Startseite » Absicherung der Kommunikation mit Zertifikaten von Drittanbietern

Sichern der Kommunikation mit Zertifikaten von Drittanbietern

Jedes Unternehmen muss die Daten verschlüsseln, die über das Internet übertragen werden. Unternehmen sind noch einen Schritt weiter gegangen als nur sichere Kommunikationsmethoden zur Übertragung von Unternehmensdaten zu verwenden, indem sie spezielle Zertifikate von Drittanbietern wie SSL erwerben. Diese Zertifikate von Drittanbietern stellen sicher, dass die Unternehmensdaten so verschlüsselt werden, dass nur der Empfänger, der das Zertifikat besitzt, sie entschlüsseln kann. Central Server unterstützt die Verwendung von SSL-Zertifikaten, die in verschiedenen Dateitypen wie PFX, CER, CRT vorliegen. Das Hinzufügen dieser Zertifikate sichert die Kommunikation zwischen dem Central-Server, verwalteten Computern und Mobilgeräten.

Dieses Zertifikat ist für eine bestimmte Laufzeit gültig. Wenn das Zertifikat abläuft, ist die Kommunikation zwischen dem Agenten und dem Server nicht länger sicher. Sie können keine Mobilgeräte mehr verwalten, bis Sie die Zertifikate erneuern und auf den Central-Server hochladen.

Hinweis: Die laufende Kommunikation zwischen den Agenten und dem Server wird nicht beeinträchtigt, wenn Sie ein SSL-Zertifikat eines Drittanbieters hochladen. Vertrauenswürdige Drittanbieter von Zertifikaten haben Root-Zertifikate bereits auf Betriebssystemen vorinstalliert. Diese Root-Zertifikate werden vom Agentencomputer verwendet, um nach dem Import des Drittanbieter-Zertifikats eine sichere Verbindung mit dem Server herzustellen. Dadurch wird die bestehende Kommunikation ohne Unterbrechung fortgesetzt und zusätzlich durch das Drittanbieter-Zertifikat abgesichert.

Führen Sie die unten genannten Schritte aus, um Zertifikate von Drittanbietern zu erstellen/zu erneuern und hochzuladen:

  1. CSR- und Schlüsseldateien erstellen
  2. CSR an eine Zertifizierungsstelle (CA) senden, um ein von der CA signiertes Zertifikat zu erhalten
  3. Zertifikate von Drittanbietern auf Central Server hochladen

1. CSR- und Schlüsseldateien erstellen

Für Central Server Version 11.1.2242.01 und höher, 

  1. Es wird empfohlen, vor Beginn dieses Vorgangs eine Sicherung Ihrer vorhandenen Dateien server.key und server.csr zu erstellen. Diese Dateien werden während dieses Vorgangs überschrieben.
    • Navigieren Sie zu <Server_Installed_Directory>/nginx/conf für die Datei server.key.
    • Navigieren Sie zu <Server_Installed_Directory>/bin für die Datei server.csr (falls zuvor erstellt).
  2. Navigieren Sie in der Eingabeaufforderung mit Administratorrechten zu <Server_Installed_Directory>/bin und führen Sie die Datei generateCSR.bat aus.
  3. generateCSR.bat führt zwei Vorgänge aus:
    • Erstellen der Dateien .csr und .key
    • Entschlüsseln von .key-Dateien
  4. Geben Sie 1 ein, um mit der Generierung der Dateien .csr und .key fortzufahren.
  5. Geben Sie den Ländercode anhand dieses Dokuments ein. [Hinweis: Führen Sie die Batch-Datei erneut aus, wenn Sie den falschen Ländercode eingegeben haben]
  6. Geben Sie die erforderlichen Details für die Generierung der Datei .csr ein. [Bundesland, Ort, Organisation, Organisationseinheit, allgemeiner Name, alternative Antragstellernamen (durch Kommas getrennt)]   
  7. Sie haben die Dateien server.csr und server.key erfolgreich unter <Server_Installed_Directory>/bin erstellt.

Für Central Server Versionen unter 11.1.2242.01

  1. Navigieren Sie zum Server-Installationsverzeichnis und öffnen Sie \bin.
  2. Führen Sie den Befehl generateCSR.bat in einer Eingabeaufforderung mit Administratorrechten aus.
  3. Geben Sie nun in den angezeigten Eingabeaufforderungen den zweistelligen Ländercode neben countryName ein. Den zweistelligen Ländercode Ihres Landes finden Sie hier.
  4. Geben Sie neben localityName den Namen Ihres Ortes ein. Geben Sie neben organizationName den Namen Ihrer Organisation an.
  5. Geben Sie neben commonName den Namen Ihrer Website oder Domain ein. Der FQDN des Webservers (der Hostname), der das Zertifikat erhält, ist der Common Name. Geben Sie die folgenden Details nicht ein, wenn Sie den Common Name angeben:
    -> Protokoll (http:// oder https://)
    -> Portnummern oder Pfadnamen
  6. Geben Sie den Subject Alternative Name (SAN) Ihrer Website ein. Sie müssen zum Beenden der Befehlsausführung die Eingabetaste drücken und dabei ein Leerzeichen freilassen.
    Hier ist ein Beispiel :-
    *.domain.com
    manageengine.com
    ems.com
    desktopcentral.com
  7. Dateien mit den Namen server.csr und private.key werden erstellt und im Verzeichnis server installation directory\bin abgelegt.

