Wie werden P7B-Zertifikate in ADSelfService Plus installiert?

Übersicht

Dieser Artikel zeigt Ihnen, wie Sie ein Einzeldomänen-Zertifikat (CER, CRT, P7B etc.) in ADSelfService Plus anwenden.

Konfigurationsschritte

Schritt 1: HTTPS in ADSelfService Plus aktivieren

enable-https-in-adselfservice-plus

Aktivieren Sie die HTTPS-Option bei den Verbindungseinstellungen.

  1. Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.
  2. Wechseln Sie zu Admin > Produkteinstellungen > Verbindung.
  3. Aktivieren Sie das Kontrollkästchen für den SSL-Port (HTTPS) „ADSelfService Plus Port [https]“.
  4. Klicken Sie auf Speichern.

Schritt 2: CSR erzeugen

Hinweis: Sofern Sie bereits ein SSL-Zertifikat besitzen, springen Sie zu Schritt 4.
  1. Klicken Sie auf die Schaltfläche „Bestätige SSL Zertifikat“.

    ssl-connection-settings

  2. Klicken Sie auf „Generate Certificate“ und füllen Sie alle benötigten Felder aus. Weitere Details finden Sie in der nachstehenden Tabelle:
    Common Name Der Name des Servers, auf dem ADSelfService Plus ausgeführt wird.
    SAN Name Die Namen zusätzlicher Hosts (Sites, IP-Adressen etc.), die durch das SSL-Zertifikat geschützt werden sollen.
    Organizational Unit Der Name der Abteilung, der im Zertifikat erscheinen soll.
    Organization Der offizielle Name Ihres Unternehmens.
    City Der Name der Stadt, wie er in der registrierten Anschrift Ihres Unternehmens angegeben ist.
    State/Province Das Bundesland/die Provinz, die in der registrierten Anschrift Ihres Unternehmens angegeben ist.
    Country Code Der aus zwei Buchstaben bestehende Ländercode des Landes, in dem sich Ihr Unternehmen befindet.
    Password Passwörter müssen mindestens 6 Zeichen lang sein. Je komplexer das Passwort, desto höher die Sicherheit.
    Validity (In days) Die Anzahl der Tage, die das Zertifikat gültig sein soll. Wenn kein Wert eingeben wird, werden 90 Tage festgelegt.
    Public Key Length (In bits) Die Länge des öffentlichen Schlüssels. Je länger der Schlüssel, desto sicherer. Die Standardgröße beträgt 1024 Bits und kann nur um Mehrfache von 64 erhöht werden.

    csr-generation

  3. 3. Wenn alle Details eingegeben wurden, klicken Sie auf die Schaltfläche „Generate CSR“.

Schritt 3: CSR-Datei an Ihre Zertifizierungsstelle sendeny

  • Wenn Sie auf die Schaltfläche „Generate CSR“ klicken, werden zwei Dateien – SelfService.csr und SelfService.keystore – erzeugt.
  • Die Datei SelfService.csr finden Sie im Ordner <Installationsordner>\webapps\adssp\certificates, die Datei SelfService.keystore im Ordner <Installationsordner>\jre\bin.
  • Übermitteln Sie die Datei SelfService.csr an Ihre Zertifizierungsstelle (CA)..

Schritt 4: CA-signierte Zertifikate zum KeyStore hinzufügen und mit ADSelfService Plus verknüpfen

Voraussetzungen: Wenn Ihr Zertifikat im CER-, CRT-, PEM- oder einem anderen Format vorliegt, wandeln Sie dies in das P7B-Format um. Informationen zum Umwandeln eines Zertifikates in das P7B-Format finden Sie weiter unten im Bereich „Anhang“.

  1. Sichern Sie die Dateien server.keystore, SelfService.p12, server.xml und web.xml im Ordner <Installationsordner>\conf (Standardspeicherort: C:\ManageEngine\ADSelfService Plus\conf).
  2. Kopieren Sie die Zertifikatsdatei (z. B. cert.P7B) in den Ordner <Installationsordner>\jre\bin (Standortspeicherort: C:\ManageEngine\ADSelfService Plus\jre\bin).
  3. Öffnen Sie eine Eingabeaufforderung und stellen Sie das Arbeitsverzeichnis auf den Ordner <Install_Directory>\jre\bin um.
  4. Führen Sie nun folgenden Befehl aus:
    keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore SelfService.keystore
    Hinweis: Ersetzen Sie vorher „cert.p7b“ mit dem Namen Ihrer P7B-Zertifikatsdatei.
  5. Kopieren Sie die Datei SelfService.keystore und fügen Sie diese in den Ordner <Installationsordner>\conf ein.
  6. Öffnen Sie die Datei server.xml im Ordner <Installationsordner>\conf mit einem Text-Editor. Scrollen Sie bis zum Ende der Datei; hier finden Sie ein Connector-Tag wie nachstehend.
    <Connector SSLEnabled="true"……
    />
  7. Ändern Sie die folgenden Eigenschaften:
    • Ersetzen Sie den Wert von keystoreFile mit ./conf/SelfService.keystore.
    • Ersetzen Sie den Wert von keystorePass mit dem Passwort, das Sie beim Erzeugen der ZSA für diese Zertifikatsdatei verwendet haben.
    • Löschen Sie die Eigenschaft keystoreType=PKCS12.
      Hinweis: Die keystoreType-Eigenschaft erscheint erst ab ADSelfService-Plus-Build 5701 im Connector-Tag. Bei früheren Versionen ignorieren Sie Schritt C.
  8. Beispiel: <Connector SSLEnabled="true" acceptCount="100" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/SelfService.keystore" keystorePass="********" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>

  9. Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.

Anhang

  1. Schritte zum Konvertieren einer Zertifikatsdatei der Formate CER, CRT oder PEM in das P7B-Format:
    • Doppelklicken Sie auf die Zertifikatsdatei; die Datei wird im Zertifikate-Fenster geöffnet.
    • Wählen Sie den Reiter „Details“, klicken Sie dann auf In Datei kopieren …

      certificate-details

    • Klicken Sie im nun geöffneten Zertifikatexport-Assistenten auf Weiter.
    • Wählen Sie die Option „Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)“, markieren Sie das Kontrollkästchen vor „Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“.

      p7b-certificate-conversion-wizard

    • Klicken Sie zur Auswahl eines Speicherortes für die Datei auf Durchsuchen, geben Sie dann den Dateinamen ein.
    • Prüfen Sie alles noch einmal nach und klicken Sie dann auf Fertigstellen.
  2. Bevorzugte Verschlüsselung für mehr Sicherheit in ADSelfService Plus

    ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_
    CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"

 
Höhepunkte

Kennwort-SB-Service

Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.

Eine Identität mit Einmalanmeldung

Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!

Kennwort-/Konto-Ablaufbenachrichtigung

Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.

Kennwortsynchronisierung

Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.

Erzwingung von Kennwortrichtlinien

Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.

Verzeichnis-Selbstaktualisierung und Unternehmensweite Suche

Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.