben Adressen abdeckt.
- Verbinden Sie sich per SFTP und laden Sie
pulse-csr.pemaus dem Ordnerdownloads/herunter; reichen Sie die Datei dann bei Ihrer CA ein. Den SFTP-Zugang richten Sie auf dem Bildschirm SFTP-Zugang ein. - Solange die Anfrage auf die Signatur wartet, zeigt der Statusbereich den Hinweis
CSR wartet auf CA-Signierungan, und es erscheint die Aktion CSR abbrechen. - Wenn die CA das signierte Zertifikat zurückgibt, spielen Sie es mit Zertifikat hochladen ein (siehe unten). Da eine Anfrage aussteht, prüft die Appliance das Zertifikat automatisch gegen den ausstehenden Schlüssel — Sie laden keinen Schlüssel hoch.
Existiert bereits eine Anfrage und Sie erzeugen eine weitere, wird der ausstehende Schlüssel ersetzt und ein bereits eingereichter CSR ungültig. Um eine Anfrage zu verwerfen, ohne etwas einzuspielen, wählen Sie CSR abbrechen — das entfernt ausstehenden Schlüssel und Anfrage und lässt das aktive Zertifikat unberührt.
Eigenes Zertifikat hochladen
Die Aktion Zertifikat hochladen nimmt ein PEM-kodiertes Zertifikat und optional einen PEM-kodierten privaten Schlüssel entgegen. Zwei Lieferwege werden unterstützt: ein USB-Stick, der an die Appliance angeschlossen wird, oder Dateien, die im SFTP-Austauschverzeichnis bereitgestellt werden. Validierung, Installation und Reload laufen in beiden Fällen identisch ab — nur die Quellauswahl unterscheidet sich.
Beide Wege akzeptieren ausschließlich PEM-kodierte Eingaben. Lässt sich eine Datei nicht als PEM parsen oder passen Zertifikat und Schlüssel nicht zusammen, meldet die TUI den Fehler direkt und installiert nichts; das bisherige aktive Zertifikat bleibt im Einsatz.
Die Abfrage nach dem Schlüssel passt sich daran an, ob zuvor ein CSR erzeugt wurde:
- Liegt ein ausstehender Schlüssel in
tls-key-pending.pem(Sie haben einen CSR erzeugt und installieren nun das signierte Zertifikat, das von der CA zurückkam), wird das hochgeladene Zertifikat allein gegen den ausstehenden Schlüssel geprüft. - Andernfalls wird das Zertifikat gegen den aktuell aktiven Schlüssel geprüft — sinnvoll, wenn nur das Zertifikat selbst rotiert wird.
- Wählen Sie zusätzlich eine Schlüsseldatei aus, wird das Zertifikats-/Schlüsselpaar gemeinsam geprüft, bevor irgendetwas auf die Festplatte geschrieben wird.
Per USB
Diesen Weg verwenden Sie, wenn Sie mit einem Stick vor Ort an der Appliance stehen.
- Kopieren Sie das PEM-Zertifikat (und den privaten Schlüssel, falls Sie ihn rotieren) auf einen USB-Stick, der mit FAT32 oder ext4 formatiert ist. Dateien müssen die Endung
.pemtragen, damit die Auswahl sie findet. - Stecken Sie den Stick in die Appliance. Die TUI hängt ihn schreibgeschützt unter
/mnt/usbein. - Wählen Sie auf dem Bildschirm TLS Certificates zunächst Zertifikat hochladen und dann USB als Quelle.
- Werden mehrere USB-Geräte erkannt, wählen Sie das richtige aus. Die TUI durchsucht den Stick dann nach
.pem-Dateien und zeigt eine Auswahl. Werden keine.pem-Dateien gefunden, kehrt die Ansicht mit einer Fehlermeldung zur Quellauswahl zurück — kopieren Sie die Dateien in das Wurzelverzeichnis oder ein oberstes Verzeichnis und versuchen Sie es erneut. - Wählen Sie die Zertifikatsdatei aus und drücken Sie
Enter. Die TUI parst das PEM. Schlägt das Parsen fehl, erscheint eine rote Fehlermeldung und die Auswahl bleibt offen — korrigieren Sie die Datei und versuchen Sie es erneut. - Anschließend fragt die TUI, ob Sie auch eine neue Schlüsseldatei hochladen möchten. Wählen Sie den Schlüssel vom selben Stick aus, oder überspringen Sie, wenn Sie den aktuell aktiven Schlüssel (oder, falls zuvor ein CSR erstellt wurde, den ausstehenden Schlüssel in
tls-key-pending.pem) weiterverwenden. - Bei Erfolg wird das Zertifikat installiert, nginx mit dem neuen Paar neu geladen und die Hauptansicht erscheint mit grüner Bestätigung. Der Stick wird automatisch wieder ausgehängt.
Drücken Sie unterwegs Esc — etwa nachdem Sie die falsche Zertifikatsdatei ausgewählt haben — geht die TUI einen Schritt zurück. Aus der Zertifikatsauswahl bringt Esc Sie zurück in die Quellauswahl und hängt den Stick aus; aus der Schlüsselabfrage bringt Esc Sie zurück in die Zertifikatsauswahl, um eine andere Datei zu wählen.
Per SFTP
Diesen Weg verwenden Sie, wenn der Kunde das Zertifikat lieber über das Netzwerk liefert, statt einen USB-Stick zu transportieren. Voraussetzung: Der Kunde kann sich am SFTP-Austausch anmelden — per SSH-Schlüssel oder mit dem Passwort der Appliance; siehe SFTP-Zugang, wie Sie das einrichten.
