Wie werden selbstsignierte Zertifikate installiert?

Selbstsignierte (Internal CA) SSL-Zertifikate für ADSelfService Plus können in fünf Schritten angewendet werden. Diese sind:

Schritt 1: SSL in ADSelfService Plus aktivieren

• Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.
• Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. [Siehe]
• Aktivieren Sie das Kontrollkästchen zum SSL-Port (HTTPS)(„ADSelfService Plus Port [https]“).
• Klicken Sie auf Speichern und starten Sie ADSelfService Plus neu.
• Hinweis: Der Standard-Port für HTTPS-Verbindungen in unserer Applikation lautet 9251.

Schritt 2: CSR-Datei erzeugen

• Starten Sie ADSelfService Plus und melden Sie sich als Administrator an.
• Gehen Sie erneut zu Admin > Produkteinstellungen > Verbindung.
• Klicken Sie auf „Bestätige SSL Zertifikat“ und wählen Sie oben „Generate Certificate“ aus.
• Füllen Sie alle Pflichtfelder des nun geöffneten Formulars zur SSL-Zertifizierung aus. [siehe Abbildung]
• Geben Sie bei Bedarf einen Wert für die Gültigkeit des Zertifikats in Tagen an (optional).
• Ändern Sie den Wert bei „Public Key Length“ auf 2048 Bit (Empfehlung).
• Klicken Sie auf Generate CSR.
• Es werden zwei Dateien mit den Namen SelfService.csr und SelfService.keystore erstellt.
• Hinweis: Die beiden Dateien werden an unterschiedlichen Speicherorten abgelegt:
  • SelfService.csr at <Installationsordner>webapps\adssp \Certficates\SelfService.csr
  • SelfService.keystore at <Installationsordner>jre\bin

Schritt 3: CSR an Ihre Zertifizierungsstelle senden

• Melden Sie sich bei Microsoft Certificate Services (https:\\server-name\certsrv) an.
• Klicken Sie auf Ein Zertifikat anfordern > Erweiterte Zertifikatanforderung. (siehe Abbildung)
• Klicken Sie auf „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.“
• Fügen Sie den Inhalt Ihrer SelfService.csr-Datei in das Feld „Gespeicherte Anforderungen“ ein. (siehe Abbildung)
• Wir empfehlen grundsätzlich, die CSR-Datei an ihrem nativen Speicherort mit einem Text-Editor (nicht in einem Browser) zu öffnen.
• Achten Sie beim Kopieren des Inhalts der SelfService.csr-Datei darauf, dass kein zusätzliches Leerzeichen am Ende der Datei mitkopiert wird.
• Wählen Sie bei Zertifikatvorlage „Webserver“ aus, klicken Sie auf Einsenden.
• Wählen Sie „DER-codiert“ auf der nun angezeigten „Zertifikat wurde ausgestellt“-Seite. (siehe Abbildung)
  • Klicken Sie zum Download des Zertifikats im CER-Format auf Download des Zertifikats.
  • Klicken Sie zum Download des Zertifikats im P7B-Format auf Download der Zertifikatkette.
• Legen Sie die Zertifikatsdateien im Ordner <Installationsordner>\jre\bin ab.
• Hinweis: Sie können Zertifikate vom CER- in das P7B-Format umwandeln.

Schritt 4: CA-signierte interne Zertifikate in den KeyStore importieren

• Öffnen Sie eine Eingabeaufforderung mit erhöhten Zugangsberechtigungen und gehen Sie zum Ordner <Installationsordner>\jre\bin.
• Erstellen Sie eine Sicherungskopie der Datei SelfService.keystore.
• Führen Sie folgenden Befehl zum Importieren des internen Zertifikats als KeyStore-Datei aus:
  • Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
• Führen Sie folgenden Befehl aus, um die Root-Datei Ihres internen CA zur Liste vertrauenswürdiger CA in der Datei Java cacerts hinzuzufügen:
  • keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
• Hinweis: Verwenden Sie bei der Installation eines Kettenzertifikats „changeit“ als Passwort.

Schritt 5: Zertifikat mit ADSelfService Plus verbinden

• Kopieren Sie die Datei SelfService.Keystore in das Verzeichnis <Installationsordner>\conf.
• Erstellen Sie Sicherungskopien der Dateien server.xml und web.xml.
• Bearbeiten Sie die Datei server.xml (Speicherort: <Installationsordner>\conf), indem Sie dabei die Werte folgender SSL-Connector-Tags ersetzen:
  • „keystoreFile“ ersetzen Sie mit „./conf/SelfService.keystore“.
  • „keystorePass“ ersetzen Sie mit dem Passwort, das Sie bei der CSR-Erstellung eingegeben haben.
  • Beispiel: <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore-kennwort" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"> <connector>
• Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.