SSL Verbindungszertifikate

Die Verbindung zwischen Clients und Server wird mittels SSL-Zertifikaten gesichert. Hier wird auf den aktuellsten Verschlüsselungsstandard TLS 1.2 zurückgegriffen. Es ist sowohl möglich, über den Server ein Zertifikat zu erstellen, als auch über eine CA ein bereits bestehendes Zertifikat zu nutzen. Alle Rechner, auf dem ein Client installiert wird, müssen dem Zertifikat trauen. Anderweitig erscheint beim Starten des Clients folgende Meldung:

Aufbau der Zertifikate

Folgende Informationen gelten sowohl für das Password Safe Zertifikat als auch für eigene Zertifikate:

Alternativer Antragsteller

Die Kommunikation zwischen Client und Server kann nur auf demjenigen Weg erfolgen, welcher im Zertifikat beim alternativen Antragsteller hinterlegt ist. Das Password Safe Zertifikat nimmt daher alle IP-Adressen des Servers sowie den Hostname auf. Beim Erstellen eines eigenen Zertifikats sollten also ebenso diese Informationen unter dem alternativen Antragsteller hinterlegt werden.

Nutzung des Password Safe Zertifikates

Die Bezeichnung des PSR Zertifikates ist “PSR8Server”. Erstellt werden kann dies über die Grundkonfiguration in der AdminConsole. Das Zertifikat liegt lokal unter lokaler Computer > eigene Zertifikate, bzw. unter lokaler Computer > vertrauenswürdige Stammzertifizierungsstellen. Um dem Zertifikat zu trauen, muss dieses am Server exportiert und danach an den Clients unter lokaler Computer > vertrauenswürdige Stammzertifizierungsstellen importiert werden. Das Zertifikat kann über Gruppenrichtlinien verteilt als auch ausgerollt werden. Das Zertifikat ist nach Erstellung ein Jahr lang gültig. Danach muss ein neues erstellt und wie beschrieben verteilt werden.

Nutzung eines eigenen Zertifikates

Ist bereits eine CA vorhanden, kann auch ein eigenes Zertifikat genutzt werden. Innerhalb der Grundkonfiguration kann dieses ausgewählt werden. Es gilt zu beachten, dass hier ein Server-Zertifikat zur SSL-Verschlüsselung verwendet wird. Die CA muss so konfiguriert werden, dass alle Clients dem Zertifikat trauen. Hierfür ist nötig, dass der Zertifizierungspfad eingehalten wird.

Wildcard Zertifikate

Wildcard Zertifikate können leider nicht unterstützen werden. Theoretisch sollte die Verwendung zwar möglich sein, wir können jedoch bei der Konfiguration keine Hilfestellung bieten. Daher erfolgt der Einsatz von Wildcard Zertifikaten auf eigene Verantwortung.

Datenbank Zertifikate

Pro Datenbank wird ein eigenes Zertifikat erstellt. Dieses trägt den Namen “psrKey”, gefolgt von einer einmaligen GUID. Beispielsweise: psrKey_25717957-fcc1-e611-9953-c86000c4a2aa

Zertifikat für den Masterkey Modus

Wird ein Active Directory über den Masterkey Modus angesprochen, wird hierfür ebenfalls ein Zertifikat erstellt. Die Nomenklatur entspricht derjenigen der Datenbank Zertifikate.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.