Breadcrumbs

So verwenden Sie Ihre eigenen Zertifikate für die Kommunikation über den Webport (Standard: 8443) in der IGEL UMS

Für die gesamte Kommunikation, die über den Webport erfolgt (Standard: 8443, siehe auch IGEL UMS Kommunikationsports), wird bei der Installation der UMS eine spezielle selbstsignierte Zertifikatskette mitgeliefert. Sie können jedoch auch eine eigene Zertifikatskette verwenden.

Siehe auch Web im UMS Referenzhandbuch.

Dieser Artikel beschreibt die Bereitstellung einer Zertifikatskette mit einem Unternehmens-CA-Zertifikat oder einem öffentlichen Zertifikat:

Wir empfehlen die Verwendung einer selbstsignierten Unternehmenszertifikatskette. Natürlich muss ein selbstsigniertes Zertifikat zunächst den Browsern bekannt gemacht werden, andernfalls zeigen die Browser Warnmeldungen an.

Selbstsignierte Unternehmens-Zertifikatskette bereitstellen

Voraussetzungen

  • Sie verfügen über ein selbstsigniertes Root CA Zertifikat, das unternehmensweit als vertrauenswürdiges „Root“ Zertifikat dient.

  • Ihr selbstsigniertes Root CA Zertifikat wurde auf alle relevanten Trust Stores innerhalb Ihres Unternehmens angewendet.

  • Sie verfügen über ein Intermediate CA Zertifikat, das durch Ihr Root CA Zertifikat signiert wurde, sowie über den entsprechenden privaten Schlüssel.

Das Root Zertifikat importieren

  1. Gehen Sie in der UMS Konsole zu UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web.

    image2021-2-15_18-5-26.png


  2. Klicken Sie auf image-20240617-181800.png , wählen Sie die Root Zertifikatsdatei aus und klicken Sie auf Öffnen.

    image2020-10-30_8-12-33.png


    Das Root Zertifikat wird importiert.

Das Intermediate Zertifikat importieren

  1. Wählen Sie das Root Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.

    image2020-10-30_8-15-47.png


  2. Wählen Sie die Intermediate Zertifikatsdatei aus und klicken Sie auf Öffnen.

    image2020-10-30_8-26-25.png


    Das Intermediate Zertifikat wird importiert.

  3. Wählen Sie das Intermediate Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

    image2020-10-30_8-36-52.png


  4. Wählen Sie die Datei mit dem privaten Schlüssel des Intermediate Zertifikats aus und klicken Sie auf Öffnen.
    image2020-10-30_8-39-7.png
    Der private Schlüssel des Intermediate Zertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS Datenbank erneut verschlüsselt.


  1. Fahren Sie mit Endzertifikate erstellen fort.

Endzertifikate erstellen

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Intermediate Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

    image2020-10-30_15-10-34.png


  2. Im Assistenten für signierte Zertifikate wählen Sie Endzertifikat für einen Server erstellen aus und wählen Sie den Server aus, dem das Zertifikat zugewiesen werden soll.

    image2020-10-30_15-11-38.png


  3. Füllen Sie im Dialog Signiertes Zertifikat erstellen die erforderlichen Daten aus.

    image2020-10-30_15-43-8.png


  4. Klicken Sie auf Hostnamen verwalten.

    image2020-10-30_15-43-28.png


  5. Prüfen Sie im Dialog Hostnamen für Zertifikat festlegen, ob „localhost“ sowie alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, unter Zugewiesene Hostnamen angezeigt werden. Falls nicht, fügen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen hinzu.

    image2020-10-30_15-35-57.png


  1. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.

    image2020-10-30_15-44-13.png


    Das signierte Serverzertifikat wird erstellt.

