Austausch des Server-Zertifikats durch Windows Domänen Zertifikat

Frage:

Wie kann das TLS/SSL-Zertifikat des enlogic:show Servers durch ein Zertifikat ersetzt werden, das von einer Windows Domänen Zertifizierungsstelle ausgestellt wurde?

Antwort:

Bei der Installation des enlogic:show Servers auf der Windows-Plattform wird standardmäßig ein selbstsigniertes Server-Zertifikat generiert, mit dem die Server-Anwendung per HTTPS / Port 8800 erreichbar ist.

Da die Web-Browser, mit denen Sie auf den Server zugreifen, diesem selbstsignierten Zertifikat naturgemäß nicht vertrauen, erscheint beim Aufruf der Webseite zunächst z.B. die Meldung "Diese Website ist nicht sicher" oder "Diese Verbindung ist nicht sicher".

Im folgenden KB-Artikel werden die Schritte beschrieben, die notwendig sind, um das selbstsignierte Server-Zertifikat durch ein Zertifikat zu ersetzen, das von Ihrer Windows Domänen Zertifizierungsstelle (CA) ausgestellt wurde.

Da alle PCs in einer Windows-Domäne dem Stammzertifikat der Domain-CA automatisch vertrauen, entfällt dadurch die Meldung, dass die Verbindung zum enlogic:show Server nicht sicher sei.

Hinweis: Für diese Vorgehensweise wird das OpenSSL-Toolkit benötigt. OpenSSL ist für zahlreiche Betriebssysteme bzw. Plattformen als Open Source verfügbar.

Falls Sie selbst keinen Zugriff auf eine OpenSSL-Installation haben, stellen wir Ihnen im Service-Bereich eine statisch gelinkte Version der openssl.exe zur Verfügung, die ohne Installation und ohne Abhängigkeiten verwendet werden kann (im Bereich Download / OpenSSL Toolkit für Windows).

Wenn Sie die o.g. openssl.exe Version verwenden, entpacken Sie zunächst das Zip-Archiv und wechseln Sie mit cd in einer Eingabeaufforderung in das Verzeichnis, in welches Sie das Archiv entpackt haben.

  1. Erzeugung eines privaten Schlüssels und dem CSR (Certificate Signing Request):

    openssl req -out CSR.txt -new -newkey rsa:2048 -nodes -keyout ssl_privkey.pem -config openssl.cnf

    Geben Sie die abgefragten Daten entsprechend Ihrem Unternehmen ein (z.B. Land, Ort, Name der Organisation). Wichtig: Geben Sie bei "Common Name" den FQDN der Server-Adresse ein, die im Web-Browser beim Zugriff verwendet wird (z.B. enlogicserver.domain.local). Bei "A challenge password" drücken Sie die Return-Taste (ein Challenge Passwort ist hier nicht notwendig).
  2. Konvertierung des privaten Schlüssels von PEM nach DER:

    openssl rsa -inform PEM -in ssl_privkey.pem -outform DER -out ssl_privkey
  3. Öffnen Sie die Datei "CSR.txt" in einem Texteditor und kopieren Sie den gesamten Inhalt in die Zwischenablage (Strg+a, Strg+c)
  4. Melden Sie sich auf dem Server der Active-Directory Zertifikatsdienste per RDP (Remote Desktop) an und rufen Sie im Internet Explorer die Webseite http://localhost/certsrv/ auf
  5. Wählen Sie auf der Webseite des CA-Servers "Ein Zertifikat anfordern"
  6. Klicken Sie auf "Erweiterte Zertifikatsanforderung"
  7. Kopieren Sie in das Textfeld unter "Gespeicherte Zertifikatsanforderung" den Inhalt der Zwischenablage
  8. Wählen Sie bei "Zertifikatsvorlage" die Option "Webserver"
  9. Klicken Sie auf "Einsenden"
  10. Stellen Sie sicher, dass die Option "DER-codiert" ausgewählt ist (normalerweise voreingestellt)
  11. Exportieren Sie das Zertifikat mit dem Link "Download des Zertifikats"
  12. Speichern Sie die Datei unter dem Namen "ssl_cert" (prüfen Sie, dass der Dateiname keine Dateierweiterung besitzt - ggf. benennen Sie Datei nochmals um)
  13. Beenden Sie den enlogic:show Server Dienst
  14. Kopieren Sie nun die Datei "ssl_privkey" aus Schritt 2 und die Datei "ssl_cert" aus Schritt 12 in das Installationsverzeichnis des enlogic:show Servers im Unterverzeichnis system/server/ (bitte beachten Sie, dass beide Dateien keine Dateiendung haben - durch den Kopiervorgang ersetzen Sie die bereits vorhandenen Dateien mit den gleichen Dateinamen)
  15. Starten Sie den enlogic:show Server Dienst


Melden Sie sich nun mit einem Microsoft Internet Explorer oder Microsoft Edge in Ihrem Domänen-Netzwerk am enlogic:show Server per HTTPS unter der Adresse an, die Sie unter Schritt 1 als FQDN / Common Name eingeben haben (z.B. enlogicserver.domain.local:8800). Es wird nun keine Meldung mehr angezeigt, dass die Verbindung unsicher sei.

Hinweis für Mozilla Firefox: u.U. vertraut der Firefox Web-Browser dem Stammzertifikat Ihrer Windows Domäne nicht (das Stammzertifikat der Domain wird i.d.R. per Richtlinie nur zum IE / Edge als vertrauenswürdig verteilt). Damit Mozilla Firefox dem CA-Zertifikat der Domäne vertraut, wählen Sie im Firefox das Zahnrad-Symbol / Datenschutz und Sicherheit / Zertifikate anzeigen... und importieren Sie das Zertifikat Ihrer CA im Reiter "Zertifizierungsstellen" (importieren Sie hier nicht das Zertifkat, das im o.g. Artikel erstellt wurde. Es muss das Stammzertifikat Ihrer CA importiert werden, falls der Browser das CA-Zertifikat noch nicht als vertrauenswürdig eingestuft hat).


KB-ID: KB2018S01

Testen und selbst urteilen

Es geht nichts über einen Test mit eigenen Augen. Wir laden Sie herzlich dazu ein unsere 30 Tage Demo-Version mit allen Features auszuprobieren!

Hier gehts zur Demo

Was kostet das?

Die Preisliste zu allen enlogic:show Versionen können Sie hier finden:

Preislisten-Download

Technische Informationen

Alle technischen Hintergrund-Informationen finden Sie in unserer Support-Sektion.

Support-Center

Fragen?

Wir haben vielleicht die richtigen Antworten. Jedenfalls würden wir uns freuen von Ihnen zu hören.

Und so gehts ...

Newsletter

Immer aktuell informiert wenn sich hier etwas tut, oder genug davon? Hier werden Sie geholfen!

Zur Newsletter-Registierung

© 2004-2019 All-Dynamics Software GmbH