CSSCurrent de:Einrichtung eines SSL-Zertifikates

Aus Cryptshare Documentation
Wechseln zu:Navigation, Suche

Über SSL-Zertifikate

Es kann ein privates (selbst erstelltes) oder öffentliches (i.d.R. kommerzielles) SSL-Zertifikat eingesetzt werden. Diese bieten das gleiche Niveau an Sicherheit in Bezug auf Verschlüsselung. Gegenüber selbst erstellen SSL-Zertifikaten bieten öffentliche SSL-Zertifikate aber den Vorteil, dass der Herausgeber des Zertifikates, also die Zertifizierungsstelle bzw. der Zertifikatsanbieter, den Besitz Ihrer Domain prüft und dies im Zertifikat bestätigt. Da der Browser eines Benutzers normalerweise bereits der öffentlichen Zertifizierungsstelle vertraut, wird das bestätigte Zertifikat Ihrer Domain (solange gültig) ebenfalls als vertrauenswürdig eingestuft.

Bei Einsatz eines privaten Zertifikates dagegen zeigen die Browser in der Regel eine Warnung an, die zur Prüfung und Bestätigung des Vertrauensverhältnisses auffordert. Da dies die Benutzer in der Regel abschreckt, wird die Beschaffung und Verwendung eines öffentlichen Zertifikates dringend empfohlen.

Das System wird mit einem privaten Zertifikat ausgeliefert. Dieses ist jedoch lediglich zur Sicherung der Verbindung für die Erstkonfiguration des Systems gedacht. Bitte beschaffen und installieren Sie ein öffentliches Zertifikat, bevor Sie das System produktiv einsetzen.

Folgen Sie diesen Links, wenn Sie bereits ein Wildcard-Zertifikat besitzen oder Ihr bestehendes Zertifikat verlängern möchten.

Erforderliche Hilfsmittel

KeyStore Explorer

Für die Vorbereitung des Zertifikatsspeichers ("Keystores") für Ihren Cryptshare Server empfehlen wir das kostenlose Windows-Programm "KeyStore Explorer". Mit diesem Programm können Sie den Keystore auf Ihrem Arbeitsplatzrechner vorbereiten und anschließend auf den Cryptshare Server kopieren. Sie können den KeyStore Explorer unter folgender URL herunterladen: http://keystore-explorer.org/downloads.html.

Das Programm kann für alle Verwaltungsaufgaben bezüglich der SSL-Zertifikate im Cryptshare Server verwendet werden, unabhängig davon, ob dieser unter Windows oder Linux betrieben wird.

WinSCP (nur Linux-basierte Systeme)

Falls Sie eine Hardware Appliance, Virtual Appliance oder einen anderen Linux-basierten Cryptshare Server verwenden, empfehlen wir das Windows-Programm "WinSCP" zum Kopieren der Keystore-Datei zwischen Ihrem Arbeitsplatzrechner und dem Cryptshare Server: https://winscp.net/eng/download.php#download2.

PuTTY

Mittels "PuTTY" besteht die Möglichkeit, sich von einem Windows-PC per SSH auf den Cryptshare Server zu verbinden und mit der Linux-Shell zu arbeiten. PuTTY ist nur für Linux-basierte Systeme erforderlich (u.a. Virtual Appliance oder Hardware Appliance): http://www.putty.org/.

Erzeugen eines neuen Schlüsselpaares

Sowohl für die Erstellung eines öffentlichen als auch eines privaten Zertifikates muss zunächst ein Schlüsselpaar erzeugt werden.

Gehen Sie dazu wie folgt vor:

