Menüpfad: UMS Administration > Globale Konfiguration > Zertifikatsverwaltung

In diesem Bereich können Sie Zertifikate für die Kommunikation zwischen UMS und Thin Clients verwalten. Das vorkonfigurierte Zertifikat, das den Keystore alias "tckey" hat, wird standardmäßig verwendet, wenn keine Änderungen vorgenommen werden.

Ab UMS Version 5.09 oder höher verwendet das Standard UMS Zertifikat SHA512withRSA als Zertifikatsalgorithmus mit einer Schlüssellänge von 4096.

Sie können ein anderes Zertifikat als Standard setzen; wenn Sie dies tun, werden alle neu registrierten Thin Clients dieses Zertifikat verwenden, und bereits registrierte Thin Clients werden ihr zuvor verwendetes Zertifikat durch das neue Standardzertifikat ersetzen.

Die UMS überprüft alle 5 Minuten, ob das Zertifikat auf dem Thin Client und das Standardzertifikat noch identisch sind.

Wenn ein Thin Client das Standardzertifikat nicht unterstützt, überprüft die UMS jedes Zertifikat daraufhin, ob es unterstützt wird; dabei beginnt sie am oberen Ende der Liste. Wenn kein geeignetes Zertifikat gefunden wird, wird der Thin Client nicht registriert.

Ab UMS version 5.09.100 ist der Signatur-Algorithmus für Zertifikate SHA512withRSA. Die folgenden IGEL Betriebssysteme unterstützen diesen Signatur-Algorithmus nicht, so dass ein geeignetes alternatives Zertifikat zur Verfügung stehen muss:

  • IGEL Linux v4.01.650 oder niedriger
  • Windows 7 Embedded 3.08.100 oder niedriger

Wenn Sie ein Upgrade von einer älteren Version auf UMS 5.09.100 vorgenommen haben, steht ein solches Zertifikat bereits zur Verfügung, da Zertifikate bei einem Update nicht überschrieben werden.

Wenn Sie ein Zertifikat im Bereicht Zertifikatsverwaltung selektieren, werden alle Thin Clients, die dieses Zertifikat verwenden, im Bereich Thin Clients, welche derzeit das selektierte Zertifikat benutzen (<Anzahl>) angezeigt.

High Availability

Wenn Sie die UMS in einem High-Availability (HA)-Netzwerk betreiben und Änderungen bei Zertifikaten vornehmen (Schlüsselpaar importieren, neues Schlüsselpaar generieren, Zertifikat löschen oder das Standardzertifikat ändern) müssen Sie anschließend Folgendes tun:

  1. Einen Speicherort festlegen, in dem das neue Netzwerk-Token gespeichert werden soll.
  2. Alle Load Balancer des HA-Netzwerks deinstallieren.
  3. Die Load Balancer unter Verwendung des neuen Netzwerk-Tokens neu installieren.
  4. Alle IGEL RMGUIServer-Dienste im HA-Netzwerk neu starten.

Von einem Backup wiederherstellen

Prüfen Sie bei der Wiederherstellung von einem Backup, ob das Backup Zertifikate enthält, die sich von den aktuell verwendeten Zertifikaten unterscheiden. Wenn das der Fall ist, müssen alle Thin Clients, die vor der Wiederherstellung registriert waren, erneut registriert werden.

Mögliche Aktionen

 Zertifikat aus einer Datei importieren. Der Dateipfad wird unter Keystore Datei angegeben und das Passwort unter Keystore Passwort. Wenn die UMS den Signatur-Algorithmus nicht unterstützt, wird das Zertifikat nicht importiert.

Zertifikate mit einem der folgenden Signaturalgorithmen können importiert werden:

  • SHA1_WITH_RSA
  • SHA1_WITH_DSA
  • SHA256_WITH_RSA
  • SHA256_WITH_DSA
  • SHA384_WITH_RSA
  • SHA512_WITH_RSA

Zertifikate, die den MD5-Algorithmus verwenden, können nicht importiert werden. Wenn ein Gerät mit einem Zertifikat, das MD5 verwendet, zur Registrierung ausgewählt wird, ersetzt die UMS automatisch sein Zertifikat durch ein neueres.

Keine Unterstützung für Zertifikatsketten

Importieren Sie keine Zertifikatsketten. Wenn Sie ein solches Zertifikat konfigurieren, wird die Kommunikation zwischen der UMS und dem Gerät nicht funktionieren.

 Zertifikat generieren.

 Ausgewähltes Zertifikat löschen.

Löschen Sie kein Zertifikat, das von einem Thin Client verwendet wird; ansonsten kann die UMS mit diesem Thin Client nicht mehr kommunizieren.

 Ausgewähltes Zertifikat in der Liste nach oben verschieben, um seine Priorität zu erhöhen.

Wenn Sie das ausgewählte Zertifikat an die oberste Position der Liste verschieben, wird es zum Standardzertifikat. In diesem Fall müssen Sie den Dienst IGEL RMGUIServer neu starten.

Die Änderung des Standardzertifikats wird in einer Hintergrundaufgabe der UMS an die Geräte weitergegeben. Diese Aufgabe ersetzt das Zertifikat auf allen Geräten, die mit diesem Zertifikat kompatibel sind, und läuft alle 5 Minuten.

 Ausgewähltes Zertifikat in der Liste nach unten verschieben, um seine Priorität zu erniedrigen.

 Ausgewähltes Zertifikat aktivieren. Wenn ein Zertifikat aktiviert ist, kann es für die Kommunikation zwischen UMS und Thin Clients verwendet werden.

 Ausgewähltes Zertifikat deaktivieren. Ein Zertifikat wird nicht verwendet, wenn ein neuer Thin Client registriert wird. Wenn ein Zertifikat deaktiviert wird, während es in Verwendung ist, ist die Kommunikation zwischen UMS und Thin Clients noch möglich. Wenn nur 1 Zertifikat aktiv ist, kann dieses Zertifikat nicht deaktiviert werden.

 Ausgewähltes Zertifikat exportieren.

 Schlüsselpaar des ausgewählten Zertifikats exportieren.

 Inhalt des ausgewählten Zertifikats anzeigen.