Infoclientverbindung via SSL - Neuerungen ab Version 6.2.2.6

<< Klicken um Inhaltsverzeichnis aufzurufen >>

Navigation:  Client Anwendungen > Der Cordaware Infoclient > Konfiguration > Infoclientverbindung via SSL >

Infoclientverbindung via SSL - Neuerungen ab Version 6.2.2.6

 

!!!Achtung!!!

 

Dieses Kapitel behandelt Themen für den Cordaware bestinformed Infoclient ab Version 6.2.2.6!

Die in diesem Kapitel gezeigten Beispiele können für den Infoclient bis Version 6.2.2.5 in dieser Form nicht verwendet werden. Weitere Infos zur Infoclientverbindung via SSL bis Clientversion 6.2.2.5 finden Sie hier.

 

 

Ab Cordaware bestinformed Infoclient Version 6.2.2.6 kann keine ungesicherte Verbindung vom Infoclient zum Infoserver hergestellt werden. Eine Clientverbindung zum Infoserver ist ausschließlich gesichert möglich.

 

 

Hinweis zu Infoclients ab Version 6.2.9.4:

 

Ab Infoclient Version 6.2.9.4 wird die Verbindung zwischen dem Infoclient und dem Infoserver via PSK Verschlüsselung aufgebaut. Das Einbinden eigener Zertifikate wird ab dieser Clientversion optional.

 

Bitte beachten Sie, dass zusätzlich der Infoserver in der Version 6.1.7.8 oder höher benötigt wird!

 

Die Konfiguration der PSK Verschlüsselung erfolgt automatisch und benötigt keine weitere Anpassung seitens des Administrators.

 

 

 

Filmklappe

 

Die Einrichtung der im Folgenden Kapitel erwähnten Funktionen steht Ihnen auch als Videotutorial zur Verfügung!

 

Das Tutorialvideo finden Sie im Videobereich des Cordaware Kundenportals

 

 

Vorgehensweise zum Einrichten der SSL gesicherten Clientverbindung unter Windows:

 

 

Um eine gesicherte Clientverbindung aufbauen zu können, wird ein gültiges SSL Zertifikat sowie der dazu gehörige Schlüssel im ".pem" Format benötigt. Sie können ein bereits vorhandenes Zertifikat für Ihren Server verwenden oder ein Zertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle ausstellen lassen.

 

Empfehlungen für den Schlüssel des Zertifikats:

 

- 4096 bit Verschlüsselung

- SHA 256

 

Nachdem Sie Cordaware bestinformed Version 6 mit dem Infoclient in der Version 6.2.2.6 oder höher installiert haben, gehen Sie wie folgt vor:

 

 

Einstellungen auf dem Client:

 

1.) Für den Infoclient spielen Sie zunächst Ihr Zertifikat als lokaler Computer auf Ihrem Rechner ein.

 

 

Hinweis:

 

In unserem Beispiel wird das Zertifikat manuell auf einem Client eingespielt.

 

In größeren Umgebungen werden Zertifikate meistens über Gruppenrichtlinien verteilt. Es muss nicht manuell an jedem Rechner ein Zertifikat eingespielt werden!

 

Öffnen Sie hierfür die Microsoft Management Konsole.

 

New_SSL1

 

Klicken Sie anschließend auf "Datei" > "Snap-In hinzufügen/entfernen..."

 

New_SSL2

 

Fügen Sie nun Zertifikate als lokaler Computer zu Ihren Snap-Ins hinzu.

 

New_SSL3

 

New_SSL10

 

New_SSL11

 

New_SSL4

 

Sie können nun Ihre vorhandenen Zertifikate von Vertrauenswürdigen Stammzertifizierungsstellen einsehen.

 

New_SSL5

 

Ihr Zertifikat für den Cordaware bestinformed Infoserver fügen Sie nun hier ein. Folgen Sie hierfür den Schritten des Zertifikatimport-Assistenten:

 

New_SSL6

 

New_SSL12

 

Wählen Sie nun Ihr Zertifikat aus, welches Sie importieren möchten.

 

New_SSL13

 

Speichern Sie Ihr Zertifikat nun in den Vertrauenswürdigen Stammzertifizierungsstellen. Nach einem Klick auf "Weiter" können Sie nochmals Ihre Angaben überprüfen und anschließend den Import fertigstellen.

 

New_SSL14

 

 

Einstellungen auf dem Server:

 

2.) Im nächsten Schritt wird das Zertifikat auf dem Infoserver eingespielt. Hierfür gehen Sie wie folgt vor:

 

Stoppen Sie zunächst den Dienst "Cordaware_bestinformed_best_srv" auf Ihrem Server.

 

Hinterlegen Sie nun Ihr Zertifikat und den dazugehörigen Schlüssel in Ihrem Installationsverzeichnis im entsprechenden Ordner. Z. B. "C:\Program Files\Cordaware\best_srv\etc\certs".

 

In unserem Beispiel verwenden wir die Namen "version6.pem" für das Zertifikat und "privkey.pem" für den dazugehörigen Schlüssel.

