So verwenden Sie Ihre eigenen Zertifikate für die Kommunikation über den Web-Port (Standard 8443) in IGEL UMS

Für die gesamte Kommunikation, die über den Web Port stattfindet (Standard: 8443, siehe auch IGEL UMS Communication Ports), wird bei der Installation eine spezielle selbstsignierte Zertifikatskette mitgeliefert. Sie können jedoch auch eine eigene Zertifikatskette verwenden.

Siehe auch Web im UMS Reference Manual.

In diesem Artikel wird beschrieben, wie eine Zertifikatskette mit einem Unternehmens-CA-Zertifikat oder einem öffentlichen Zertifikat bereitgestellt wird:

• Deploying a Self-Signed Corporate Zertifikat Chain (empfohlen)

  

  Wir empfehlen die Verwendung einer selbstsignierten Zertifikatskette für Unternehmen. Natürlich muss ein selbstsigniertes Zertifikat den Browsern zuerst bekannt gemacht werden, sonst zeigen die Browser Warnmeldungen an.

• Einsatz einer Zertifikatskette mit einer Public Root CA

Deploying a Self-Signed Corporate Certificate Chain

Voraussetzungen

• Sie haben ein selbstsigniertes Root-CA-Zertifikat, das unternehmensweit als vertrauenswürdiges "root"-Zertifikat dient.

• Ihr selbstsigniertes Root-CA-Zertifikat wurde auf alle relevanten Vertrauensspeicher in Ihrem Unternehmen angewendet.

• Sie verfügen über ein Zwischen-CA-Zertifikat, das von Ihrem Root-CA-Zertifikat und einem entsprechenden privaten Schlüssel signiert ist.

Importieren des Root-Zertifikats

1. Gehen Sie in der UMS-Konsole zu UMS Administration > Global Configuration > Zertifikat Management > Web.
   

   

2. Klicken Sie auf , wählen Sie die Root-Zertifikatsdatei aus, und klicken Sie auf Öffnen.
   

   

   
   Das Root Zertifikat wird importiert.

Importieren des Zwischenzertifikats

1. Markieren Sie das Root Zertifikat, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.
   

   

2. Wählen Sie die Zwischenzertifikatsdatei aus und klicken Sie auf Öffnen.

   

   
   Das Zwischenzertifikat wird importiert.
   

3. Markieren Sie das Zwischenzertifikat, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

   

4. Markieren Sie die private Schlüsseldatei des Zwischenzertifikats und klicken Sie auf Öffnen.
   

   

   
   Der private Schlüssel des Zwischenzertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS Datenbank wieder verschlüsselt.

5. Fahren Sie fort mit Erstellen der End-Zertifikate.

Creating the End Certificates

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

1. Wählen Sie das Zwischenzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

   

2. Im Helfer für signierte Zertifikate wählen Sie Endzertifikat für einen Server erstellen und wählen den Server aus, dem das Zertifikat zugeordnet werden soll.

   

3. Im Dialog Signiertes Zertifikat erstellen geben Sie die erforderlichen Daten ein.

   

4. Klicken Sie auf Hostnamen verwalten.

   

5. Prüfen Sie im Dialog Hostnamen für Zertifikat festlegen, ob unter Zugeordnete Hostnamen "localhost" und alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, angezeigt werden. Falls nicht, ergänzen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen.

   

6. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.

   

   
   Das signierte Server-Zertifikat ist erstellt.
   

7. Fahren Sie fort mit Zuweisung des Zertifikats zu allen Servern.

Assigning All Servers to the Certificate

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

1. Markieren Sie das Zertifikat des Servers, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

   

2. Zuordnen des Servers zum Zertifikat wie erforderlich.

   

3. Wenn Sie IGEL OS 12-Geräte verwalten, siehe Wenn Sie ein Root Web Zertifikat für IGEL OS 12 Geräte austauschen.
   

4. Wenn Sie die UMS Web App verwenden: Um Warnmeldungen von Browsern zu vermeiden, müssen Sie die neuen Zertifikate den Browsern bekannt machen. Anweisungen dazu finden Sie unter Fehlerbehebung: Browser zeigt eine Sicherheitswarnung (Zertifikatsfehler) beim Öffnen der UMS Web App an.

Deploying a Certificate Chain with a Public Root CA

Voraussetzungen

• Sie haben ein öffentliches Zertifikat, das als CA dienen kann.

• Alle UMS Server folgen dem gleichen Namensschema, z.B. "etwas.ums.meinefirma.de", wenn der Firmenname "meinefirma.de" ist.

Importieren des Root-Zertifikats

1. In der UMS-Konsole gehen Sie zu UMS Administration > Global Configuration > Zertifikat Management > Web.

   

2. Click , wählen Sie die Root-Zertifikatsdatei aus, und klicken Sie auf Öffnen.

   

   
   Das Root-Zertifikat wird importiert.

