Übersicht über dieser Anleitung
Dieser Anleitung beschreibt den Vorgang, wie ein SSL-Zertifikat der aurenz UC-Analytics WebSuite wie folgt angepasst werden kann:
Inhalt |
---|
Nötige Berechtigung
Die Rolle des des Benutzers der das SSL Zertifikat der aurenz Software bearbeiten soll, benötigt unter dem Reiter "WebSuite" die Berechtigung "SSL-Zertifikat bearbeiten".
Schritt-für-Schritt-Anleitung
In der WebSuite unter "Datei" -> "Einstellungen" -> "HTTPS
Konfig ....Konfiguration (SSL/TLS)"
(Melden Sie sich an der WebSuite mit dem Anwender "superuser" oder einem anderen Anwender mit entsprechenden Rechten an)
optional: CSR zur Validierung an einer Zertifizierungsstelle erstellen
- Tragen Sie hier die Serverdetails ein und laden Sie sie als Datei herunter oder kopieren Sie sie als Text
Zertifikat erstellen (signiert oder SelfSigned)
→ Dieser Schritt erfolgt nicht in UC-Analytics. Hierzu kann Ihre unternehmenseigene Zertifizierungsstelle oder eine offizielle Zertifizierungsstelle genutzt werden
Neues Zertifikat importieren
Importieren Sie das signierte Zertifikat indem Sie dieses hochladen oder den CA Antworttext einfügen. Details finden SIe in der Oberflcähe der WebSuite.
...
In dieser Konfigurationsmaske kann folgendes erledigt werden:
aktuell verwendetes Zertifikat anzeigen
1. Zertifikat-Informationen eingeben
Neue Zertifikats Informationen eintragen (um einen CSR zu erstellen)Optional kann in diesem Schritt ein neuer privater Schlüssel generiert werden
2. Selbst signiertes Zertifikat erstellen (optional)
Ein neues "selbst signiertes Zertifikat" erstellen. Dies ist sinnvoll wenn kein signiertes Zertifikat nötig ist.3. Zertifizierungsanfrage (CSR) erstellen
Ein CSR auf Basis der eingetragenen Zertifikat-Informationen erstellen.4. CSR bei Zertifizierungsstelle (CA) einreichen
→ Dies geschieht nicht innerhalb der aurenz Software5. Antwort der Zertifizierungsstelle hochladen
Ein signierten CSR bzw. ein extern erstelltes Zertifikat importieren
1. Zertifikat-Informationen eingeben
Die Zertifikat-Informationen enthalten Angaben zu Ihrem Unternehmen und zu dem Server, für welchen das Zertifikat ausgestellt werden soll. Geben Sie gültige Kontaktdaten an sowie den Namen des Servers, unter welchem er im Browser aufgerufen wird. Sie können mehrere Namen getrennt durch Kommata eingeben. Geben Sie optional zusätzlich die IP-Adresse an, unter welcher der Server im Browser aufgerufen werden kann. Sie können kommagetrennt mehrere IP-Adressen angeben.
In diesem Beispiel handelt es sich um Beispieldaten:
...
2. Selbst signiertes Zertifikat erstellen (optional)
Erstellen Sie ein "Selbst signiertes Zertifikat" aus den Zertifikat-Informationen, um einen Zugriff über HTTPS zu ermöglichen, der nicht anhand einer vertrauenswürdigen Zertifizierungsstelle signiert und abgesichert wurde.
Der Browser wird eine Sicherheitswarnung anzeigen, da dieses Zertifikat nicht vertrauenswürdig ist.
ACHTUNG:
Das aktuell verwendete Zertifikat wird durch das selbst signierte Zertifikat ersetzt!
Manche HTTPS Clients (Innovaphone MyApps, ...) unterbinden den Zugriff auf die aurenz WebSuite, wenn kein für den Client gültiges, vertrauenswürdiges Zertifikat verwendet wird!
3. Zertifizierungsanfrage (CSR) erstellen
Erstellen Sie aus Ihren Zertifikat-Informationen eine Zertifizierungsanfrage. Die Zertifizierungsanfrage laden Sie im folgenden Schritt bei einer Zertifizierungsstelle hoch, um ein vertrauenswürdig signiertes Zertifikat zu erhalten.
Das CSR kann als Datei geladen werden oder als kopierbarer Text angezeigt werden.
