CSSv5.0.0 de:Einrichtung eines SSL Zertifikates

Aus Cryptshare Documentation
Wechseln zu:Navigation, Suche



Einrichtung eines SSL Zertifikates

Über SSL Zertifikate

Es kann ein privates (selbst erstelltes) oder öffentliches (kommerzielles) SSL-Zertifikat eingesetzt werden. Diese bieten das gleiche Niveau an Sicherheit in Bezug auf Verschlüsselung. Gegenüber selbst erstellen SSL-Zertifikaten bieten kommerzielle SSL-Zertifikate den Vorteil, dass der Herausgeber des Zertifikates die Identität Ihres Unternehmens prüft und die Echtheit Ihres Zertifikates bestätigt. Benutzer, die per Browser auf Cryptshare zugreifen, bekommen die Echtheit des Zertifikates auf Wunsch angezeigt. Bei Einsatz eines privaten (selbst erstellten) Zertifikates zeigen die Browser in der Regel einen Hinweis an, der zur Prüfung und Bestätigung des Vertrauensverhältnisses auffordert. Da dies die Benutzer in der Regel abschreckt, wird die Beschaffung und Verwendung eines kommerziellen Zertifikates dringend empfohlen. Das System wird mit einem selbst erstellten Zertifikat ausgeliefert. Dieses ist jedoch lediglich für Sicherung der Verbindung für die Erstkonfiguration des Systems gedacht. Bitte beschaffen und installieren Sie ein kommerzielles Zertifikat, bevor Sie das System produktiv setzen. Folgen Sie diesen Links, wenn Sie bereits ein Wildcard-Zertifikat besitzen oder Ihr bestehendes Zertifikat verlängern möchten.

Erforderliche Hilfsmittel

Keystore Explorer

Für die Vorbereitung des Keystores für Ihren Cryptshare Server empfehlen wir das kostenlose, Windows-basierte Tool „Keystore Explorer“. Mit diesem Tool können Sie den Keystore auf Ihrem Arbeitsplatzrechner vorbereiten und anschließend auf den Cryptshare Server kopieren. Sie können den KeyStore Explorer unter folgender URL herunterladen: http://keystore-explorer.org/downloads.html Das Tool kann für alle Verwaltungsaufgaben bezüglich eines SSL Zertifikates für Java verwendet werden. Dies gilt sowohl für die Zertifikate auf Windows Systemen, als auch für die auf Linux Systemen.

WinSCP (nur Linux-basierte Systeme)

Falls Sie eine Hardware Appliance, Virtual Appliance oder einen Linux-basierten, selbstinstallierten Cryptshare Server verwenden, empfehlen wir das Tool „WinSCP“ zum Kopieren der Keystore-Datei zwischen Ihrem Arbeitsplatzrechner und dem Cryptshare Server: https://winscp.net/eng/download.php#download2

PuTTY

Mittels PuTTY besteht die Möglichkeit, sich per SSH auf den Cryptshare Server zu verbinden und mit der Linux-Konsole zu arbeiten. PuTTY ist nur für Linux-basierte Systeme erforderlich (Virtual Appliance, Hardware Appliance oder selbstinstallierte Linux-Systeme). http://www.putty.org/


Erzeugen eines neuen Zertifikates mit einem Certificate Signing Request (CSR)

Sowohl für die Erstellung eines öffentlichen als auch eines privaten Zertifikates muss ein 'Certificate Signing Request' (CSR) erstellt werden. Im Falle eines öffentlichen Zertifikates muss der CSR an den Zertifikatsanbieter übertragen werden, damit dieser das Zertifikat für Sie erstellen kann. Zum Erstellen des Requests gehen Sie wie folgt vor:

  • Starten Sie Keystore Explorer auf Ihrem Arbeitsplatzrechner.
  • Legen Sie einen neuen Keystore auf Ihrem Arbeitsplatzrechner an.

18945994.png

  • Wählen Sie „JKS“ als KeyStore Typ aus

18945992.png

  • Erzeugen Sie ein Schüsselpaar. Wählen Sie als Verschlüsselungsalgorithmus „RSA“ aus. Die zu verwendenden Schlüssellänge ist abhängig von den Vorgaben Ihres Zertifikatsanbieters. Üblicherweise werden mindestens 2048 bit verlangt.
    • Machen Sie die erforderlichen Angaben, wie in den folgenden Screenshots beispielhaft abgebildet.
    • Weitere optionale Angaben können frei gelassen werden.

18945990.png

  • Machen Sie die erforderlichen Angaben, wie in den folgenden Screenshots beispielhaft abgebildet.

Weitere optionale Angaben können frei gelassen werden.

Die Angaben, die bei der Erstellung des Requests gemacht werden, sollten mit dem whois Eintrag (https://www.denic.de/webwhois') des Erstellers übereinstimmen.