  1. Starten Sie KeyStore Explorer auf Ihrem Arbeitsplatzrechner.
  2. Legen Sie einen neuen Keystore an:
    18945994.png
  3. Wählen Sie "JKS" als Keystore Typ aus.
    Keystore-explorer-new-keystore-type.png
  4. Erzeugen Sie ein Schlüsselpaar.
    Keystore-explorer-create-keypair.png
  5. Wählen Sie als Verschlüsselungsalgorithmus "RSA" aus. Die zu verwendende Schlüssellänge ist abhängig von den Vorgaben Ihres Zertifikatsanbieters. Üblicherweise werden mindestens 2048 bit verlangt.
    Keystore-explorer-keypair-options.png
  6. Machen Sie im folgenden Dialog mindestens diese Angaben:
    Keystore-explorer-keypair-certificate-options.png
    1. "Version": "Version 3"
    2. "Signature Algorithm": "SHA-256 with RSA" (oder besser)
    3. "Validity Period": Der Zeitraum, in dem das später erzeugte Zertifikat als gültig anerkannt werden soll, beispielsweise 2 Jahre ab Erstellungszeitpunkt.
    4. Klicken Sie dann auf das Symbol hinter dem Feld "Name".
  7. Geben Sie im "Name"-Dialog die Daten Ihres Unternehmens an:
    Keystore-explorer-name-details.png
    • Der Common Name (CN) muss mit dem Host-Namen des Servers übereinstimmen, so wie er in der öffentlichen URL angegeben ist (z.B. "webapp.cryptshare.com" wenn die URL "https://webapp.cryptshare.com" lautet). Eine fehlerhafte Angabe wird zu einem Zertifikatsfehler führen.
    • Die weiteren Angaben sollten mit den Ergebnissen einer "whois"-Abfrage (z.B. über https://www.denic.de/webwhois) der Domain übereinstimmen.
  8. Bestätigen Sie die beiden Dialoge mit "Ok".
  9. Anschließend werden Sie aufgefordert, einen Alias anzugeben:
    Keystore-explorer-new-keystore-alias.png
    Als Alias tragen Sie unbedingt den folgenden Text ein: "com.cryptshare.server". Wird eine andere Bezeichnung gewählt, so ist das Zertifikat für Cryptshare nicht identifizierbar und ein Start des Cryptshare-Servers wird fehlschlagen.
  10. Geben Sie das Passwort "CA0AZhuFM4NogQh" ein. Es handelt sich hierbei um ein voreingestelltes Passwort, das im Auslieferungszustand des Systems verwendet werden muss. Eine Beschreibung, wie das Passwort verändert werden kann, entnehmen Sie bitte dem Abschnitt Ändern von SSL-Passwörtern.
    Keystore-explorer-keypair-password.png
  11. Speichern Sie nun den erzeugten Keystore auf Ihre Festplatte:
    Keystore-explorer-save.png
    • Wählen Sie "keystore" als Dateinamen.
    • Zum Schutz des Keystores wird ebenfalls ein Passwort verlangt. Verwenden Sie hier das gleiche Passwort wie für das Zertifikat ("CA0AZhuFM4NogQh").


Zur Verwendung eines öffentliches SSL-Zertifikats:

  1. Klicken Sie im Hauptbildschirm des KeyStore Explorer mit der rechten Maustaste auf den soeben erstellten Eintrag.
  2. Wählen Sie die Option "Generate CSR" um einen sogenannten "Certificate Signing Request" (CSR) für Ihren Cryptshare Server zu erzeugen.
    Keystore-explorer-generate-csr.png
  3. Wählen Sie im folgenden Dialog den Zielpfad für die CSR-Datei und passen Sie, falls erforderlich, die Optionen entsprechend der Vorgaben Ihres Zertifikatsanbieters an.
    Keystore-explorer-save-csr.png
  4. Ein öffentliches Zertifikat kann nun von einem Zertifikatsanbieter ausgestellt werden. Bitte stellen Sie dazu die soeben erzeugte CSR-Datei zur Verfügung. Das Verfahren hierfür variiert je nach Anbieter.
  5. Sobald Sie Ihr Zertifikatsanbieter ein Zertifikat ausgestellt hat, können Sie mit dem Abschnitt Installation eines öffentlichen Zertifikates im Keystore des Cryptshare Servers fortfahren.


Zur Verwendung eines privaten SSL-Zertifikats:

Bei der Erstellung des Schlüsselpaares wurde bereits ein Zertifikat erzeugt und hinterlegt. Fahren Sie mit dem Abschnitt Installation des Keystores auf dem Cryptshare Server fort.

Installation eines öffentlichen Zertifikates im Keystore des Cryptshare Servers

Wenn Sie das öffentliche Zertifikat vom Zertifikatsanbieter erhalten haben, müssen Sie dieses anschließend im Keystore des Cryptshare Servers hinterlegen. Gehen Sie hierzu bitte wie folgt vor:

  1. Öffnen Sie den KeyStore Explorer.
  2. Öffnen Sie die Keystore-Datei "keystore":
    Keystore-explorer-open.png
  3. Geben Sie das Passwort "CA0AZhuFM4NogQh" ein. Es handelt sich hierbei um ein voreingestelltes Passwort, das im Auslieferungszustand des Systems verwendet werden muss. Eine Beschreibung, wie das Passwort verändert werden kann, entnehmen Sie bitte dem Abschnitt Ändern von SSL-Passwörtern.
  4. Klicken Sie mit der rechten Maustaste auf den Eintrag "com.cryptshare.server".
  5. Wählen Sie die Option "Import CA Reply":
    Keystore-explorer-import-ca-reply.png
    • Geben Sie mit "From File" (aus Datei) oder "From Clipboard" (aus Zwischenablage) die Zertifikatsdaten an, je nachdem, wie Ihnen der Zertifikatsanbieter das Zertifikat bereitgestellt hat. Geben Sie dabei erneut das Passwort "CA0AZhuFM4NogQh" ein.
  6. Vervollständigen Sie mit den nachfolgenden Schritten ggf. die Zertifikatskette bis zum root-Zertifikat.
    Beachten Sie bitte, dass bei einer unvollständingen Zertifikatkette in einigen Browsern immer noch eine Sicherheitsmeldung erscheinen kann die einen manuellen Eingriff erfordert. Daher sollte sichergestellt sein, dass alle Zwischenzertifikate sowie das Root-Zertifikat in der korrekten Reihenfolge in die Zertifikatskette eingefügt sind. 1. Beantragtes Serverzertifikat, 2. Zwischenzertifikate (Intermediate Certificates), 3. Root-Zertifikat (Root Certificate). Die benötigten Angaben und Dateien erhalten Sie von Ihrem Zertifikatsanbieter.
    1. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar des Cryptshare Servers.
    2. Wählen Sie die Option "Edit Certificate Chain"  --> "Append Certificate...":
      Keystore-explorer-append-certificate.png
    3. Bestätigen Sie die darauf folgenden Abfragen des Programms. Diese können je nach Art des zu importierenden Zertifikates unterschiedlich ausfallen.
  7. Speichern Sie den Keystore.
  8. Fahren Sie mit dem folgenden Abschnitt fort.

Installation des Keystores auf dem Cryptshare Server

Linux-basierte Systeme (u.a. Hardware Appliance und Virtual Appliance)

  1. Starten Sie "WinSCP"
  2. Geben Sie im Login-Dialog die Verbindungsdaten ein:
    Winscp-new-session.png
    • "File Protocol:" SCP
    • "Host name:" Hostname oder IP-Adresse des Cryptshare Servers.
    • "User name:" Der Benutzername, mit dem die Verbindung aufgebaut werden soll. Auf Hardware Appliance und Virtual Appliance ist dies "root".
    • "Password:" Das zugehörige Passwort. Bei der Auslieferung einer Hardware Appliance bzw. Virtual Appliance haben Sie dies von uns erhalten.
  3. Klicken Sie auf "Login", um sich an Ihrem Cryptshare Server anzumelden und die Verbindung aufzubauen.
  4. Wechseln Sie auf der rechten Seite in das Unterverzeichnis "lib/security/" des Installationsverzeichnisses. Auf Hardware Appliance, Virtual Appliance und anderen Installationen, die mit dem RPM-Paket durchgeführt wurden, lautet dies "/opt/cryptshare-3". Kopieren Sie dann die Keystore-Datei von Ihrem Arbeitsplatzrechner in dieses Verzeichnis.
    4325998.png


Der Keystore liegt nun auf dem Cryptshare Server. Nun haben Sie mehrere Möglichkeiten um den Cryptshare-Dienst neu zu starten:

Via Administrationsoberfläche:

  1. Öffnen Sie die Administrationsoberfläche des Cryptshare Servers in einem Browser (https://<Hostname Ihres Cryptshare Servers>:8080).
  2. Melden Sie sich mit einem Administratorenkonto an.
  3. Öffnen Sie das Aktionsmenü rechts oben und wählen Sie "Neustart".


Via Konsole:

  1. Verbinden Sie sich nun per PuTTY auf die Linux-Konsole des Cryptshare Servers.
    1. Starten Sie PuTTY.
    2. Geben Sie den Hostnamen oder die IP-Adresse des Cryptshare Servers ein.
    3. Klicken Sie auf "Open".
      18946002.png
      Sie sehen nun die Linux-Konsole.
  2. Geben Sie "root" in die Zeile "login as" ein, um sich als Root-Benutzer anzumelden.
    18946001.png
  3. Das System fragt dann das Passwort des Benutzers an. Bei der Auslieferung einer Hardware Appliance bzw. Virtual Appliance haben Sie dies von uns erhalten. Bitte beachten Sie, dass während der Eingabe des Passwortes dieses nicht am Bildschirm angezeigt wird und auch keine Platzhalter (*) für die eingegebenen Zeichen dargestellt werden.
  4. Starten Sie den Cryptshare-Dienst neu:
    rccryptshare restart (OpenSUSE, u.a. Hardware Appliance oder Virtual Appliance)
    systemctl restart cryptshare (andere Linux-basierte Systeme)

Windows-basierte Systeme

  1. Speichern Sie den zuvor erstellten Keystore im Unterverzeichnis "lib/security" des Installationsverzeichnisses.
  2. Starten Sie den Dienst "CryptshareService" neu.