 

New_SSL7

 

Im nächsten Schritt muss nun angegeben werden, dass der Infoserver diese Zertifikate verwenden soll. Öffnen Sie hierfür die Datei "app.config" welche Sie im Installationsverzeichnis unter "best_srv\data\configs" finden.

 

In dieser Datei können Sie nun die Namen Ihrer Zertifikate, welche verwendet werden sollen, anpassen. Ändern Sie hierfür ausschließlich die Namen der verwendeten Dateien im Bereich welcher auf dem folgenden Bild zu sehen ist und speichern Sie Ihre Änderungen anschließend.

 

 

Bitte beachten Sie:

 

In der "app.config" gibt es verschiedene Sektionen, welche einander ähnlich sind. Für die gesicherte Clientverbindung müssen die Dateinamen des Zertifikats und des Schlüssels in der Sektion für die Clientverbindung angepasst werden. Die Sektion der Clientverbindung kann anhand des Standardports 8431 erkannt werden.

 

New_SSL8

 

 

Bitte überprüfen Sie nun, ob in Ihrer "app.config" in der Sektion für gesicherte Clientverbindung die entsprechenden Einstellungen und Cipher für TLS 1.2 gesetzt sind. Diese finden Sie unterhalb der Dateinamen der Zertifikate.

 

Sollten die Einstellungen und Cipher für TLS 1.2 nicht gesetzt sein, können Sie den unten stehenden Abschnitt aus der "app.config" kopieren und mit den aktuell in Ihrer "app.config" vorhandenen Einträgen austauschen.

 

 

 

{versions,['tlsv1.2']},
{ciphers, ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384","ECDHE-ECDSA-AES128-GCM-SHA256","ECDHE-RSA-AES128-GCM-SHA256"]},

 

 

"app.config" ohne entsprechende TLS 1.2 Cipher:

 

 

New_SSL15

 

"app.config" mit entsprechenden TLS 1.2 Ciphern:

 

New_SSL16

 

 

Der Dienste "Cordaware_bestinformed_best_srv" kann nun wieder gestartet werden.

 

 

Achtung:

 

Ist das SSL Zertifikat mit einem Passwort geschützt, so könnnen in der "best_local.ini" im Verzeichnis "C:\Program Files\Cordaware\best_srv\etc\" mit einer neuen Sektion best_password die Passwörter verschlüsselt abgespeichert werden.

 

Beispiel:

 

[best_password]

very_secret=secret

 

SSL_bestpassword

 

wird beim nächsten Start des Cordaware bestinformed best_srv Dienstes verschlüsselt.

 

[best_password]

very_secret=cw_lNv4aYNoAmsABnNlY3JldGgDYQFhAWEB

 

SSL_bestpasswordverschluesselt

 

Anschließend wird in der Datei "app.config" unter buri:ssl in den sslopts die Liste um "{password, {cw,"very_secret"}}" erweitert. "very_secret" bezieht sich hierbei auf den Schlüssel aus der Sektion [best_password]

 

Abschluss:

 

3.) Tragen Sie nun auf Ihrem Client den FQDN / die Adresse Ihres Infoserver ein. Der Client wird nun eine SSL gesicherte Verbindung aufbauen. Die SSL gesicherte Verbindung wird standardmäßig über den Port 8431 aufgebaut.

 

New_SSL9

 

 

Hinweis:

 

Versuchen Sie zunächst Ihren Infoclient Dienst neu zu starten, wenn Ihr Infoclient keine Verbindung zu Ihrem Server aufbauen kann. Ein Neustart der Dienste stellt sicher, dass eingespielte Zertifikate verwendet werden.

 

 

Weitere Einrichtung bei der Verwendung von Zwischenzertifizierungsstellen:

 

Sollten Sie eine Zwischenzertifizierungsstelle nutzen, ist es wichtig, dass für die Zwischenzertifizierungsstelle ebenfalls ein Zertifikat benötigt wird.

 

Um dieses Zertifikat einzubinden, gehen Sie wie folgt vor:

 

1.) Hinterlegen Sie das Zertifikat im .pem Format für die Zwischenzertifizierungsstelle im Installationsverzeichnis (Standard: C:\Programme\Cordaware\best_srv\etc\certs).

 

2.) Im nächsten Schritt muss nun angegeben werden, dass der Infoserver dieses Zertifikat für die Zwischenzertifizierungsstelle verwenden soll. Öffnen Sie hierfür die Datei "app.config" welche Sie im Installationsverzeichnis unter "best_srv\data\configs" finden.

 

3.) Kopieren Sie nun den Text aus dem folgenden Hinweisfeld und fügen Sie diesen innerhalb der Sektion für die gesicherte Clientverbindung an der gezeigten Stelle ein. Anschließend können Sie den Namen des verwendeten Zertifikats anpassen.

 

 

{cacertfile,"etc/certs/Zertifikat.pem"},

 

SSL_CACert

 

4.) Starten Sie nun den Dienst Cordaware_bestinformed_best_srv neu um die Änderungen zu aktivieren.