Die Funktion der externen Zertifizierungsstelle (ZS) ist für große Unternehmen und Kunden aus Behörden, die einen lokalen Orchestrator bereitstellen und eine eigene Zertifizierungsstelle (CA) anstelle der standardmäßigen selbstsignierten Orchestrator-Zertifizierungsstelle verwenden müssen. In diesem Abschnitt wird beschrieben, wie externe Zertifizierungsstellen aktiviert und konfiguriert werden.

Wenn eine externe Zertifizierungsstelle konfiguriert ist, muss der Orchestrator, anstatt eine Zertifikatsignierungsanforderung (CSR) zu erhalten und die Gerätezertifikate selbst auszustellen, die CSR an eine externe CA zur Ausstellung des Zertifikats weiterleiten. Das Gerätezertifikat wird an den Orchestrator zurückgesandt und an den Edge oder das Gateway gesendet.

Von einem Kunden, der diese Funktion verwendet, wird erwartet, dass er eine kommerzielle Zertifizierungsstelle bereitgestellt hat, z. B. von PrimeKey (EJBCA PKI), oder in einigen Fällen eine eigene proprietäre Zertifizierungsstelle implementiert hat.

Für Version 4.3.0 kann ein Orchestrator, bei dem externe Zertifizierungsstellen aktiviert sind, für den Betrieb in einem einzigen Interaktionsmodus konfiguriert werden: Synchron. Im synchronen Modus integriert sich der Orchestrator direkt mit einer externen Zertifizierungsstelle (für Version 3.4.0 ist PrimeKey EJBCA PKI die einzige verfügbare externe Zertifizierungsstelle) und über REST APIs für Zertifikatsanforderung, -erneuerung und -widerruf.

Aktivieren einer externen Zertifizierungsstelle

Die Funktion „Externe Zertifizierungsstelle (External CA)“ wird über zwei Systemeigenschaften aktiviert. Die Aktivierung dieser Systemeigenschaften kann nur von einem Operator mit einer Superuser-Rolle durchgeführt werden.

Vorgehensweise

Die erste Systemeigenschaft, die aktiviert werden muss, ist „ca.external.configuration“. Diese Eigenschaft wird manuell mit einem JSON-Datentyp erstellt, und das JSON wird in Übereinstimmung mit dem unten im Abschnitt „Beispiel für die Konfiguration einer externen Zertifizierungsstelle“ gezeigten Beispiel ausgefüllt.

Erst nachdem „ca.external.configuration“ erstellt und aktiviert wurde, sollte der Operator die zweite Systemeigenschaft aktivieren: ca.external.enable.

  1. Wählen Sie auf der Orchestrator-Benutzeroberfläche „Systemeigenschaften (System Properties)“ aus.
  2. Geben Sie über das Suchfeld auf der Seite „Systemeigenschaften (System Properties)“ die Eigenschaft „ca.external.enable“ ein, wie in der folgenden Abbildung dargestellt.
  3. Wenn Sie die Eigenschaft „ca.external.enable“ gefunden haben, wählen Sie diese Eigenschaft aus, um sie zu bearbeiten.
  4. Ändern Sie die Eigenschaft „ca.external.enable“ in „True“ und wählen Sie „Aktualisieren (Update)“ aus, um die Änderung wie in der folgenden Abbildung dargestellt zu schließen.

    An dieser Stelle kommuniziert der Orchestrator mit der externen Zertifizierungsstelle, um das Stammzertifikat der externen Zertifizierungsstelle abzurufen.

    Die Bestätigung, dass die externe Zertifizierungsstelle aktiviert ist, finden Sie auf der Seite „CA-Zusammenfassung (CA Summary)“ des Orchestrator-Diensts, auf dem das Kontrollkästchen „Aktiviert (Enabled)“ aktiviert ist.

    Um zu überprüfen, ob die Konnektivität mit der externen Zertifizierungsstelle hergestellt wurde, klicken Sie auf die Schaltfläche „Testen (Test)“.

Konfigurieren einer externen Zertifizierungsstelle

Für Version 4.3.0 ist die Konfiguration der externen Zertifizierungsstelle für diese Funktion eingeschränkt, da nur ein Modus verfügbar ist: Synchron. Und im synchronen Modus wird nur eine externe Zertifizierungsstelle unterstützt: PrimeKey EJBCA PKI. In kommenden Versionen, wenn zusätzliche Modi wie „Asynchron (Asynchronous )“ und „Manuell (Manual)“ und zusätzliche externe Zertifizierungsstellen unterstützt werden, wird die Seite „CA-Zusammenfassung (CA Summary)“ des Orchestrators Konfigurationsschnittstellen hinzufügen, um die Möglichkeit der Auswahl aus diesen zusätzlichen Modi und externen Zertifizierungsstellen zu berücksichtigen.

Wie im Abschnitt „Aktivieren einer externen Zertifizierungsstelle“ angegeben, aktiviert der Operator zuerst die Systemeigenschaft „ca.external.configuration“, die manuell mit einem JSON-Datentyp erstellt wird und die JSON entsprechend dem unten im Abschnitt „Beispiel für die Konfiguration einer externen Zertifizierungsstelle“ angezeigten Beispiel aufgefüllt wird.

Erst nachdem „ca.external.configuration“ erstellt und aktiviert wurde, sollte der Operator die zweite Systemeigenschaft aktivieren: ca.external.enable.

Es gibt eine dritte Systemeigenschaft: ca.external.caCertificate. Diese Systemeigenschaft wird angezeigt, sobald die externe Zertifizierungsstelle aktiviert ist und eine Verbindung zu einer gültigen externen Zertifizierungsstelle besteht. Diese Eigenschaft erfordert ein PEM-codiertes Zertifikat (Privacy Enhanced Mail).

