# Sichern der Kommunikation mit Zertifikaten von Drittanbietern

Jedes Unternehmen muss die Daten verschlüsseln, die über das Internet übertragen werden. Unternehmen sind noch einen Schritt weiter gegangen als nur sichere Kommunikationsmethoden zur Übertragung von Unternehmensdaten zu verwenden, indem sie spezielle Zertifikate von Drittanbietern wie SSL erwerben. Diese Zertifikate von Drittanbietern stellen sicher, dass die Unternehmensdaten so verschlüsselt werden, dass nur der Empfänger, der das Zertifikat besitzt, sie entschlüsseln kann. Central Server unterstützt die Verwendung von SSL-Zertifikaten, die in verschiedenen Dateitypen wie PFX, CER, CRT vorliegen. Das Hinzufügen dieser Zertifikate sichert die Kommunikation zwischen dem Central-Server, verwalteten Computern und Mobilgeräten.

> **Hinweis:** Dieses Zertifikat ist für eine bestimmte Laufzeit gültig. Wenn das Zertifikat abläuft, ist die Kommunikation zwischen dem Agenten und dem Server nicht länger sicher. **Sie können keine Mobilgeräte mehr verwalten, bis Sie die Zertifikate erneuern und auf den Central-Server hochladen.**

**Hinweis:** Die laufende Kommunikation zwischen den Agenten und dem Server wird nicht beeinträchtigt, wenn Sie ein SSL-Zertifikat eines Drittanbieters hochladen. Vertrauenswürdige Drittanbieter von Zertifikaten haben Root-Zertifikate bereits auf Betriebssystemen vorinstalliert. Diese Root-Zertifikate werden vom Agentencomputer verwendet, um nach dem Import des Drittanbieter-Zertifikats eine sichere Verbindung mit dem Server herzustellen. Dadurch wird die bestehende Kommunikation ohne Unterbrechung fortgesetzt und zusätzlich durch das Drittanbieter-Zertifikat abgesichert.

Führen Sie die unten genannten Schritte aus, um Zertifikate von Drittanbietern zu erstellen/zu erneuern und hochzuladen:

1. [CSR- und Schlüsseldateien erstellen](#1-csr--und-schlüsseldateien-erstellen)  
2. [CSR an eine Zertifizierungsstelle (CA) senden, um ein von der CA signiertes Zertifikat zu erhalten](#2-senden-sie-die-csr-an-eine-zertifizierungsstelle-ca-um-ein-von-der-ca-signiertes-zertifikat-zu-erhalten)  
3. [Zertifikate von Drittanbietern auf Central Server hochladen](#3-zertifikate-von-drittanbietern-auf-central-server-hochladen)

## 1. CSR- und Schlüsseldateien erstellen

Für Central Server Version **11.1.2242.01** und höher:

1. Es wird empfohlen, vor Beginn dieses Vorgangs eine Sicherung Ihrer vorhandenen Dateien `server.key` und `server.csr` zu erstellen. Diese Dateien werden während dieses Vorgangs überschrieben.
   - Navigieren Sie zu `<Server_Installed_Directory>/nginx/conf` für die Datei `server.key`.
   - Navigieren Sie zu `<Server_Installed_Directory>/bin` für die Datei `server.csr` (falls zuvor erstellt).
2. Navigieren Sie in der Eingabeaufforderung mit Administratorrechten zu `<Server_Installed_Directory>/bin` und führen Sie die Datei `generateCSR.bat` aus.
3. `generateCSR.bat` führt zwei Vorgänge aus:
   - Erstellen der Dateien `.csr` und `.key`
   - Entschlüsseln von `.key`-Dateien
4. Geben Sie **1** ein, um mit der Generierung der Dateien `.csr` und `.key` fortzufahren.
5. Geben Sie den Ländercode anhand dieses Dokuments ein:  
   https://www.digicert.com/kb/ssl-certificate-country-codes.htm  
   (Hinweis: Führen Sie die Batch-Datei erneut aus, wenn Sie den falschen Ländercode eingegeben haben.)
6. Geben Sie die erforderlichen Details für die Generierung der Datei `.csr` ein (Bundesland, Ort, Organisation, Organisationseinheit, allgemeiner Name, alternative Antragstellernamen – durch Kommas getrennt).
7. Sie haben die Dateien `server.csr` und `server.key` erfolgreich unter `<Server_Installed_Directory>/bin` erstellt.