  2. Fahren Sie mit Zertifikat allen Servern zuweisen fort.

Das Zertifikat allen Servern zuweisen

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Serverzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

    image2020-10-30_15-52-28.png


  2. Weisen Sie den entsprechenden Server dem Zertifikat zu.

    image2020-10-30_15-56-11.png


  3. Wenn Sie IGEL OS 12 Geräte verwalten, siehe Wenn Sie ein Root Web Zertifikat für IGEL OS 12 Geräte austauschen.

  4.  Wenn Sie die UMS Web App verwenden: Um Warnmeldungen in Browsern zu vermeiden, müssen Sie die neuen Zertifikate den Browsern bekannt machen. Anweisungen finden Sie unter Fehlerbehebung: Browser zeigt Sicherheitswarnung (Zertifikatsfehler) beim Öffnen der UMS Web App an.

Zertifikatskette mit öffentlicher Root CA bereitstellen

Voraussetzungen

  • Sie verfügen über ein öffentliches Zertifikat, das als CA verwendet werden kann.

  • Alle UMS Server folgen demselben Namensschema, z.B. „something.ums.mycompany.de“, wenn der Firmenname „mycompany.de“ lautet.

Das Root Zertifikat importieren

  1. Gehen Sie in der UMS Konsole zu UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web.

    image2021-2-15_18-7-0.png


  2. Klicken Sie auf image-20240617-181953.png , wählen Sie die Root Zertifikatsdatei aus und klicken Sie auf Öffnen.

    image2020-10-30_8-12-33.png


    Das Root Zertifikat wird importiert.

Das Intermediate Zertifikat importieren

  1. Wählen Sie das Root Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat importieren.

    image2020-10-30_8-15-47.png


  2. Wählen Sie die Intermediate Zertifikatsdatei aus und klicken Sie auf Öffnen.

    image2020-10-30_8-26-25.png


    Das Intermediate Zertifikat wird importiert.

  3. Wählen Sie das Intermediate Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Entschlüsselten privaten Schlüssel importieren.

    image2020-10-30_8-36-52.png


  4. Wählen Sie die Datei mit dem privaten Schlüssel des Intermediate Zertifikats aus und klicken Sie auf Öffnen.
    image2020-10-30_8-39-7.png
    Der private Schlüssel des Intermediate Zertifikats wird importiert.

Der private Schlüssel wird beim Speichern in der UMS Datenbank erneut verschlüsselt.

Endzertifikate erstellen

Wiederholen Sie die folgenden Schritte für jeden Server in Ihrer UMS Umgebung:

  1. Wählen Sie das Intermediate Zertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Signiertes Zertifikat erstellen.

    image2020-10-30_15-10-34.png


  2. Im Assistenten für signierte Zertifikate wählen Sie Ein Endzertifikat für alle (bekannten) Server erstellen.

    image2020-11-2_14-39-12.png


  3. Füllen Sie im Dialog Signiertes Zertifikat erstellen die erforderlichen Daten aus.

    image2020-10-30_15-43-8.png


  4. Klicken Sie auf Hostnamen verwalten.

    image2020-10-30_15-43-28.png


  5. Passen Sie im Dialog Hostnamen für Zertifikat festlegen die Einstellungen wie folgt an:

    • Prüfen Sie, ob „localhost“ sowie alle IP-Adressen und FQDNs (Fully Qualified Domain Names), unter denen Ihr Server erreichbar ist, unter Zugewiesene Hostnamen angezeigt werden. Falls nicht, fügen Sie die fehlenden IP-Adressen und FQDNs unter Hostnamen manuell hinzufügen hinzu.

    • Entfernen Sie alle IP-Adressen und FQDNs, die nicht Teil des Zertifikats sein sollen.

image2020-10-30_15-35-57.png

  1. Schließen Sie den Dialog Signiertes Zertifikat erstellen mit Ok.

    image2020-10-30_15-44-13.png


    Das signierte Serverzertifikat wird erstellt.

