SSL Verbindungszertifikate

Die Verbindung zwischen Clients und Server wird mittels SSL-Zertifikaten gesichert. Hier wird auf den aktuellsten Verschlüsselungsstandard TLS 1.2 zurückgegriffen. Es ist sowohl möglich, über den Server ein Zertifikat zu erstellen, als auch über eine CA ein bereits bestehendes Zertifikat zu nutzen. Alle Rechner, auf dem ein Client installiert wird, müssen dem Zertifikat trauen. Anderweitig erscheint beim Starten des Clients die Meldung:

Dieser Verbindung wird nicht getraut!
Die Verbindung zum Server wird als nicht sicher eingestuft.

Aufbau der Zertifikate

Folgende Informationen gelten sowohl für das Password Safe Zertifikat als auch für eigene Zertifikate:

Alternativer Antragsteller

Die Kommunikation zwischen Client und Server kann nur auf demjenigen Weg erfolgen, welcher im Zertifikat beim alternativen Antragsteller hinterlegt ist. Das Password Safe Zertifikat nimmt daher alle IP-Adressen des Servers sowie den Hostname auf. Beim Erstellen eines eigenen Zertifikats sollten also ebenso diese Informationen unter dem alternativen Antragsteller hinterlegt werden.

Nutzung des Password Safe Zertifikates

Die Bezeichnung des PSR Zertifikates ist PSR8Server. Erstellt werden kann dies über die Grundkonfiguration in der AdminConsole. Das Zertifikat liegt lokal unter:
lokaler Computer -> eigene Zertifikate -> Zertifikate

Verteilen des Password Safe Zertifikats

Um dem Zertifikat zu trauen, kann dieses am Server exportiert und danach an den Clients importiert werden. Hierbei muss folgender Speicher gewählt werden:
lokaler Computer > vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate

Das Zertifikat kann über Gruppenrichtlinien verteilt als auch ausgerollt werden.

Manuelles Importieren des Password Safe Zertifikats

Wird das Password Safe Zertifikat nicht ausgerollt, so besteht auch die Möglichkeit das Zertifikat manuell zu importieren. Hierfür werden zunächst die Zertifikatsinformationen geöffnet. In der Warnmeldung steht hierfür die Schaltfläche Show server certificate bereit. Im folgenden Dialog wählt man zunächst die Option Zertifikat installieren…

Es öffnet sich der Zertifikatimport-Assistent in welchem zunächst Lokaler Computer gewählt wird.

Im nächsten Schritt muss der Speicher “Vertrauenswürdige Stammzertifizierungsstellen” manuell gewählt werden.

Abschließend muss die Installation nochmals bestätigt werden.

Nutzung eines eigenen Zertifikates

Ist bereits eine CA vorhanden, kann auch ein eigenes Zertifikat genutzt werden. Innerhalb der Grundkonfiguration kann dieses ausgewählt werden. Es gilt zu beachten, dass hier ein Server-Zertifikat zur SSL-Verschlüsselung verwendet wird. Die CA muss so konfiguriert werden, dass alle Clients dem Zertifikat trauen. Hierfür ist nötig, dass der Zertifizierungspfad eingehalten wird.

Wildcard Zertifikate

Wildcard Zertifikate können leider nicht unterstützen werden. Theoretisch sollte die Verwendung zwar möglich sein, wir können jedoch bei der Konfiguration keine Hilfestellung bieten. Daher erfolgt der Einsatz von Wildcard Zertifikaten auf eigene Verantwortung.

Datenbank Zertifikate

Pro Datenbank wird ein eigenes Zertifikat erstellt. Dieses trägt den Namen “psrKey”, gefolgt von einer einmaligen GUID. Beispielsweise: psrKey_25717957-fcc1-e611-9953-c86000c4a2aa

Zertifikat für den Masterkey Modus

Wird ein Active Directory über den Masterkey Modus angesprochen, wird hierfür ebenfalls ein Zertifikat erstellt. Die Nomenklatur entspricht derjenigen der Datenbank Zertifikate.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.