Skip to main content
Skip table of contents

Grundprinzipien und Anforderungen

Die Secure Shadowing Option kann aktiviert werden, wenn folgende Voraussetzungen erfüllt sind:

  • IGEL Linux ab Version 5.03.190 und 10.01.100 oder IGEL Windows Embedded Standard 7 ab Version 3.09.100
  • IGEL Universal Management Suite ab Version 4.07.100 aufwärts
  • Das Gerät ist auf dem UMS Server registriert
  • Das Gerät kann mit der UMS Konsole und dem UMS Server kommunizieren (siehe unten)

Technische Grundprinzipien

Im Gegensatz zum "normalen" Spiegeln wird die Verbindung zwischen dem VNC-Viewer und dem VNC-Server (auf dem Gerät) beim Secure Shadowing nicht direkt hergestellt. Stattdessen läuft sie über zwei Proxys - einen für die UMS-Konsole und einen für den VNC-Server auf dem Gerät. Diese Proxys kommunizieren über einen TLS/SSL-verschlüsselten Kanal, während die lokale Kommunikation, z. B. zwischen der VNC-Viewer-Anwendung und dem UMS-Proxy, auf herkömmliche Weise unverschlüsselt erfolgt. Dadurch kann auch mit externen VNC-Programmen, die keine TLS/SSL-Verbindungen unterstützen, eine sichere Verbindung aufgebaut werden.

Die beiden Proxys (UMS Console und Device) kommunizieren mit TLS/SSL-Verschlüsselung über den gleichen Port wie die "normale" VNC-Verbindung: 5900. Daher müssen keine speziellen Regeln für Firewalls konfiguriert werden, um Secure Shadowing durchzuführen.

Ist Secure Shadowing für ein Gerät unter Setup > System > Remote Access > Spiegeln > Sicherer Modus) aktiv, generiert das Gerät ein Zertifikat nach dem X.509-Standard und überträgt es beim nächsten Start des Systems an den UMS-Server. Der UMS Server prüft nachfolgende Anfragen nach einer sicheren VNC-Verbindung anhand des Zertifikats. Das Zertifikat im PEM-Format befindet sich im Verzeichnis /wfs/client-certs/tc_ca.crt auf dem Gerät. Die Gültigkeit des Zertifikats kann auf dem (Linux-)Client mit dem Befehl überprüft werden: x11vnc -sslCertInfo /wfs/client-certs/tc_ca.crt


Wenn ein UMS-Administrator in der UMS-Konsole für das Gerät die Funktion Shadowing aufruft, erhält die Konsole eine signierte Anfrage vom UMS-Server, die dann an das zu spiegelnde Gerät weitergegeben wird. Dieses wiederum leitet die Anfrage an den UMS Server weiter, der die Gültigkeit der Anfrage anhand des Originalzertifikats überprüft. Ist diese Prüfung erfolgreich, meldet die Konsole, dass der Kanal für die Verbindung zwischen den Proxys hergestellt werden kann. Der UMS-Proxy auf der Konsole verbindet sich mit dem Server-Proxy auf dem Gerät, und der Server-Proxy stellt seinerseits auf dem Gerät die Verbindung zu seinem VNC-Server her.

Nur wenn diese Verbindungen hergestellt sind, ruft die Konsole den VNC-Viewer auf, der sich dann mit dem Konsolen-Proxy verbindet. VNC-Client und VNC-Server sind nun über die beiden Proxys verbunden, die die Daten mit TLS/SSL-Verschlüsselung übertragen.

Secure Shadowing kann unabhängig von der Gerätekonfiguration für alle Geräte, die diese Funktion unterstützen, erzwungen werden: UMS Administration > Global Configuration > Remote Access > Enable secure VNC globally.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close