  2. Fahren Sie mit Allen Servern das Zertifikat zuweisen fort.

Allen Servern das Zertifikat zuweisen

  1. Wählen Sie das Serverzertifikat aus, öffnen Sie das Kontextmenü und wählen Sie Server zuweisen.

    image2020-10-30_15-52-28.png


  2. Weisen Sie alle Server dem Zertifikat zu.

    image2020-10-30_15-56-11.png


  3. Wenn Sie IGEL OS 12 Geräte verwalten, siehe Wenn Sie ein Root Web Zertifikat für IGEL OS 12 Geräte austauschen.

Wenn Sie ein Root Web Zertifikat für IGEL OS 12 Geräte austauschen

Neue Root Web Zertifikate werden beim Neustart auf IGEL OS 12 Geräte verteilt.

Für IGEL OS 12 Geräte können Sie anzeigen, welche Geräte der UMS nicht mehr vertrauen und dadurch nicht mehr verwaltbar sein werden, wenn Sie ein neues Root Zertifikat zuweisen:

  1. Wählen Sie das Zertifikat aus, das verwendet werden soll, unter UMS Konsole > UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web.

    image-2023-3-15_15-4-43.png


  2. Klicken Sie auf image-20240617-182106.png oder wählen Sie im Kontextmenü Server zuweisen.

  3. Weisen Sie im Dialog Server dem Zertifikat zuweisen die erforderlichen Server zu und klicken Sie auf Weiter.

    image-2023-3-15_15-11-17.png


  4. Für IGEL OS 12 Geräte wird der Dialog Betroffene Geräte angezeigt. Prüfen Sie diesen:
    Wenn die Anzahl der OS 12 Geräte ohne die neuen erforderlichen Zertifikate = 0 ist und kein Warnungsdialog angezeigt wird, können Sie die Zuweisung abschließen. Die Geräte wechseln sicher auf das neue Zertifikat.
    Wenn die Anzahl der OS 12 Geräte ohne die neuen erforderlichen Zertifikate > 0 ist, klicken Sie auf Geräte anzeigen, um eine Ansicht zu erstellen, die die betroffenen Geräte enthält.

    image-20240617-182118.png


    Die Ansicht wird erstellt und die UMS Konsole wechselt zur neu erstellten Ansicht. 

    image-20240617-182139.png


    Nun müssen die betroffenen Geräte neu gestartet werden. Beim Neustart erhalten die Geräte alle Zertifikate von der UMS; anschließend sind sie bereit, auf das neue Zertifikat umzuschalten.
    Um alle betroffenen Geräte zu einem definierten Zeitpunkt neu zu starten, empfiehlt es sich, einen geplanten Job zu erstellen.

  5. Gehen Sie zu Jobs, öffnen Sie das Kontextmenü und wählen Sie Neuer geplanter Job.

    image2020-11-19_12-3-16.png


  6. Ändern Sie im Fenster Neuer geplanter Job die Einstellungen wie folgt und klicken Sie auf Weiter:

    • Name: Ein Name für den Job

    • Befehl: Wählen Sie „Reboot“

    • Ausführungszeit: Wählen Sie die Zeit aus, zu der der Neustart stattfinden soll.

      image-2023-3-15_16-20-5.png


  7. Belassen Sie im nächsten Schritt die Einstellungen unverändert und klicken Sie auf Weiter.


  1. Weisen Sie dem Job die zuvor erstellte Ansicht zu und klicken Sie auf Fertig.

    image-2023-3-15_16-22-33.png


  2. Schließen Sie nach dem Neustart die Zuweisung ab: Wählen Sie unter UMS Administration > Globale Konfiguration > Zertifikatsverwaltung > Web das gewünschte Zertifikat aus und klicken Sie auf image-20240617-182206.png oder wählen Sie im Kontextmenü Server zuweisen.
    Wenn die Ausgabe im Dialog Betroffene Geräte entsprechend angezeigt wird, klicken Sie auf Fertig. Die Geräte wechseln sicher auf das neue Zertifikat.

    image-2023-3-15_16-43-6.png