SSL / HTTPS Zertifikat in UC-Analytics WebSuite tauschen oder erneuern
Dieser Anleitung beschreibt den Vorgang, wie ein SSL-Zertifikat der aurenz UC-Analytics WebSuite wie folgt angepasst werden kann:
Nötige Berechtigung
Die Rolle des des Benutzers der das SSL Zertifikat der aurenz Software bearbeiten soll, benötigt unter dem Reiter "WebSuite" die Berechtigung "SSL-Zertifikat bearbeiten".
Schritt-für-Schritt-Anleitung
In der WebSuite unter "Datei" -> "Einstellungen" -> "HTTPS Konfiguration (SSL/TLS)"
(Melden Sie sich an der WebSuite mit dem Anwender "superuser" oder einem anderen Anwender mit entsprechenden Rechten an)
In dieser Konfigurationsmaske kann folgendes erledigt werden:
aktuell verwendetes Zertifikat anzeigen
1. Zertifikat-Informationen eingeben
Neue Zertifikats Informationen eintragen (um einen CSR zu erstellen)Optional kann in diesem Schritt ein neuer privater Schlüssel generiert werden
2. Selbst signiertes Zertifikat erstellen (optional)
Ein neues "selbst signiertes Zertifikat" erstellen. Dies ist sinnvoll wenn kein signiertes Zertifikat nötig ist.3. Zertifizierungsanfrage (CSR) erstellen
Ein CSR auf Basis der eingetragenen Zertifikat-Informationen erstellen.4. CSR bei Zertifizierungsstelle (CA) einreichen
→ Dies geschieht nicht innerhalb der aurenz Software5. Antwort der Zertifizierungsstelle hochladen
Ein signierten CSR bzw. ein extern erstelltes Zertifikat importieren
1. Zertifikat-Informationen eingeben
Die Zertifikat-Informationen enthalten Angaben zu Ihrem Unternehmen und zu dem Server, für welchen das Zertifikat ausgestellt werden soll. Geben Sie gültige Kontaktdaten an sowie den Namen des Servers, unter welchem er im Browser aufgerufen wird. Sie können mehrere Namen getrennt durch Kommata eingeben. Geben Sie optional zusätzlich die IP-Adresse an, unter welcher der Server im Browser aufgerufen werden kann. Sie können kommagetrennt mehrere IP-Adressen angeben.
In diesem Beispiel handelt es sich um Beispieldaten:
2. Selbst signiertes Zertifikat erstellen (optional)
Erstellen Sie ein "Selbst signiertes Zertifikat" aus den Zertifikat-Informationen, um einen Zugriff über HTTPS zu ermöglichen, der nicht anhand einer vertrauenswürdigen Zertifizierungsstelle signiert und abgesichert wurde.
Der Browser wird eine Sicherheitswarnung anzeigen, da dieses Zertifikat nicht vertrauenswürdig ist.
ACHTUNG:
Das aktuell verwendete Zertifikat wird durch das selbst signierte Zertifikat ersetzt!
Manche HTTPS Clients (Innovaphone MyApps, ...) unterbinden den Zugriff auf die aurenz WebSuite, wenn kein für den Client gültiges, vertrauenswürdiges Zertifikat verwendet wird!
3. Zertifizierungsanfrage (CSR) erstellen
Erstellen Sie aus Ihren Zertifikat-Informationen eine Zertifizierungsanfrage. Die Zertifizierungsanfrage laden Sie im folgenden Schritt bei einer Zertifizierungsstelle hoch, um ein vertrauenswürdig signiertes Zertifikat zu erhalten.
Das CSR kann als Datei geladen werden oder als kopierbarer Text angezeigt werden.
4. CSR bei Zertifizierungsstelle (CA) einreichen
Dieser Schritt muss ausserhalb der aurenz Software statt finden. Kontaktieren Sie hierzu gegebenenfalls Ihren IT-Dienstleister oder zuständigen IT-Administrator.
Reichen Sie die Zertifizierungsanfrage nun bei einer Zertifizierungsstelle (Certificate Authority - CA) ein. Eine Zertifizierungsstelle kann ein vertrauenswürdiges Zertifikat ausstellen, wenn sie dem Browser bekannt ist.
5. Antwort der Zertifizierungsstelle hochladen
Die Antwort der Zertifizierungsstelle (CA) ist ein vertrauenswürdiges Zertifikat. Es ersetzt das vorläufige Zertifikat, welches durch den CSR entstanden ist. Die Anwort der CA kann auch mehrere Zertifikate enthalten. Optional kann auch ein privater Schlüssel enthalten sein. Dieser darf jedoch nicht verschlüsselt sein. Die Antwort der CA wird im PEM-Format erwartet.
Falls Sie ein Zertifikat verwenden möchten, welches nicht durch den CSR erstellt wurde (d.h. im Punkt "1. Zertifizierungsanfrage (CSR) erstellen)"), so muss bei "CA Antwortdatei hochladen" eine PEM-Datei übergeben werden, welche auch den Privaten-Schlüssel enthält.
Dies kann geprüft werden, indem die PEM-Datei mit einem Texteditor geöffnet wird. Ist dort ein Eintrag "-----BEGIN PRIVATE KEY----- ...." enthalten, so ist auch der Private-Schlüssel in der Datei vorhanden.
Weitere Intermediate-Zertifikate müssen ebenfalls in der Datei enthalten sein. Die korrekte Reihenfolge der Zertifikatsinfos in der Datei ist wie folgt:
SSL-Zertifikat für die aurenz WebSuite
Optional: Zwischen-Zertifikat (Intermediate)
Optional:Root-Zertifikat der Zertifizierungsstelle
Optional: privater Schlüssel (Nur sinnvoll, wenn kein CSR verwendet wurde)
Problembehebung
WebSuite ist nach SSL-Konfigurationsanpassung nicht mehr erreichbar
Es wurde ein ungültiges Zertifikat hochgeladen und die WebSuite ist nicht mehr per HTTPS erreichbar.
Nutzen Sie in diesem Fall HTTP um ein neues, selbst signiertes Zertifikat zu erstellen oder ein gültiges signiertes Zertifikat hochzuladen.
Der Import des Zertifkats schlägt fehl
Muss eine ganze Zertifikatskette (also das Zertifikat selbst, zwischenzertifikate und der private Schlüssel) importiert werden und die Reihenfolge bzw. die Zertifikate an sich sind nicht gültig erhalten Sie einen Fehler bzw. das importierte Zertifikat funktioniert nicht wie gewünscht. In diesem Fall muss die zu importierende Textdatei geprüft werden wie auch die Zertifikate. Kontaktieren Sie hierzu gegebenenfalls Ihren IT-Dienstleister oder zuständigen IT-Administrator.
spezielle Konstellationen
Die WebSuite kann übliche Standard-Konfigurationen abhandeln. In komplexen Umgebungen kann es nötig sein, die nötigen Zertifikate einzeln mit dem Tool “KeyStore Explorer” zu pflegen.
Wenden Sie sich hierzu bitte an Ihren aurenz-Partner oder bei einem bestehenden Support-Vertrag an den technischen aurenz Support.
© aurenz GmbH 2022