Der 'Common Name' oder 'Name' muss mit der Host Adresse des Servers übereinstimmen (z.B. 'cryptshare.befine-solutions.com'). Eine fehlerhafte Angabe kann zu einem Zertifikatsfehler führen'.


Als Alias tragen Sie unbedingt den folgenden Text ein:

com.befinesolutions.cryptshare.server

Wird ein anderer Alias gewählt, so ist das Zertifikat für Cryptshare nicht identifizierbar und ein Start des Cryptshare-Servers wird fehlschlagen.


18945989.png

  • Geben Sie das Passwort „CA0AZhuFM4NogQh“ ein. 

Es handelt sich hier um ein Default-Passwort, das im Auslieferungszustand des Systems verwendet werden muss. Eine Beschreibung, wie das Passwort verändert werden kann, entnehmen Sie bitte dem Abschnitt 'Ändern von SSL Passwörtern' im Kapitel Webserver Konfiguration - SSL Konfiguration.

  • Speichern Sie nun den erzeugten Keystore auf Ihre Festplatte. Beim Speichern verwenden Sie bitte das gleiche Passwort wie für das Zertifikat („CA0AZhuFM4NogQh“).

18945993.png

  • Speichern Sie nun den erzeugten Keystore auf Ihre Festplatte. Beim Speichern verwenden Sie bitte das gleiche Passwort wie für das Zertifikat („CA0AZhuFM4NogQh“).

18945997.png

  • Klicken Sie im Hauptbildschirm des Keystore Explorer mit der rechten Maustaste auf das soeben erstellte Zertifikat
  • Wählen Sie die Option „Generate CSR“ um einen Certificate Signing Request für Ihren Cryptshare Server zu erzeugen.

Die zu verwendenden Optionen sind abhängig von den Vorgaben des Zertifikatserstellers. Der Screenshot zeigt die gängigsten Einstellungen für diesen Vorgang.

18945985.png

Öffentliches SSL Zertifikat

Ein öffentliches Zertifikat kann mit dem soeben erzeugten CSR von einer kommerziellen Zertifizierungsstelle ausgestellt werden. Bitte stellen Sie dem Zertifikatsersteller den CSR zur Verfügung. Das Verfahren hierfür variiert je nach Anbieter.

Privates SSL Zertifikat

Durch die Erstellung des CSRs wurde bereits ein privates SSL Zertifikat erzeugt und im Keystore hinterlegt.


Installation eines öffentlichen Zertifikates im Cryptshare Server Keystore

Wenn Sie das öffentliche Zertifikat der öffentlichen Zertifizierungsstelle erhalten haben, müssen Sie dieses anschließend im Keystore des Cryptshare Servers hinterlegen. Gehen Sie hierzu bitte wie folgt vor:

  • Öffnen Sie den Keystore Explorer
  • Öffnen Sie den Cryptshare Server Keystore

18945995.png

  • Klicken Sie mit der rechten Maustaste auf das Zertifikat des Cryptshare Servers
  • Wählen Sie die Option 'Import CA Reply'

18945991.png

  • Geben Sie das Kennwort 'CA0AZhuFM4NogQh' im darauf folgenden Dialog an
Bitte beachten Sie
Es handelt sich hier um das Default-Passwort, das im Auslieferungszustand des Systems verwendet werden muss. Eine Beschreibung, wie das Passwort verändert werden kann, entnehmen Sie bitte dem Abschnitt 'Ändern von SSL Passwörtern' im Kapitel Webserver Konfiguration - SSL Konfiguration.


18945998.png

  • Wählen Sie das Zertifikat welches Sie von der offiziellen Zertifizierungsstelle erhalten haben aus.

18945996.png

Vervollständigen Sie die Zertifikatskette bis zum root-Zertifikat.

Beachten Sie bitte, dass bei einer unvollständingen Zertifikatkette in einigen Browsern immer noch eine Sicherheitsmeldung erscheinen kann die einen manuellen Eingriff erfordert.

Daher sollte sichergestellt sein, dass alle Intermediate-Zertifikate sowie das Root-Zertifikat in der korrekten Reihenfolge in die Zertifikatskette eingefügt sind.

Das Client Zertifikat (Server) --> Intermediate(s) (Zwischenzertifikate) --> Wurzelzertifikat


  • Klicken Sie mit der rechten Maustaste auf das Zertifikat des Cryptshare Servers
  • Wählen Sie die Option 'Edit Certificate Chain'  --> 'Append Certificate...'

  • Bestätigen Sie die darauf folgenden Abfragen des Tools. Diese können je nach Art des zu importierenden Zertifikates unterschiedlich ausfallen.
  • Speichern Sie den Keystore
  • Fahren Sie mit dem folgenden Abschnitt 'Installation des Keystores auf dem Cryptshare Server' fort.