  8. Navigieren Sie zum Server-Installationsverzeichnis und öffnen Sie \apache\bin, erstellen Sie eine Datei mit dem Namen opensslsan.conf und kopieren Sie den folgenden Code in die Datei:
     

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = 
    stateOrProvinceName = 
    localityName = 
    organizationName = 
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = 
    DNS.2 = 
    DNS.3 = 

  9. Geben Sie nun im Code den zweistelligen Ländercode neben countryName ein. Den zweistelligen Ländercode Ihres Landes finden Sie hier.
  10. Geben Sie anschließend den vollständigen Namen Ihres Bundeslandes oder Ihrer Provinz neben stateOrProvinceName ein.
  11. Geben Sie neben localityName den Namen Ihres Ortes ein. Geben Sie neben organizationName den Namen Ihrer Organisation an.
  12. Geben Sie neben commonName den Namen Ihrer Website oder Domain ein. Der FQDN des Webservers (der Hostname), der das Zertifikat erhält, ist der Common Name. Geben Sie die folgenden Details nicht ein, wenn Sie den Common Name angeben:
    -> Protokoll (http:// oder https://)
    -> Portnummern oder Pfadnamen

  13. Geben Sie den Subject Alternative Name (SAN) Ihrer Website nacheinander neben DNS.1, DNS.2 usw. im Code ein. Sie können viele SANs für ein einzelnes Zertifikat haben. Sie können weitere SANs hinzufügen, indem Sie am Ende des Codes DNS.4, DNS.5 usw. ergänzen. Hier ist ein Beispiel:
     

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = IN
    stateOrProvinceName = TN
    localityName = Chennai
    organizationName = Zylker
    commonName = www.zylker.com
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = *.zylker-tech.com
    DNS.2 = zylker-it.com
    DNS.3 = zylkerteam.com
     

  14. Speichern Sie die Datei, wechseln Sie zur Eingabeaufforderung und navigieren Sie zum Server-Installationsverzeichnis und öffnen Sie \apache\bin-Verzeichnis.
  15. Führen Sie den Befehl openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf aus.
  16. Dateien mit den Namen server.csr und private.key werden unter <Server_Installed_Directory>/bin und im Verzeichnis \apache\bin erstellt.
  17. Zur Überprüfung der Details verwenden Sie den Befehl openssl.exe req -in server.csr -noout -text -config ..\conf\openssl.cnf.

Hinweis: Löschen Sie die Datei private.key unter keinen Umständen.

2. Senden Sie die CSR an eine Zertifizierungsstelle (CA), um ein von der CA signiertes Zertifikat zu erhalten

  1. Senden Sie die erstellte server.csr an Zertifizierungsstellen. Informationen zum Einreichen von CSRs finden Sie in deren Dokumentation/Website; dabei fallen Kosten an, die an die CA zu zahlen sind.
  2. Dieser Vorgang dauert in der Regel einige Tage, und Sie erhalten Ihr signiertes SSL-Zertifikat sowie das Ketten-/Zwischenzertifikat der CA als .cer-Dateien zurück.
  3. Speichern Sie diese Dateien und benennen Sie Ihre signierte SSL-Zertifikatsdatei in server.crt um.

Hinweis: 

  • Die Gültigkeitsdauer des Zertifikats sollte weniger als 397 Tage betragen.
  • Im Central-Server werden nur RSA-Schlüssel unterstützt.

3. Zertifikate von Drittanbietern auf Central Server hochladen

  1. Klicken Sie in der Produktkonsole auf die Registerkarte Admin
  2. Klicken Sie unter Sicherheitseinstellungen auf SSL-Zertifikate verwalten
  3. Wählen Sie das Zertifikat aus, das Sie vom Anbieter (CA) erhalten haben, und laden Sie es hoch. Das Zertifikat liegt für SSL im Format .crt und für PFX-Zertifikate im Format .pfx vor.
    1. Wenn Sie eine .crt-Datei hochladen, werden Sie aufgefordert, die Datei server.key hochzuladen.  Nach dem Hochladen von private.key werden Sie aufgefordert, das Zwischenzertifikat hochzuladen. Wenn Sie Automatisch wählen, wird das Zwischenzertifikatautomatisch erkannt. Wenn das Zwischenzertifikat jedoch automatisch erkannt wird, wird nur ein Zertifikat erkannt. Wenn Sie Ihr eigenes Zwischenzertifikat verwenden oder mehr als ein Zwischenzertifikat hochladen möchten, müssen SieManuellwählen und diese manuell hochladen.
    2. Wenn Sie eine .pfx-Datei hochladen, werden Sie aufgefordert, das vom Anbieter bereitgestellte Passwort einzugeben.
  4. Klicken Sie auf Speichern, um das Zertifikat zu importieren.

Hinweis: Sie müssen den Central-Server-Dienst nach dem Import des Zertifikats neu starten, damit der Webserver das neu importierte Zertifikat laden kann.

Sie haben die Zertifikate von Drittanbietern erfolgreich auf den Central-Server importiert. Diese Zertifikate werden nur verwendet, wenn der Modus „HTTPS“ für die Kommunikation aktiviert ist. Klicken Sie auf die Registerkarte Admin und wählen Sie Servereinstellungen, um den Modus https unter Allgemeine Einstellungen zu aktivieren. Sie können nun sehen, dass die Kommunikation zwischen dem Server und den Agenten sicher ist.

Stellen Sie sicher, dass die pfx-Datei oder die .cert-Datei mit der im Central-Server angegebenen NAT-Adresse übereinstimmt. Wenn Central Server und der ServiceDesk Plus-Server auf demselben Computer installiert sind, funktioniert dieselbe pfx-Datei. Wenn der ServiceDesk Plus-Server im oben aufgeführten Fall auf einen anderen Computer verschoben wird, muss die pfx-Datei angepasst werden, um den entsprechenden Hostnamen anzugeben.

 

Vertraut von