4. CSR bei Zertifizierungsstelle (CA) einreichen
Dieser Schritt muss ausserhalb der aurenz Software statt finden. Kontaktieren Sie hierzu gegebenenfalls Ihren IT-Dienstleister oder zuständigen IT-Administrator.
Reichen Sie die Zertifizierungsanfrage nun bei einer Zertifizierungsstelle (Certificate Authority - CA) ein. Eine Zertifizierungsstelle kann ein vertrauenswürdiges Zertifikat ausstellen, wenn sie dem Browser bekannt ist.
5. Antwort der Zertifizierungsstelle hochladen / vorhandenes Zertifkat hochladen
Die Antwort der Zertifizierungsstelle (CA) ist ein vertrauenswürdiges Zertifikat. Es ersetzt das vorläufige Zertifikat, welches durch den CSR entstanden ist. Die Anwort der CA kann auch mehrere Zertifikate enthalten. Optional kann auch ein privater Schlüssel enthalten sein. Dieser darf jedoch nicht verschlüsselt sein. Die Antwort der CA wird im PEM-Format erwartet.
Hinweis |
---|
Falls Sie ein Zertifikat verwenden möchten, welches nicht durch den CSR erstellt wurde (d.h. im Punkt "1. Zertifizierungsanfrage (CSR) erstellen)"), so muss bei "CA Antwortdatei hochladen" eine PEM-Datei übergeben werden, welche auch den Privaten-Schlüssel enthält. Dies kann geprüft werden, indem die PEM-Datei mit einem Texteditor geöffnet wird. Ist dort ein Eintrag "-----BEGIN PRIVATE KEY----- ...." enthalten, so ist auch der Private-Schlüssel in der Datei vorhanden. Weitere Intermediate-Zertifikate müssen ebenfalls in der Datei enthalten sein. Die korrekte Reihenfolge der Zertifikatsinfos in der Datei ist wie folgt:
WICHTIG: Das Zertifikat für den Rechner muss vor den anderen Zertifikaten (Zwischen-Zertifikate / Root-Zertifikat) in der PEM-Datei kommen! |
Problembehebung
WebSuite ist nach SSL-Konfigurationsanpassung nicht mehr erreichbar
Es wurde ein ungültiges Zertifikat hochgeladen und die WebSuite ist nicht mehr per HTTPS erreichbar.
Nutzen Sie in diesem Fall HTTP um ein neues, selbst signiertes Zertifikat zu erstellen oder ein gültiges signiertes Zertifikat hochzuladen.
Der Import des Zertifkats schlägt fehl
Muss eine ganze Zertifikatskette (also das Zertifikat selbst, zwischenzertifikate und der private Schlüssel) importiert werden und die Reihenfolge bzw. die Zertifikate an sich sind nicht gültig erhalten Sie einen Fehler bzw. das importierte Zertifikat funktioniert nicht wie gewünscht. In diesem Fall muss die zu importierende Textdatei geprüft werden wie auch die Zertifikate. Kontaktieren Sie hierzu gegebenenfalls Ihren IT-Dienstleister oder zuständigen IT-Administrator.
Spezielle Konstellationen
Die WebSuite kann übliche Standard-Konfigurationen abhandeln. In komplexen Umgebungen kann es nötig sein, die nötigen Zertifikate einzeln mit dem Tool “KeyStore Explorer” zu pflegen.
Wenden Sie sich hierzu bitte an Ihren aurenz-Partner oder bei einem bestehenden Support-Vertrag an den technischen aurenz Support.
Sie haben keinen Zugriff mehr mittels HTTPS
Falls durch eine Fehlkonfiguration kein Zugriff mehr auf die WebSuite besteht (z.B.: um das Zertifikat zu neu einzuspielen), so geht man wie folgt vor:
In der Administration HTTP aktivieren (und ggf. einen Port, welcher nicht belegt ist vergeben).
Den Abrechnungs-Dienst neu starten.
Wen WebSuite-Dienst neu starten.
Nun sollte im Browser der Zurgiff über “http://localhost:<Port>” (“<Port>” ist der vergebene Port) möglich sein.
Hier kann z.B.: das Zertifkat neu hochgeladen werden.
Danach muss natürlich HTTP wieder abgeschaltet werden. Dazu wie folgt vorgehen:
In der Administration HTTP deaktivieren.
Den Abrechnungs-Dienst neu starten.
Wen WebSuite-Dienst neu starten.
Den Zugriff im Browser mittels “https://…” prüfen.