Austausch des Server-Zertifikats durch Windows Domänen Zertifikat

Frage:

Wie kann das TLS/SSL-Zertifikat des enlogic:show Servers durch ein Zertifikat ersetzt werden, das von einer Windows Domänen Zertifizierungsstelle ausgestellt wurde?

Antwort:

Bei der Installation des enlogic:show Servers auf der Windows-Plattform wird standardmäßig ein selbstsigniertes Server-Zertifikat generiert, mit dem die Server-Anwendung per HTTPS / Port 8800 erreichbar ist.

Da die Web-Browser, mit denen Sie auf den Server zugreifen, diesem selbstsignierten Zertifikat naturgemäß nicht vertrauen, erscheint beim Aufruf der Webseite zunächst z.B. die Meldung "Diese Website ist nicht sicher" oder "Diese Verbindung ist nicht sicher".

Im folgenden KB-Artikel werden die Schritte beschrieben, die notwendig sind, um das selbstsignierte Server-Zertifikat durch ein Zertifikat zu ersetzen, das von Ihrer Windows Domänen Zertifizierungsstelle (CA) ausgestellt wurde.

Da alle PCs in einer Windows-Domäne dem Stammzertifikat der Domain-CA automatisch vertrauen, entfällt dadurch die Meldung, dass die Verbindung zum enlogic:show Server nicht sicher sei.

Hinweis: Für diese Vorgehensweise wird das OpenSSL-Toolkit benötigt. OpenSSL ist für zahlreiche Betriebssysteme bzw. Plattformen als Open Source verfügbar.

Falls Sie selbst keinen Zugriff auf eine OpenSSL-Installation haben, stellen wir Ihnen im Service-Bereich eine statisch gelinkte Version der openssl.exe zur Verfügung, die ohne Installation und ohne Abhängigkeiten verwendet werden kann (im Bereich Download / OpenSSL Toolkit für Windows).

Wenn Sie die o.g. openssl.exe Version verwenden, entpacken Sie zunächst das Zip-Archiv und wechseln Sie mit cd in einer Eingabeaufforderung in das Verzeichnis, in welches Sie das Archiv entpackt haben.

1. Erzeugung eines privaten Schlüssels und dem CSR (Certificate Signing Request):
   
   
   openssl req -out CSR.txt -new -newkey rsa:2048 -nodes -keyout ssl_privkey.pem -config openssl.cnf
   
   Geben Sie die abgefragten Daten entsprechend Ihrem Unternehmen ein (z.B. Land, Ort, Name der Organisation). Wichtig: Geben Sie bei "Common Name" den FQDN der Server-Adresse ein, die im Web-Browser beim Zugriff verwendet wird (z.B. enlogicserver.domain.local). Bei "A challenge password" drücken Sie die Return-Taste (ein Challenge Passwort ist hier nicht notwendig).
2. Konvertierung des privaten Schlüssels von PEM nach DER:
   
   
   openssl rsa -inform PEM -in ssl_privkey.pem -outform DER -out ssl_privkey
3. Öffnen Sie die Datei "CSR.txt" in einem Texteditor und kopieren Sie den gesamten Inhalt in die Zwischenablage (Strg+a, Strg+c)
4. Melden Sie sich auf dem Server der Active-Directory Zertifikatsdienste per RDP (Remote Desktop) an und rufen Sie im Internet Explorer die Webseite http://localhost/certsrv/ auf
5. Wählen Sie auf der Webseite des CA-Servers "Ein Zertifikat anfordern"
6. Klicken Sie auf "Erweiterte Zertifikatsanforderung"
7. Kopieren Sie in das Textfeld unter "Gespeicherte Zertifikatsanforderung" den Inhalt der Zwischenablage
8. Wählen Sie bei "Zertifikatsvorlage" die Option "Webserver"
9. Klicken Sie auf "Einsenden"
10. Stellen Sie sicher, dass die Option "DER-codiert" ausgewählt ist (normalerweise voreingestellt)
    
11. Exportieren Sie das Zertifikat mit dem Link "Download des Zertifikats"
12. Speichern Sie die Datei unter dem Namen "ssl_cert" (prüfen Sie, dass der Dateiname keine Dateierweiterung besitzt - ggf. benennen Sie Datei nochmals um)
13. Beenden Sie den enlogic:show Server Dienst
14. Kopieren Sie nun die Datei "ssl_privkey" aus Schritt 2 und die Datei "ssl_cert" aus Schritt 12 in das Installationsverzeichnis des enlogic:show Servers im Unterverzeichnis system/server/ (bitte beachten Sie, dass beide Dateien keine Dateiendung haben - durch den Kopiervorgang ersetzen Sie die bereits vorhandenen Dateien mit den gleichen Dateinamen)
    
15. Starten Sie den enlogic:show Server Dienst

Melden Sie sich nun mit einem Microsoft Internet Explorer oder Microsoft Edge in Ihrem Domänen-Netzwerk am enlogic:show Server per HTTPS unter der Adresse an, die Sie unter Schritt 1 als FQDN / Common Name eingeben haben (z.B. enlogicserver.domain.local:8800). Es wird nun keine Meldung mehr angezeigt, dass die Verbindung unsicher sei.

Hinweis für Mozilla Firefox: u.U. vertraut der Firefox Web-Browser dem Stammzertifikat Ihrer Windows Domäne nicht (das Stammzertifikat der Domain wird i.d.R. per Richtlinie nur zum IE / Edge als vertrauenswürdig verteilt). Damit Mozilla Firefox dem CA-Zertifikat der Domäne vertraut, wählen Sie im Firefox das Zahnrad-Symbol / Datenschutz und Sicherheit / Zertifikate anzeigen... und importieren Sie das Zertifikat Ihrer CA im Reiter "Zertifizierungsstellen" (importieren Sie hier nicht das Zertifkat, das im o.g. Artikel erstellt wurde. Es muss das Stammzertifikat Ihrer CA importiert werden, falls der Browser das CA-Zertifikat noch nicht als vertrauenswürdig eingestuft hat).