Standaard gebruikt de ZyWALL USG/1050 een standaard zelfondertekend certificaat voor zijn webinterface. Omdat het certificaat zelfondertekend is, zal de browser een certificaat waarschuwing geven:

(Internet Explorer)

De browser geeft de waarschuwing omdat ssl.example.org een certificaat teruggeeft die niet door een vertrouwde certificaten uitgever is ondertekend.

Om deze foutmelding weg te krijgen moet de ZyWALL USG/1050 voorzien worden door een geldige certificaat.

Certificaat aanvraag genereren

Eerst moet er een aanvraag gemaakt worden, zodat een certificaten uitgever op de aanvraag een certificaat voor kan ondertekenen.

Ga naar Object > Certificate.

Kies de Add-knop

Name: vul hier het naam van het nieuwe certificaat aanvraag in. In dit voorbeeld wordt mijncertificaat ingevuld.

Kies voor de optie Host Domain Name en vul het volledige hostnaam + domeinnaam in waarop de ZyWALL USG/1050 vanaf het Internet bereikbaar is. In dit voorbeeld is de webinterface van de ZyWALL USG/1050 te benaderen middels ssl.example.org.

Vul de velden Organizational Unit, Organization, Town(City) en State(Province) in. Welke velden vereist zijn, kan per certificaatuitgever verschilllen.

Country: vul hier de landcode in. In dit voorbeeld is NL ingevuld.

Key Type: kies in dit veld de type codering voor de private sleutel. In dit voorbeeld is RSA gekozen.

Key Length: kies de lengte van de private sleutel. Sommige browsers kunnen een certificaat waarschuwing geven wanneer een te korte private sleutel opgegeven is.

Kies voor de optie Create a certification request and save it locally for later manual enrollment. Hierdoor weet de ZyWALL USG/1050 dat er een certificaat aanvraag gegenereerd moet worden.

Klik op OK. De ZyWALL USG/1050 zal beginnen met het genereren van de private sleutel en certificaat aanvraag. Afhankelijk van de sleutel lengte en codering neemt dit proces enige tijd in beslag.

Certificaat aanvraag openen

In het tabel My Certificate Settings is nu een nieuwe regel bijgekomen. Dit is het certificaat aanvraag (in het kolom type staat REQ).

Selecteer de certificaataanvraag en klik op de Edit-knop.

Selecteer alle tekst in het tekstvak onder Certificate in PEM (Base-64) Encoded Format. Dit is de certificaataanvraag. In dit voorbeeld ziet de certifcaataanvraag als volgt uit:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

De certificaatuitgever heeft deze tekst nodig om een certificaat te kunnen maken. Hoe deze tekst doorgegeven moet worden, verschilt per certificaatuitgever (per e-mail, online via een webinterface, etc).

Certificaat ontvangen van de certificaatuitgever

De certificaatuitgever zal de volgende bestanden teruggeven:

• Het certificaat
• Een of meerdere intermediate certificaten. (Dit verschilt per certificaatuitgever. Soms zijn intermediate certificaten niet nodig, soms is zijn de certificaten te downloaden van de website van de certificaat uitgever).
• Het root certificaat. (Dit verschilt per certificaatuitgever. Soms zijn intermediate certificaten niet nodig, soms zijn de certificaten te downloaden van de website van de certificaat uitgever).

Intermediate certificaten en root certificaat installeren in de ZyWALL USG/1050

Voer deze stap uit wanneer de certificaatuitgever heeft aangegeven dat de intermediate certificaten en root certificaat in de ZyWALL USG/1050 geïnstalleerd moeten worden.

Ga naar Object > Certificate, tabblad Trusted Certificates.

Klik op de knop Import.

Selecteer bij File Path het bestand met de intermediate certificaat of root certificaat.

Klik op OK om het certificaat te importeren.

Gebruik het dialoogvenster om alle intermediate certificaten en root certificaat in de ZyWALL USG/1050 te importeren.

Certificaat importeren

Ga naar Object > Certificate.

Klik op de knop Import.

Gebruik het dialoogvenster om het certificaat bestand te importeren.

Selecteer bij File Path het bestand met het certificaat.

Klik op OK.

De certificaataanvraag zal automatisch vervangen worden door het certificaat.

Certificaat gebruiken voor webinterface

Tenslotte moet de ZyWALL USG/1050 ingesteld worden om de nieuwe certificaat te gaan gebruiken voor zijn webinterface.

Ga naar System > WWW

Selecteer bij Server Certificate het nieuwe certificaat. In dit voorbeeld is mijncertificaat.crt het nieuwe certificaat.

Klik op Apply.

Sluit vervolgens alle browser vensters af en open de webinterface van de ZyWALL USG/1050. De browser zal geen certificaatwaarschuwing meer geven.

FAQ

Ik heb het intermediate certificaat en root certificaat in mijn ZyWALL USG/1050 geïmporteerd, maar ik krijg nog steeds een certificaatwaarschuwing van mijn browser. Ik gebruik ZLD 2.20 firmware.
Sommige certificaatuitgevers hanteren een speciale constructie met betrekking tot het afhandelen van intermediate certificaten. De ZyWALL USG/1050 met ZLD 2.20 firmware (of ouder) kan hier niet mee overweg. ZLD firmware 3.00 (release begin 2012) lost dit probleem op.

Waarom wordt de adresbalk van mijn browser niet groen?
De certificaatuitgever heeft een "normaal" certificaat uitgegeven. Browsers laten alleen een groene adresbalk zien wanneer er sprake is van een EV SSL certificaat. Om in aanmerking te komen voor een EV SSL certificaat zal de certificaatuitgever een grondig onderzoek uitvoeren om de gegevens van de aanvrager te controleren. Tevens moet de aanvrager aan een set van voorwaarden voldoen en gecontroleerd worden met een audit. EV SSL certificaten worden meestal voor belangrijke instanties zoals banken gebruikt.

Ik heb mijn certificaat van mijn certificaatuitgever ontvangen, maar mijn aanvraag heb ik per ongeluk uit de ZyWALL USG/1050 verwijderd. Ik heb een nieuwe aanvraag in de ZyWALL USG/1050 aangemaakt met exact dezelfde gegevens, maar ik krijg de foutmelding "PKI certificate request does not exist". Hoe krijg ik mijn certificaat erin?
Dit is niet mogelijk. Elke aanvraag is uniek, zelf wanneer twee aanvragen gemaakt worden met dezelfde gegevens. Een certificaat is gebonden aan de aanvraag. Zodra de aanvraag uit de ZyWALL USG/1050 verwijderd is voordat het certificaat geïmporteerd is, kan er niets meer met het certificaat gedaan worden. De enige optie is een nieuwe certificaat laten genereren op basis van de nieuwe aanvraag.