- Der Kunde lädt das Zertifikat (und den Schlüssel, falls getrennt) in das Austauschverzeichnis unter
uploads/certificates/. Aus seiner Sicht verbindet er sich per SFTP als Benutzerpulse-transfermit der Appliance und legt die Dateien mitputab. - Liegen Dateien bereit, zeigt der Bildschirm TLS Certificates einen Hinweis wie
1 Zertifikat im SFTP bereit — Hochladen zum Anwendenan. Wählen Sie Zertifikat hochladen und dann Aus SFTP-Austausch als Quelle. - Die TUI listet jede
.pem-Datei unteruploads/certificates/auf. Wählen Sie das Zertifikat aus, beantworten Sie die Schlüsselabfrage und bestätigen Sie. Die Validierungsregeln sind dieselben wie beim USB-Weg. - Bei Erfolg werden die übernommenen Dateien aus dem Austauschverzeichnis entfernt und ein Audit-Eintrag geschrieben, damit später nachvollziehbar bleibt, welche kundenseitige Datei wann angewendet wurde.
Ist eine Datei im Austauschverzeichnis kein gültiges PEM, meldet die TUI das und überspringt die Installation — die Datei bleibt unter uploads/certificates/ liegen, damit der Kunde sie ersetzen kann. Dasselbe gilt für Zertifikats-/Schlüssel-Inkonsistenzen: Es wird nichts installiert, und die bereitgestellten Dateien bleiben erhalten, damit der Kunde korrigieren und erneut hochladen kann.
Erreichen Sie diesen Bildschirm und die SFTP-Liste ist leer, liegt das meist daran, dass der Kunde in das falsche Unterverzeichnis hochgeladen hat. Dateien für diese Auswahl müssen genau unter uploads/certificates/ landen; Bundles oder andere PEM-Dateien an anderen Stellen des Austauschverzeichnisses werden vom Bildschirm TLS Certificates ignoriert.
Selbstsigniertes Zertifikat wiederherstellen
Die Aktion Selbstsigniertes Zertifikat wiederherstellen erzeugt ein neues, von der Appliance kontrolliertes selbstsigniertes Zertifikat und schaltet die Weboberfläche wieder darauf um. Greifen Sie darauf zurück, wenn:
- Das eingespielte Kundenzertifikat sich als falsch herausstellt (falscher Betreff, vor der Installation abgelaufen, von der falschen CA signiert).
- Das eingespielte Zertifikat abgelaufen ist und kein Ersatz bereitsteht — das Wiederherstellen des selbstsignierten Zertifikats versetzt die Appliance in einen funktionierenden HTTPS-Zustand, damit Sie die Weboberfläche weiter erreichen.
- Sie eine kundenspezifische Konfiguration entfernen, bevor die Appliance anderswo erneut bereitgestellt wird.
Die Bestätigungsabfrage warnt, dass das aktuelle Zertifikat ersetzt wird und nginx neu geladen wird. Ein eventuell ausstehender CSR wird im Zuge der Wiederherstellung aufgeräumt — eine veraltete tls-key-pending.pem aus einem nicht abgeschlossenen CSR-Vorgang wird best-effort entfernt. Ist das aktive Zertifikat bereits selbstsigniert, bietet die Abfrage an, es trotzdem neu zu erzeugen; das ergibt einen frischen Fingerabdruck bei unverändertem Typ: Selbstsigniert.
Das neue selbstsignierte Zertifikat wird mit der aktuellen Site-IP der Appliance (gelesen aus /var/pulse/site.env) als einer der SANs erzeugt. Im DHCP-Modus kann die Site-IP leer sein, in diesem Fall wird der IP-SAN weggelassen; das ist normal und beeinträchtigt die Kopplung mit der Mobile-App nicht, da diese den Fingerabdruck und nicht den SAN verwendet.
Fingerabdruck und Kopplung mit der Mobile-App
Die Zeile Fingerabdruck im Statusbereich von TLS Certificates zeigt den SHA256-Fingerabdruck des aktiven Zertifikats, mit Doppelpunkten als Trennzeichen (zum Beispiel AB:CD:EF:...). Diesen Wert fragt die Pulse Mobile-App bei der erstmaligen Kopplung zum Abgleich ab.
Da die Appliance häufig ein selbstsigniertes Zertifikat ausliefert, kann sich die Mobile-App nicht auf eine öffentliche CA stützen, um den Server zu authentifizieren. Stattdessen zeigt die App den Fingerabdruck des Zertifikats, das sie empfangen hat, und bittet Sie, ihn mit dem auf diesem Bildschirm angezeigten Wert zu vergleichen. Sie müssen Zeichen für Zeichen übereinstimmen. Stimmen sie nicht überein, brechen Sie die Kopplung ab — entweder wird die Verbindung mitgelesen, oder Sie betrachten die falsche Appliance.
Der Fingerabdruck ändert sich, sobald sich das Zertifikat ändert — also auch bei jeder Verwendung von Selbstsigniertes Zertifikat wiederherstellen, weil dabei das Schlüsselpaar neu erzeugt wird. Nach einer Wiederherstellung (oder nach dem Hochladen eines neuen Zertifikats) zeigen bereits gekoppelte Mobilgeräte beim nächsten Verbindungsaufbau eine Fingerabdruck-Warnung an; bestätigen Sie den neuen Fingerabdruck dann erneut über diesen Bildschirm.
Verwandte Bildschirme
- SFTP-Zugang — autorisiert den Kunden, per SSH-Schlüssel oder mit dem Passwort der Appliance, für den oben beschriebenen SFTP-Weg.
- Mobile-App: Einrichtung & Verbindung — wie die Mobile-App den auf diesem Bildschirm angezeigten Fingerabdruck zur Prüfung der Appliance nutzt.
- TUI-Referenz — das vollständige Bediener-Menü.