Sophos Firewall: Zertifikate mit Private Key aus dem Zertifikats-Store exportieren
Bei der Nutzung der Web Application Firewall (WAF) der Sophos Firewalls (Sophos XG / Sophos XGS) kann es vorkommen, dass man den CSR im Zertifikats-Manager der Firewall erstellt und dann das Zertifikat direkt in den Zertifikats-Store der Firewall hochlädt. Wenn man dieses Zertifikat jedoch bei weiteren Diensten oder Servern einbinden will, benötigt man den Private Key des Zertifikats. Dieser ist auf den ersten Blick nicht exportierebar. Es gibt im Bereich «Certificates» keine Download-Option für Zertifikate. Der Export des Zertifikats ist aber über eine Backup-Funktion ohne kompolizierte Shell-Aktionen möglich.
Anleitung: Zertifikat-Export aus Sophos Firewall
Die Nachfolgende Anleitung entstand auf meiner Home Lab Firewall mit SFOS 19.5.0 GA-Build197. Die Darstellung der Menüs kann in früheren oder späteren Versionen leicht abweichen. Damit die Zertifikate aus dem Konfigurations-Download extrahiert werden können wird ein Entpacker benötigt der mit TAR-Archiven umgehen kann. Bei der Erstellung der Anleitung habe ich dafür 7-Zip verwendet.
Wie schon zuvor erwähnt beinhaltet der «Certificates» Bereich keine Funktion zum Herunterladen des Zertifikats. Man kann lediglich bereits bestehende Zertifikate ersetzen oder löschen.
Der Export des Zertifikats ist aber über die Funktion «Imort export» im Bereich «Backup & Firmware» möglich. Hierzu im unteren Teil (Export) «Export selective configuration» anwählen. Dann im Suchfeld nach «Certificate» suchen, anhaken und mit «Apply» in die Auswahl übernehmen. Ebenfalls «include dependent entity» anhaken und mit einem klick auf «Export» den Exportvorgang anstossen.
Da bei diesem Vorgang alle Zertifikate inkl. aller CA-Zertifikate exportiert werden, dauert das generieren des Export-Files einen augenblick. Sobald der Export zum Download bereit ist, erscheint ein PopUp in welchem der Download gestartet werden kann.
Die Heruntergeladene TAR-Datei kann dann entweder Entpackt oder mit dem FileManager eines Entpackers wie z.B. 7-Zip geöffnet werden.
Innerhalb des Archivs befinden sich die Zertifikate im PEM-Format unter .\Files\CertificateFile\
Der Private-Key ist im Archiv unter .\Files\PrivateKeyFile\ zu finden.
Die benötigten .pem und .key Files befinden sich jeweils in nummerierten Unterordnern. (Siehe nachfolgende Screenshots)
Das Zertifikat enthält keine komplette Zertifikats-Kette. Die Intermediate-Zertifikate müssen also bei bedarf noch angehängt werden.
Fazit: Export ist möglich, aber es gibt praktischere Wege
Obwohl ein Zertifikats-Export auf der Sophos Firewall möglich ist, ist es empfehlenswert den CSR auf einem Server zu generieren und dann das Zertifikat mitsamt Private-Key (z.B. als PFX/P12 Container) auf der Firewall zu importieren. Unter Windows hat sich dafür das «DigiCert Certificate Utility for Windows» als nützlicher Helfer bewährt. Dabei ist das Tool lediglich ein GUI für Windows Bord-Mittel.