Skip to main content
Skip table of contents

So verwenden Sie Ihre eigenen Zertifikate für die Kommunikation über den Webport (Standard: 8443) in der IGEL UMS

Für die gesamte Kommunikation, die über den Webport erfolgt (Standard: 8443, siehe auch IGEL UMS Kommunikationsports), wird bei der Installation der UMS eine spezielle selbstsignierte Zertifikatskette mitgeliefert. Sie können jedoch auch eine eigene Zertifikatskette verwenden.

Siehe auch Web im UMS Referenzhandbuch.

Dieser Artikel beschreibt, wie eine Zertifikatskette mit einem unternehmenseigenen CA-Zertifikat oder einem öffentlichen Zertifikat bereitgestellt wird:

Wir empfehlen die Verwendung einer selbstsignierten Unternehmenszertifikatskette. Natürlich muss ein selbstsigniertes Zertifikat zunächst den Browsern bekannt gemacht werden, andernfalls zeigen die Browser Warnmeldungen an.


Bereitstellen einer selbstsignierten Unternehmenszertifikatskette

Voraussetzungen

  • Sie verfügen über ein selbstsigniertes Root-CA-Zertifikat, das unternehmensweit als vertrauenswürdiges „Root“-Zertifikat dient.

  • Ihr selbstsigniertes Root-CA-Zertifikat wurde in alle relevanten Trust Stores innerhalb Ihres Unternehmens eingebunden.

  • Sie verfügen über ein Zwischen-CA-Zertifikat, das von Ihrem Root-CA-Zertifikat signiert wurde, sowie über den zugehörigen privaten Schlüssel.

Importieren des Root-Zertifikats

  1. Gehen Sie in der UMS Konsole zu UMS Administration > Globale Konfiguration > Zertifikat Management > Web.

  2. Klicken Sie auf image-20240617-181800.png, wählen Sie die Root-Zertifikatsdatei aus und klicken Sie auf Öffnen.


    Das Root Zertifikat wird importiert.

Importieren des Zwischenzertifikats

  1. Wählen Sie das Root-Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.

  2. Wählen Sie die Datei des Zwischenzertifikats aus und klicken Sie auf Öffnen.


    Das Zwischenzertifikat wird importiert.

  3. Wählen Sie das Intermediate-Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

  4. Wählen Sie die Datei des privaten Schlüssels des Intermediate-Zertifikats aus und klicken Sie auf Öffnen.


    Der private Schlüssel des Zwischenzertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS-Datenbank erneut verschlüsselt.

  1. Fahren Sie fort mit Erstellen der Endzertifikate.

Erstellen der Endzertifikate

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Zwischenzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

  2. Wählen Sie im Helfer für signierte Zertifikate die Option Endzertifikat für einen Server erstellen und wählen Sie den Server aus, dem das Zertifikat zugewiesen werden soll.

  3. Füllen Sie im Signiertes Zertifikat erstellen die erforderlichen Daten aus.

  4. Klicken Sie auf Hostnamen verwalten.

  5. Prüfen Sie im Dialog Hostnamen für Zertifikat festlegen, ob "localhost" sowie alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, angezeigt werdenalle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, unter Zugewiesene Hostnamen angezeigt werden. Falls nicht, fügen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen hinzu.

  1. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.


    Das signierte Serverzertifikat wird erstellt.

  2. Fahren Sie fort mit Zuweisen des Zertifikats zu allen Servern.

Zuweisen aller Server zum Zertifikat

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Serverzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

  2. Weisen Sie dem Zertifikat den entsprechenden Server zu.

  3. Wenn Sie IGEL OS 12-Geräte verwalten, siehe Wenn Sie ein Root-Webzertifikat für IGEL OS 12-Geräte austauschen.

  4. Wenn Sie die UMS Web App verwenden: Um Warnmeldungen von Browsern zu vermeiden, müssen Sie die neuen Zertifikate den Browsern bekannt machen. Anweisungen hierzu finden Sie unter Troubleshooting: Browser zeigt beim Öffnen der UMS Web App eine Sicherheitswarnung (Zertifikatsfehler) an.

Bereitstellen einer Zertifikatskette mit einer öffentlichen Root-CA

Voraussetzungen

  • Sie verfügen über ein öffentliches Zertifikat, das als CA dienen kann.

  • Alle UMS-Server folgen demselben Namensschema, z. B. "etwas.ums.meinefirma.de", wenn der Firmenname „meinefirma.de“ lautet.

Importieren des Root-Zertifikats

  1. Gehen Sie in der UMS Konsole zu UMS Administration > Globale Konfiguration > Zertifikat Management > Web.

  2. Klicken Sie auf image-20240617-181953.png, wählen Sie die Root-Zertifikatsdatei aus und klicken Sie auf Öffnen.


    Das Root-Zertifikat wird importiert.

