Wie werden selbstsignierte Zertifikate installiert?

Selbstsignierte (Internal CA) SSL-Zertifikate für ADSelfService Plus können in fünf Schritten angewendet werden. Diese sind:

Schritt 1: SSL in ADSelfService Plus aktivieren

  • Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.
  • Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. [Siehe]
  • Aktivieren Sie das Kontrollkästchen zum SSL-Port (HTTPS)(„ADSelfService Plus Port [https]“).
  • Klicken Sie auf Speichern und starten Sie ADSelfService Plus neu.
  • Hinweis: Der Standard-Port für HTTPS-Verbindungen in unserer Applikation lautet 9251.

Schritt 2: CSR-Datei erzeugen

  • Starten Sie ADSelfService Plus und melden Sie sich als Administrator an.
  • Gehen Sie erneut zu Admin > Produkteinstellungen > Verbindung.
  • Klicken Sie auf „Bestätige SSL Zertifikat“ und wählen Sie oben „Generate Certificate“ aus.
  • Füllen Sie alle Pflichtfelder des nun geöffneten Formulars zur SSL-Zertifizierung aus. [siehe Abbildung]
  • Geben Sie bei Bedarf einen Wert für die Gültigkeit des Zertifikats in Tagen an (optional).
  • Ändern Sie den Wert bei „Public Key Length“ auf 2048 Bit (Empfehlung).
  • Klicken Sie auf Generate CSR.
  • Es werden zwei Dateien mit den Namen SelfService.csr und SelfService.keystore erstellt.
  • Hinweis: Die beiden Dateien werden an unterschiedlichen Speicherorten abgelegt:
    • SelfService.csr at <Installationsordner>webapps\adssp \Certficates\SelfService.csr
    • SelfService.keystore at <Installationsordner>jre\bin

Schritt 3: CSR an Ihre Zertifizierungsstelle senden

  • Melden Sie sich bei Microsoft Certificate Services (https:\\server-name\certsrv) an.
  • Klicken Sie auf Ein Zertifikat anfordern > Erweiterte Zertifikatanforderung. (siehe Abbildung)
  • Klicken Sie auf „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.“
  • Fügen Sie den Inhalt Ihrer SelfService.csr-Datei in das Feld „Gespeicherte Anforderungen“ ein. (siehe Abbildung)
  • Wir empfehlen grundsätzlich, die CSR-Datei an ihrem nativen Speicherort mit einem Text-Editor (nicht in einem Browser) zu öffnen.
  • Achten Sie beim Kopieren des Inhalts der SelfService.csr-Datei darauf, dass kein zusätzliches Leerzeichen am Ende der Datei mitkopiert wird.
  • Wählen Sie bei Zertifikatvorlage „Webserver“ aus, klicken Sie auf Einsenden.
  • Wählen Sie „DER-codiert“ auf der nun angezeigten „Zertifikat wurde ausgestellt“-Seite. (siehe Abbildung)
    • Klicken Sie zum Download des Zertifikats im CER-Format auf Download des Zertifikats.
    • Klicken Sie zum Download des Zertifikats im P7B-Format auf Download der Zertifikatkette.
  • Legen Sie die Zertifikatsdateien im Ordner <Installationsordner>\jre\bin ab.
  • Hinweis: Sie können Zertifikate vom CER- in das P7B-Format umwandeln.

Schritt 4: CA-signierte interne Zertifikate in den KeyStore importieren

  • Öffnen Sie eine Eingabeaufforderung mit erhöhten Zugangsberechtigungen und gehen Sie zum Ordner <Installationsordner>\jre\bin.
  • Erstellen Sie eine Sicherungskopie der Datei SelfService.keystore.
  • Führen Sie folgenden Befehl zum Importieren des internen Zertifikats als KeyStore-Datei aus:
    • Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
  • Führen Sie folgenden Befehl aus, um die Root-Datei Ihres internen CA zur Liste vertrauenswürdiger CA in der Datei Java cacerts hinzuzufügen:
    • keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
  • Hinweis: Verwenden Sie bei der Installation eines Kettenzertifikats „changeit“ als Passwort.

Schritt 5: Zertifikat mit ADSelfService Plus verbinden

  • Kopieren Sie die Datei SelfService.Keystore in das Verzeichnis <Installationsordner>\conf.
  • Erstellen Sie Sicherungskopien der Dateien server.xml und web.xml.
  • Bearbeiten Sie die Datei server.xml (Speicherort: <Installationsordner>\conf), indem Sie dabei die Werte folgender SSL-Connector-Tags ersetzen:
    • „keystoreFile“ ersetzen Sie mit „./conf/SelfService.keystore“.
    • „keystorePass“ ersetzen Sie mit dem Passwort, das Sie bei der CSR-Erstellung eingegeben haben.
    • Beispiel: <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore-kennwort" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"> <connector>
  • Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.

Komplettlösung für Self-Service-Passwortverwaltung und Single Sign-On. Jetzt herunterladen.

  • Bitte geben Sie eine gültige E-Mail-Adresse ein.
  •  
  •  
    Wenn Sie auf „Holen Sie sich Ihre kostenlose Testversion“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here