Sophos Firewall: Zertifikate mit Private Key aus dem Zertifikats-Store exportieren

By Andreas Walker 5 Mrz, 2023

Bei der Nutzung der Web Application Firewall (WAF) der Sophos Firewalls (Sophos XG / Sophos XGS) kann es vorkommen, dass man den CSR im Zertifikats-Manager der Firewall erstellt und dann das Zertifikat direkt in den Zertifikats-Store der Firewall hochlädt. Wenn man dieses Zertifikat jedoch bei weiteren Diensten oder Servern einbinden will, benötigt man den Private Key des Zertifikats. Dieser ist auf den ersten Blick nicht exportierebar. Es gibt im Bereich «Certificates» keine Download-Option für Zertifikate. Der Export des Zertifikats ist aber über eine Backup-Funktion ohne kompolizierte Shell-Aktionen möglich.

Anleitung: Zertifikat-Export aus Sophos Firewall

Die Nachfolgende Anleitung entstand auf meiner Home Lab Firewall mit SFOS 19.5.0 GA-Build197. Die Darstellung der Menüs kann in früheren oder späteren Versionen leicht abweichen. Damit die Zertifikate aus dem Konfigurations-Download extrahiert werden können wird ein Entpacker benötigt der mit TAR-Archiven umgehen kann. Bei der Erstellung der Anleitung habe ich dafür 7-Zip verwendet.

Wie schon zuvor erwähnt beinhaltet der «Certificates» Bereich keine Funktion zum Herunterladen des Zertifikats. Man kann lediglich bereits bestehende Zertifikate ersetzen oder löschen.

Bietet keine Möglichkeiten zum Herunterladen der Zertifikate: Certificates-Bereich auf Sophos Firewall

Der Export des Zertifikats ist aber über die Funktion «Imort export» im Bereich «Backup & Firmware» möglich. Hierzu im unteren Teil (Export) «Export selective configuration» anwählen. Dann im Suchfeld nach «Certificate» suchen, anhaken und mit «Apply» in die Auswahl übernehmen. Ebenfalls «include dependent entity» anhaken und mit einem klick auf «Export» den Exportvorgang anstossen.

Zertifikat-Export über die «Import export» Funktion im Bereich «Backup & firmare» auf einer Sophos Firewall

Da bei diesem Vorgang alle Zertifikate inkl. aller CA-Zertifikate exportiert werden, dauert das generieren des Export-Files einen augenblick. Sobald der Export zum Download bereit ist, erscheint ein PopUp in welchem der Download gestartet werden kann.

Die Heruntergeladene TAR-Datei kann dann entweder Entpackt oder mit dem FileManager eines Entpackers wie z.B. 7-Zip geöffnet werden.

Öffnen des exportierten TAR-Archivs mit dem 7-Zip File Manager

Innerhalb des Archivs befinden sich die Zertifikate im PEM-Format unter .\Files\CertificateFile\
Der Private-Key ist im Archiv unter .\Files\PrivateKeyFile\ zu finden.
Die benötigten .pem und .key Files befinden sich jeweils in nummerierten Unterordnern. (Siehe nachfolgende Screenshots)

Zertifikats-Datei im PEM-Format im TAR-Archiv
Private Key im TAR-Archiv

Das Zertifikat enthält keine komplette Zertifikats-Kette. Die Intermediate-Zertifikate müssen also bei bedarf noch angehängt werden.

Das exportierte Zertifikat im .pem Format enthält bloss den Public Key ohne Intermediate-Zertifikate.

Fazit: Export ist möglich, aber es gibt praktischere Wege

Obwohl ein Zertifikats-Export auf der Sophos Firewall möglich ist, ist es empfehlenswert den CSR auf einem Server zu generieren und dann das Zertifikat mitsamt Private-Key (z.B. als PFX/P12 Container) auf der Firewall zu importieren. Unter Windows hat sich dafür das «DigiCert Certificate Utility for Windows» als nützlicher Helfer bewährt. Dabei ist das Tool lediglich ein GUI für Windows Bord-Mittel.

Andreas Walker absolvierte eine Ausbildung in der Gastronomie und arbeitete fast 15 Jahre in dieser Branche. Neben seiner Tätigkeit in der Gastronomie baute er eine kleine IT-Firma auf und betreute in seiner Freizeit kleine KUMs bei IT-Projekten. Mit der Zeit rutschte er auch in die IT seines Arbeitgebers und betreute die Standort-IT eines Businesshotels der International tätigen Hotelkette IHG. Im Sommer 2019 schloss er die Höhere Fachschule Informatik ab. Seit dem Frühling 2019 arbeitet Andreas Walker bei einem lokalen IT-Provider im Kanton Glarus als System Engineer und betreut dort vor allem KMU-Kunden.