Importieren des Zwischenzertifikats

  1. Wählen Sie das Root-Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.

  2. Wählen Sie die Zwischenzertifikatsdatei aus und klicken Sie auf Öffnen.


    Das Zwischenzertifikat wird importiert.

  3. Wählen Sie das Zwischenzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

  4. Wählen Sie die Datei des privaten Schlüssels des Zwischenzertifikats aus und klicken Sie auf Öffnen.


    Der private Schlüssel des Zwischenzertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS-Datenbank erneut verschlüsselt.

Erstellen von Endzertifikaten

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Zwischenzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

  2. Wählen Sie im Helfer für signierte Zertifikate die Option Ein Endzertifikat für alle (bekannten) Server erstellen.

  3. Füllen Sie im Dialog Signiertes Zertifikat erstellen die erforderlichen Daten aus.

  4. Klicken Sie auf Hostnamen verwalten.

  5. Passen Sie im Dialog Hostnamen für Zertifikat festlegen die Einstellungen wie folgt an:

    • Prüfen Sie, ob „localhost“ sowie alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, unter Zugewiesene Hostnamen angezeigt werden. Falls nicht, fügen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen hinzu.

    • Entfernen Sie alle IP-Adressen und FQDNs, die nicht Teil des Zertifikats sein sollen.

  1. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.


    Das signierte Serverzertifikat wird erstellt.

  2. Fahren Sie fort mit Zuweisen aller Server zum Zertifikat.

Zuweisen aller Server zum Zertifikat

  1. Wählen Sie das Serverzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

  2. Weisen Sie dem Zertifikat alle Server zu.

  3. Wenn Sie IGEL OS 12-Geräte verwalten, siehe Wenn Sie ein Root-Webzertifikat für IGEL OS 12-Geräte austauschen.

Wenn Sie ein Root-Webzertifikat für IGEL OS 12-Geräte austauschen

Neue Root-Webzertifikate werden bei IGEL OS 12-Geräten beim Neustart bereitgestellt.

Für IGEL OS 12-Geräte können Sie prüfen, welche Geräte die UMS nach der Zuweisung eines neuen Root-Zertifikats nicht mehr vertrauen und dadurch nicht mehr verwaltbar sind:

  1. Wählen Sie in der UMS Konsole > UMS Administration > Globale Konfiguration > Zertifikat Management > Web das Zertifikat aus, das verwendet werden soll.

  2. Klicken Sie auf image-20240617-182106.png oder wählen Sie im Kontextmenü Server zuweisen.

  3. Weisen Sie im Dialog Server zu Zertifikat zuweisen die benötigten Server zu und klicken Sie auf Weiter.

  4. Für IGEL OS 12-Geräte wird der Dialog Betroffene Geräte angezeigt. Prüfen Sie die Anzeige:
    Wenn die Anzahl der OS-12-Geräte ohne die neuen erforderlichen Zertifikate = 0 ist und kein Warnhinweis erscheint, können Sie die Zuweisung abschließen. Die Geräte wechseln sicher auf das neue Zertifikat.
    Wenn die Anzahl der OS-12-Geräte ohne die neuen erforderlichen Zertifikate > 0 ist, klicken Sie auf Geräte anzeigen, um eine Ansicht zu erstellen, die die betroffenen Geräte sammelt:

    image-20240617-182118.png


    Die Ansicht wird erstellt und die UMS-Konsole wechselt zu dieser neu erstellten Ansicht.

    image-20240617-182139.png


    Nun ist es erforderlich, die betroffenen Geräte neu zu starten. Beim Neustart erhalten die Geräte alle Zertifikate von der UMS und sind danach bereit, auf das neue Zertifikat zu wechseln.
    Um alle betroffenen Geräte zu einem definierten Zeitpunkt neu zu starten, empfiehlt es sich, einen geplanten Job anzulegen.

  5. Gehen Sie zu Jobs, öffnen Sie das Kontextmenü und wählen Sie Neuer geplanter Job.

  6. Ändern Sie im Fenster Neuer geplanter Job die Einstellungen wie folgt und klicken Sie auf Weiter:

    • Name: Ein Name für den Job

    • Befehl: Wählen Sie "Neustart"

    • Ausführungszeit: Wählen Sie den Zeitpunkt, zu dem der Neustart erfolgen soll.

  7. Belassen Sie im nächsten Schritt die Einstellungen wie sie sind und klicken Sie auf Weiter.

  8. Weisen Sie dem Job die zuvor erstellte Ansicht zu und klicken Sie auf Fertigstellen.

  9. Nach dem Neustart schließen Sie die Zuweisung ab: Gehen Sie zu UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web, wählen Sie das erforderliche Zertifikat aus und klicken Sie auf image-20240617-182206.png oder Server zuweisen im Kontextmenü.
    Wenn die Ausgabe im Dialog Betroffene Geräte entsprechend aussieht, klicken Sie auf Fertigstellen. Die Geräte wechseln sicher auf das neue Zertifikat.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.