Importieren des Zwischenzertifikats

1. Markieren Sie das Root Zertifikat, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.

   

2. Wählen Sie die Zwischenzertifikatsdatei aus und klicken Sie auf Öffnen.

   

   
   Das Zwischenzertifikat wird importiert.
   

3. Markieren Sie das Zwischenzertifikat, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

   

4. Markieren Sie die private Schlüsseldatei des Zwischenzertifikats und klicken Sie auf Öffnen.
   

   

   
   Der private Schlüssel des Zwischenzertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS Datenbank wieder verschlüsselt.

Erstellen von Endzertifikaten

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS-Umgebung:

1. Wählen Sie das Zwischenzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

   

2. Im Helfer für signierte Zertifikate wählen Sie Ein Endzertifikat für alle (bekannten) Server erstellen.

   

3. In dem Dialog Signiertes Zertifikat erstellen geben Sie die erforderlichen Daten ein.

   

4. Klicken Sie auf Hostnamen verwalten.

   

5. Im Dialog Hostnamen für Zertifikat festlegen nehmen Sie die Einstellungen wie folgt vor:

   • Prüfen Sie, ob unter Zugeordnete Hostnamen "localhost" und alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, angezeigt werden. Falls nicht, fügen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen hinzu.

   • Entfernen Sie alle IP-Adressen und FQDNs, die nicht Teil des Zertifikats sein sollen.

6. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.

   

   
   Das signierte Server-Zertifikat ist erstellt.
   

7. Fahren Sie fort mit Alle Server dem Zertifikat zuweisen.

Assigning All Servers to the Certificate

1. Markieren Sie das Zertifikat des Servers, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

   

2. Zuweisung aller Server zum Zertifikat.

   

3. Wenn Sie IGEL OS 12-Geräte verwalten, siehe Wenn Sie ein Root-Webzertifikat für IGEL OS 12-Geräte austauschen.

If You Exchange a Root Web Certificate for IGEL OS 12 Devices

Neue Root-Webzertifikate werden beim Neustart auf IGEL OS 12-Geräten bereitgestellt.

Für IGEL OS 12-Geräte können Sie sehen, welche Geräte dem UMS nicht mehr vertrauen und nicht mehr verwaltet werden können, wenn Sie ein neues Root-Zertifikat zuweisen:

1. Wählen Sie das zu verwendende Zertifikat unter UMS Console > UMS Administration > Global Configuration > Zertifikat Management > Web.
   

   

2. Klicken Sie auf oder wählen Sie Server zuweisen im Kontextmenü.
   

3. Im Dialog Servern ein Zertifikat zuweisen weisen Sie den/die gewünschten Server zu und klicken Sie auf Weiter.

   

4. Für IGEL OS 12-Geräte wird der Dialog Betroffene Geräte angezeigt. Überprüfen Sie ihn:
   Wenn die Anzahl der OS 12-Geräte ohne die neuen erforderlichen Zertifikate = 0 ist und kein Warndialog erscheint, können Sie die Zuordnung abschließen. Die Geräte werden sicher auf das neue Zertifikat umgestellt.
   Wenn die OS 12-Geräte ohne die neuen erforderlichen Zertifikate Anzahl > 0, klicken Sie auf Geräte anzeigen, um eine Ansicht zu erstellen, die die betroffenen Geräte sammelt:

   

   
   Die Ansicht wird erstellt, und die UMS-Konsole wechselt zur neu erstellten Ansicht.

   

   
   Nun ist es notwendig, die betroffenen Geräte neu zu starten. Beim Neustart erhalten die Geräte alle Zertifikate aus dem UMS; danach sind sie bereit, auf das neue Zertifikat umzuschalten.
   Um alle betroffenen Geräte zu einem definierten Zeitpunkt neu zu starten, ist es sinnvoll, einen geplanten Job zu erstellen.
   

5. Gehen Sie zu Jobs, öffnen Sie das Kontextmenü und wählen Sie Neuer geplanter Job.

   

6. Im Fenster Neuer geplanter Job ändern Sie die Einstellungen wie folgt und klicken Sie auf Weiter:

   • Name: Ein Name für den Job

   • Befehl: Wählen Sie "Neustart"

   • Ausführungszeit: Wählen Sie den Zeitpunkt, zu dem der Neustart erfolgen soll.

     

7. Im nächsten Schritt belassen Sie die Einstellungen wie sie sind und klicken auf Weiter.
   

8. Weisen Sie die zuvor erstellte Ansicht dem Job zu und klicken Sie auf Finish.

   

9. Nach dem Neustart schließen Sie die Zuordnung ab: Wählen Sie unter UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web das gewünschte Zertifikat aus und klicken Sie auf oder Server zuweisen im Kontextmenü.
   Wenn die Ausgabe im Dialog Betroffene Geräte so aussieht, klicken Sie auf Fertigstellen. Die Geräte werden sicher auf das neue Zertifikat umgestellt.