powered by CADENAS

Manual

Manual

1.3.9.9.3.3. SSL-Verschlüsselung

Sie können für alle Anfragen an den PARTapplicationServer auch SSL-Verschlüsselung[17] einsetzen.

Sind die Auswahlkästchen HTTPS-Port und/oder SSL-Service-Port aktiviert, wird der Dialogbereich SSL ebenfalls aktiviert.

  1. HTTPS-Port: Dateisystem-Service

  2. SSL-Service-Port: Mzcom Service Aufrufe (Index, DB, Suche)

Als Zertifikatsquelle stehen zwei Möglichkeiten zur Wahl:

1.3.9.9.3.3.1. Zertifikat via Windows Zertifikatsspeicher zur Verfügung stellen

Nach Selektion von Windows Zertifikatsspeicher können Sie im Listenfeld unter Hostname administrativ hinterlegte Zertifikate auswählen.

Sie können aber auch neue Zertifikate anfordern, die dann ebenfalls im Listenfeld unter Hostname angezeigt werden.

Gehen Sie hierzu folgendermaßen vor:

  1. Klicken Sie auf den Link "certlm.msc".

    -> Die lokale Verwaltungsseite auf dem Client wird geöffnet.

  2. Wählen Sie unter "Personal" den Menüpunkt "Certificates".

  3. Öffnen Sie im rechten Dialogbereich das Kontextmenü und klicken Sie dort unter "All Tasks" auf den Befehl "Request New Certifcate...".

    -> Der "Certificate Enrollment" Wizard wird geöffnet.

  4. Wenn Sie dann auf der Seite "Active Directory Enrollment Poliy" ein Zertifikat auswählen, achten Sie darauf, dass unter "Details" -> "Application Policies" der Eintrag "Server Authentication" vorhanden ist.

    Zertifikat-Auswahl

    Zertifikat-Auswahl

    Application Policies -> Server Authentication

    Application Policies -> Server Authentication

Verbotene Algorithmen: Belassen Sie die Default-Einstellung.

1.3.9.9.3.3.2. Zertifikat via Datei zur Verfügung stellen

Sie können Zertifikate via Datei zur Verfügung stellen. Dies können selbstsignierte und offizielle[18] Zertifikate sein.

Im Folgenden ist die Erstellung und der Import eines selbstsignierten Zertifikates beschrieben:

Zertifikat auf AppServer erzeugen

  1. Wählen Sie in PARTadmin die Kategorie AppServer Service.

  2. Aktivieren Sie die Auswahlkästchen für HTTPS-Port und/oder SSL-Service-Port. In der Regel sind die beiden anderen deaktiviert; das heißt, unverschlüsselter Zugriff auf den Server ist nicht mehr möglich.

    -> Der Dialogbereich SSL wird aktiviert.

  3. Dialogbereich SLL

    • Verbotene Algorithmen: Hier haben Sie die Möglichkeit, für die Übertragung unerwünschte Algorithmen auszuschließen.

      Klicken Sie auf Ändern.... -> Das Dialogfenster Verschlüsselungsalgorithmen wird geöffnet.

      Mittels Zurücksetzen leeren Sie das Eingabefeld Entferne Algorithmen. Mit Doppelklick auf einen Listeneintrag übernehmen Sie diesen in das Eingabefeld.

    • Ablagepfad Zertifikat: Nach Klick auf Anzeigen... können Sie sich das Zertifikat ansehen (nach Erstellung).

    • Ablagepfad Schlüssel: Nach Klick auf Anzeigen... können Sie sich die Schlüsselattribute und -werte ansehen (nach Erstellung).

    • Schlüssel-Typ: Belassen Sie die Einstellung auf RSA. Für selbstsignierte Zertifikate ist nur RSA möglich.

  4. Klicken Sie auf Erzeuge selbstsigniertes Zertifikat....

    Das Dialogfenster Zertifikat generieren... wird geöffnet.

    • Gültig bis: Spezifizieren Sie ein Ablaufdatum für das Zertifikat.

    • Alternate Names: Es können sowohl DNS-Namen als auch IP-Adressen erlaubt werden. Aktivieren Sie bei den gewünschten alternativen Namen das Auswahlkästchen.

      Standardmäßig wird ein Zertifikat auf den CommonName ausgestellt. Werden z.B. mehrere Webseiten gehostet, können Sie mit Angabe der Alternate Names mit nur einem Zertifikat auskommen. Der Client prüft, ob der verwendete Hostname auf einen der alternativen Namen passt.

    • Schlüssel mit Standard-Passwort schützen:

      [Hinweis] Hinweis

      Im Falle von selbst erstellten Zertifikaten darf die Schlüssel-Datei kein Passwort enthalten, weil sonst der Server beim Starten fragen würde. Die Schlüssel-Datei kann aber an einem Ort abgelegt werden, wo man sie nur auf dem Server einsehen kann (evtl. $CADENAS_USER). Sie finden die Einstellung als Option im Listenfeld.

      Beachten Sie aber: Das $CADENAS_USER, welches der Dienst sieht, ist relevant!

    • Zertifikat ablegen in:

    • Schlüssel ablegen in:

Zertifikat auf Client importieren

  1. Wählen Sie in PARTadmin die Kategorie AppServer Client.

  2. Aktivieren Sie das Auswahlkästchen SSL verwenden.

    -> HTTP-Port und Service-Port werden deaktiviert und HTTPS-Port und SSL-Service-Port werden aktiviert.

    Services über Websockets tunneln (optional):

    Sie können diese Option verwenden, wenn Sie nur einen Port binden möchten oder Sie per HTTP-Proxy verbinden möchten (falls Websockets möglich sind).

    Bei Verwendung der Option wird das Eingabefeld für SSL-Service-Port ausgegraut.

  3. Klicken Sie auf Zertifikate vom Server importieren.

    -> Zur Bestätigung wird eine entsprechende Meldung angezeigt.

Ein kleiner Test, ob alles ordnungsgemäß funktioniert: Stellen Sie sicher, dass SSL verwenden aktiviert ist. Klicken Sie auf Serverstatus anzeigen. Ist das Zertifikat ordnungsgemäß auf dem Client eingetragen, wird der Serverstatus angezeigt, wenn nicht, erscheint eine Fehlermeldung.



[17] SSL (Secure Sockets Layer ) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

[18] nicht Teil der Dokumentation