4325979.png


Installation des Keystores auf dem Cryptshare Server

Hardware Appliance und Virtual Appliance

  • Starten Sie WinSCP
  • Erstellen Sie eine neue Verbindung, indem Sie auf „New“ klicken.

18946010.png

  • Stellen Sie die Optionen wie im Screenshot dargestellt ein.
    • Als Hostname verwenden Sie die URL Ihres Cryptshare Servers.
    • Das Passwort für den Benutzer „root“ haben Sie bei der Auslieferung der Hardware Appliance bzw. der Virtuellen Maschine von uns erhalten.
    • Klicken Sie auf „Login“, um sich an Ihrem Cryptshare Server anzumelden und die Verbindung aufzubauen.

18946009.png

  • Ziehen Sie den Keystore mit der Maus auf Ihren Cryptshare Server in das Verzeichnis '/opt/cryptshare-3/lib/security/'. Standardmäßig wird das Home-Verzeichnis des Root Users angezeigt '/root'.

4325998.png

Der Keystore liegt nun auf dem Cryptshare Server. Nun haben Sie mehrere Möglichkeiten um den Cryptshareservice neu zu starten:

Via Administrationsinterface:

  • Öffnen Sie das Administrationsinterface des Cryptshareservers in einem Browser

https://<Adresse Ihres Cryptshareservers>:8080

  • melden Sie sich mit einem Administratorkonto an
  • gehen Sie auf die Seite "System-Einstellungen" (oberes Menu)
  • klicken Sie auf Änderungen speichern

Via Konsole:

  • Verbinden Sie sich nun per PuTTY auf die Linux-Konsole des Cryptshare Servers.
    • Starten Sie PuTTY
    • Geben Sie die URL Ihres Cryptshare Servers ein.
    • Klicken Sie auf „Open“.

18946002.png

Sie sehen nun die Linux-Konsole.

  • Geben Sie „root“ in die Zeile „login as“ ein, um sich als Root-Benutzer anzumelden.
  • Das System fragt dann das Passwort des Benutzers „root“ an. Dieses Passwort haben Sie von uns im Rahmen der Auslieferung der Virtual Appliance bzw. Hardware Appliance erhalten.

Bitte beachten Sie, dass während der Eingabe des Passwortes dieses nicht am Bildschirm angezeigt wird und auch keine Platzhalter (*) für die eingegebenen Zeichen dargestellt werden.

  • Geben Sie das Kommando 'rccryptshare restart' ein, um den Cryptshare Dienst neu zu starten.

18946001.png

Selbstinstallierte Systeme

Linux-basierte Systeme

  • Starten Sie WinSCP
  • Erstellen Sie eine neue Verbindung, indem Sie auf „New“ klicken.

18946010.png

  • Stellen Sie die Optionen wie im Screenshot dargestellt ein.
    • Als Hostname verwenden Sie die URL Ihres Cryptshare Servers.
    • Klicken Sie auf „Login“, um sich an Ihrem Cryptshare Server anzumelden und die Verbindung aufzubauen.

18946009.png

  • Ziehen Sie den Keystore mit der Maus auf Ihren Cryptshare Server.

Standardmäßig wird das Home-Verzeichnis des Root Users angezeigt.

4325998.png

Der Keystore liegt nun auf dem Cryptshare Server.

  • Verbinden Sie sich nun per PuTTY auf die Linux-Konsole des Cryptshare Servers.
    • Starten Sie PuTTY und geben Sie die URL Ihres Cryptshare Servers ein.
    • Klicken Sie dann auf „Open“.

18946002.png

Sie sehen nun die Linux-Konsole.

  • Geben Sie „root“ in die Zeile „login as“ ein, um sich als Root-Benutzer anzumelden.
  • Das System fragt das Passwort des Benutzers „root“ an.

Dieses Passwort haben Sie von uns im Rahmen der Auslieferung der Virtual Appliance bzw. Hardware Appliance erhalten. Bitte beachten Sie, dass während der Eingabe des Passwortes dieses nicht am Bildschirm angezeigt wird und auch keine Platzhalter (\*) für die eingegebenen Zeichen dargestellt werden.

  • Führen Sie folgende Kommandos aus
    • mv keystore /opt/cryptshare-3/lib/security/
    • chown csuser:csgroup /opt/cryptshare-3/lib/security/keystore
    • Starten Sie den Cryptshare Service neu

18946001.png

Windows-basierte Systeme (selbstinstalliert)

  • Speichern Sie den zuvor erstellten Keystore im Unterverzeichnis ‚lib/security‘ Ihrer Cryptshare Installation.
  • Staren Sie den Cryptshare Dienst ‚CryptshareService‘ neu.

Linux-basierte Systeme (manuelle Installation)

  • Speichern Sie den zuvor erstellten Keystore im Unterverzeichnis 'lib/security' of your Cryptshare Installation.
  • Starten Sie den Cryptshare Dienst neu über systemctl <start|stop|restart> cryptshare