Für Central Server Versionen **unter 11.1.2242.01**:

1. Navigieren Sie zum Server-Installationsverzeichnis und öffnen Sie `\bin`.
2. Führen Sie den Befehl **generateCSR.bat** in einer Eingabeaufforderung mit Administratorrechten aus.
3. Geben Sie in den angezeigten Eingabeaufforderungen den zweistelligen Ländercode neben **countryName** ein. Den zweistelligen Ländercode Ihres Landes finden Sie hier:  
   https://www.digicert.com/kb/ssl-certificate-country-codes.htm
4. Geben Sie neben **localityName** den Namen Ihres Ortes ein. Geben Sie neben **organizationName** den Namen Ihrer Organisation an.
5. Geben Sie neben **commonName** den Namen Ihrer Website oder Domain ein. Der FQDN des Webservers (der Hostname), der das Zertifikat erhält, ist der **Common Name**. Geben Sie folgende Details nicht ein:
   - Protokoll (http:// oder https://)
   - Portnummern oder Pfadnamen
6. Geben Sie den Subject Alternative Name (SAN) Ihrer Website ein. Sie müssen zum Beenden der Befehlsausführung die Eingabetaste drücken und dabei ein Leerzeichen freilassen.

   Beispiel:
   ```
   *.domain.com
   manageengine.com
   ems.com
   desktopcentral.com
   ```

7. Dateien mit den Namen **server.csr** und **private.key** werden im Verzeichnis `server installation directory\bin` abgelegt.
8. Navigieren Sie zum Server-Installationsverzeichnis und öffnen Sie `\apache\bin`. Erstellen Sie eine Datei mit dem Namen **opensslsan.conf** und kopieren Sie den folgenden Code in die Datei:

   ```
   [ req ]
   prompt=no
   default_bits = 2048
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   [ req_distinguished_name ]
   countryName =
   stateOrProvinceName =
   localityName =
   organizationName =
   commonName =
   [ req_ext ]
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 =
   DNS.2 =
   DNS.3 =
   ```

9. Geben Sie im Code den zweistelligen Ländercode neben **countryName** ein. Ländercodes:  
   https://www.digicert.com/kb/ssl-certificate-country-codes.htm
10. Geben Sie den vollständigen Namen Ihres Bundeslandes oder Ihrer Provinz neben **stateOrProvinceName** ein.
11. Geben Sie neben **localityName** den Namen Ihres Ortes ein. Geben Sie neben **organizationName** den Namen Ihrer Organisation an.
12. Geben Sie neben **commonName** den Namen Ihrer Website oder Domain ein (keine Protokolle, Ports oder Pfade).
13. Geben Sie den **Subject Alternative Name (SAN)** Ihrer Website neben **DNS.1**, **DNS.2** usw. ein. Sie können weitere SANs hinzufügen (DNS.4, DNS.5 usw.).

   Beispiel:
   ```
   [ req ]
   prompt=no
   default_bits = 2048
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   [ req_distinguished_name ]
   countryName = IN
   stateOrProvinceName = TN
   localityName = Chennai
   organizationName = Zylker
   commonName = www.zylker.com
   [ req_ext ]
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 = *.zylker-tech.com
   DNS.2 = zylker-it.com
   DNS.3 = zylkerteam.com
   ```

14. Speichern Sie die Datei und navigieren Sie in der Eingabeaufforderung zum Verzeichnis `\apache\bin`.
15. Führen Sie folgenden Befehl aus:

   ```
   openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf
   ```

16. Dateien mit den Namen **server.csr** und **private.key** werden unter `<Server_Installed_Directory>/bin` und im Verzeichnis `\apache\bin` erstellt.
17. Zur Überprüfung der Details verwenden Sie:

   ```
   openssl.exe req -in server.csr -noout -text -config ..\conf\openssl.cnf
   ```

**Hinweis:** Löschen Sie die Datei `private.key` unter keinen Umständen.

## 2. Senden Sie die CSR an eine Zertifizierungsstelle (CA), um ein von der CA signiertes Zertifikat zu erhalten

1. Senden Sie die erstellte **server.csr** an eine Zertifizierungsstelle. Informationen zum Einreichen von CSRs finden Sie in deren Dokumentation/Website. Dabei fallen Kosten an.
2. Dieser Vorgang dauert in der Regel einige Tage. Sie erhalten Ihr signiertes SSL-Zertifikat sowie das Ketten-/Zwischenzertifikat der CA als `.cer`-Dateien zurück.
3. Speichern Sie diese Dateien und benennen Sie Ihre signierte SSL-Zertifikatsdatei in **server.crt** um.

**Hinweis:**

- Die Gültigkeitsdauer des Zertifikats sollte weniger als 397 Tage betragen.
- Im Central-Server werden nur RSA-Schlüssel unterstützt.

## 3. Zertifikate von Drittanbietern auf Central Server hochladen

1. Klicken Sie in der Produktkonsole auf die Registerkarte **Admin**.
2. Klicken Sie unter **Sicherheitseinstellungen** auf **SSL-Zertifikate verwalten**.
3. Wählen Sie das Zertifikat aus, das Sie vom Anbieter (CA) erhalten haben, und laden Sie es hoch.  
   - Für SSL: Format **.crt**  
   - Für PFX-Zertifikate: Format **.pfx**

   1. Wenn Sie eine `.crt`-Datei hochladen, werden Sie aufgefordert, die Datei `server.key` hochzuladen. Nach dem Hochladen von **private.key** werden Sie aufgefordert, das Zwischenzertifikat hochzuladen.  
      - Wenn Sie **Automatisch** wählen, wird das Zwischenzertifikat automatisch erkannt (nur ein Zertifikat).  
      - Wenn Sie Ihr eigenes Zwischenzertifikat verwenden oder mehr als ein Zwischenzertifikat hochladen möchten, wählen Sie **Manuell** und laden Sie diese manuell hoch.
   2. Wenn Sie eine `.pfx`-Datei hochladen, werden Sie aufgefordert, das vom Anbieter bereitgestellte Passwort einzugeben.

4. Klicken Sie auf **Speichern**, um das Zertifikat zu importieren.

**Hinweis:** Sie müssen den Central-Server-Dienst nach dem Import des Zertifikats neu starten, damit der Webserver das neu importierte Zertifikat laden kann.

Sie haben die Zertifikate von Drittanbietern erfolgreich auf den Central-Server importiert. Diese Zertifikate werden nur verwendet, wenn der Modus **HTTPS** für die Kommunikation aktiviert ist. Klicken Sie auf die Registerkarte **Admin** und wählen Sie **Servereinstellungen**, um den Modus **HTTPS** unter **Allgemeine Einstellungen** zu aktivieren. Sie können nun sehen, dass die Kommunikation zwischen dem Server und den Agenten sicher ist.

> Stellen Sie sicher, dass die `.pfx`-Datei oder die `.cert`-Datei mit der im Central-Server angegebenen NAT-Adresse übereinstimmt. Wenn Central Server und der ServiceDesk Plus-Server auf demselben Computer installiert sind, funktioniert dieselbe `.pfx`-Datei. Wenn der ServiceDesk Plus-Server in diesem Fall auf einen anderen Computer verschoben wird, muss die `.pfx`-Datei angepasst werden, um den entsprechenden Hostnamen anzugeben.