Im Abschnitt „Externe Zertifizierungsstelle (External Certificate Authority)“ der CA-Zusammenfassung auf dem Orchestrator befindet sich die Schaltfläche „Testen (Test)“. Durch Klicken auf diese Schaltfläche „Testen (Test)“ kann ein Operator bestätigen, dass seine externe EJBCA PKI-Zertifizierungsstelle mit dem Orchestrator synchronisiert ist und gültige Zertifikate generiert.

Beispielkonfiguration einer externen Zertifizierungsstelle

Dieser Abschnitt enthält ein Beispiel für eine Konfiguration für das Feld „ca.external.configuration“.

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----\nMIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC/rPdG0oY89GGU\ngHbV9iG3n3Y1mPBmQ+iVBvKYD3YpM7fG+KnVQTdJLrYoH5vP7lVYQj9H6pjxq0Bh\n53Mse2Fl9UE/Gew6IZiRd2OK9yM1xRKH7hjPB3tqFlA98mar+BYAGPhapmq+sSFz\n6TS2ssToUllG8QgJeMxh6+vSP/Ca9O+HiDB7TqECufVv6lrL7sfKqfyQ5YzITKm7\nIGDQfdCiorwndvd1i1NB+vviiYsk1fEW8gvRUu7wMRlzmPwxnUxdKmb/b7+O65md\n7+FlkqU6EzYMQ/224ZJonwJfzmNTO1AGt4aaJDNKn1i5wV22xqqQZvA6nrkBd+06\npUwVTen1AgMBAAECggEAL5DVVnp0/JhqxMbydptbd613UMqw0bgFdkIgnrKrkIL4\nlsRrpPPHq/4PDzr02C9dd4cNHCQwKzzjv8gHkWDW5U3tEKM2t6BRs7usdLZqwvOy\naxAfkPTa4BNEe3L1nrR0hTatHxXQRJ1BX3nebn5DliGlbRDwfSVAlwZMYcMjStiS\nZNyS71vrxRmYFyUNyjGDCZsBDRdSb41cQJ0GmwMd2B8AE5I0spMZm2Y5FM0ZcddX\nlDcELonz1LCTNZaXyhdDBCQ8ecWrSWJZ8REhTlK/wsTtPbLi1OxIAemcLxzTJQRC\n0tyWzA2zl90hmpJs3of7geGvDCDwRu/MgvuH31MFwQKBgQDxbHm/982/txuB440+\nMm+x/Ma5HzZg0l8sMdH0wQ5qJYd/lrgz2Ik79FqmFPh0l6LcekA0zGri+4PiRVRx\nAlY9pLFdegIY6jJpvJxJH+kQ00xEdeUSZ1O0aAn4dlsHaX3wg+SBJ0NiZxsOeQ9m\nrMDKYT7LE3F5indOimDCug2GoQKBgQDLP5FPvA3uWh5Lff14yhVb0T1oiyeiqe01\nylO7LkCI0s002/M7U0gWXd2XNqAr98KRFtVsbf9gZxsKXTvDI+Vsd11xGGfNZXmM\nwodSK9zIeL4Eve7mRtcB/ZDjtqOn0Um2YeVfXZrEacQoopYo7B4pwjpJmIq/40w3\nOlhXOXEm1QKBgQDPkd9/8LQCwJEy9Q1sS3sDQf0uDyr2xgkz+0W0NQSKuOeuCE0p\nrmQXmzkREHip7fIFtEpd2t+PdoZm1gsK+uJhL6ebYhpJh5p+lL6elIQThkhNmDuy\nvgoW01i3OjN7xPSWBSBC9xoVkeaOZAGc2q0Lk96kRXxL7oQzkAAvjD2y4QKBgHEe\neQaSmIJO/8tuXLNsbYTDqNTVlgKvZoloiT+FV3+PK4y+2dnr2RQxu9GcIns2EsDj\nn3cQpXCHEgKrr0ZFZTwAFy6JscQcNRFFd0Ehjmi44rEK8LqTNLkz4f8KuHz/O3JZ\ne+qe0zN71iPzkXVHLOZ65ivtzVNM8y9NtrsdCj/dAoGBAJNM0+Fbt3i1El+U/jOQ\nKwD8vBVwsJEZ0UspoxETTAnu0sgIUbRECVhn/BQ5ja3HusRaDRsKb7ROLyjnRuC7\nnR/wM//oENnRm50hEi4Ocfp0eAOx7XQOUuE08XhUMyXp00mOCo1NwOFtL0WdG6Bk\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

Überwachen der externen Zertifizierungsstelle

Die Überwachung von Zertifikaten ist in Version 4.3.0 und höher unverändert.

Ein Operator verwendet weiterhin die Seite „CA-Zusammenfassung (CA Summary)“, um eine Liste aller Edge- und Gateway-Zertifikate zu erhalten.

Ein Operator, Partner oder Kundenadministrator kann auch das Zertifikat eines bestimmten Edge untersuchen, indem er zu „Konfigurieren (Configure) > Edge > Zusammenfassung (Overview)“ navigiert.

Einschränkungen

  • Externe Zertifizierungsstellen können nur auf einem lokalen Orchestrator aktiviert werden, der von einem Kunden verwaltet wird. Diese Funktion ist nicht auf Orchestratoren verfügbar, die von VMware gehostet werden.
  • Für Version 4.3.0 unterstützt diese Funktion nur den synchronen Modus.
  • Für Version 4.3.0 kann diese Funktion nur PrimeKey EJBCA PKI als externe Zertifizierungsstelle verwenden.
  • In zukünftigen Versionen werden zusätzliche Modi (asynchron und manuell) und zusätzliche externe Zertifizierungsstellen unterstützt.