Die Option Sicheres Spiegeln kann aktiviert werden, wenn die folgenden Voraussetzungen erfüllt sind:

  • IGEL Universal Desktop Linux oder IGEL Universal Desktop OS 2, Version 5.03.190 und neuer oder Version 10.01.100 und neuer oder IGEL Universal Desktop Windows Embedded Standard 7 von Version 3.09.100.
  • IGEL Universal Management Suite ab Version 4.07.100 aufwärts.
  • Die registrierten Geräte auf dem UMS-Server
  • Die Geräte können mit der UMS Console und dem UMS Server kommunizieren (siehe unten). 

Technische Grundprinzipien:

Im Gegensatz zum "normalen" Spiegeln wird die Verbindung zwischen dem VNC-Viewer und dem VNC-Server (auf dem Gerät) nicht direkt beim sicheren Spiegeln hergestellt. Stattdessen läuft es über zwei Proxies - einen für die UMS-Konsole und einen für den VNC-Server auf dem Gerät. Diese Proxies kommunizieren über einen TLS/SSL-verschlüsselten Kanal, während die lokale Kommunikation, z. B. zwischen der VNC-Viewer-Anwendung und dem UMS-Proxy, auf herkömmliche Weise unverschlüsselt erfolgt. Dadurch kann auch mit externen VNC-Programmen, die keine TLS/SSL-Verbindungen unterstützen, eine sichere Verbindung aufgebaut werden.

Die beiden Proxies (UMS Konsole und Gerät) kommunizieren mit TLS/SSL-Verschlüsselung über denselben Port wie die "normale" VNC-Verbindung: 5900. Daher müssen keine speziellen Regeln für Firewalls konfiguriert werden, um eine sichere Spiegelung zu gewährleisten.

Wenn sicheres Spiegeln auf dem Gerät unter Setup > System > Fernzugriff > Spiegeln > Sichere Verbindung aktiviert ist, erzeugt das Gerät ein Zertifikat nach dem Standard X.509 und überträgt es beim nächsten Systemstart an den UMS-Server. Der UMS-Server überprüft nachfolgende Anfragen nach einer sicheren VNC-Verbindung anhand des Zertifikats. Das Zertifikat im PEM-Format finden Sie auf dem Gerät im Verzeichnis /wfs/client-certs/tc_ca.crt. Die Gültigkeit des Zertifikats kann auf dem (Linux-)Client mit dem folgenden Befehl überprüft werden: x11vnc -sslCertInfo /wfs/client-certs/tc_ca.crt.


Wenn ein UMS-Administrator die Funktion Spiegeln in der UMS-Konsole des Gerätes aufruft, erhält die Konsole eine signierte Anforderung vom UMS-Server, die dann an das zu spiegelnde Gerät weitergeleitet wird. Dieser wiederum leitet die Anforderung an den UMS-Server weiter, der die Gültigkeit der Anforderung anhand des Originalzertifikats überprüft. Wenn die Überprüfung erfolgreich war, berichtet die Konsole, dass der Kanal für die Verbindung zwischen den Proxies hergestellt werden kann. Der UMS-Proxy auf der Konsole verbindet sich mit dem Server-Proxy auf dem Gerät und der Server-Proxy wiederum stellt die Verbindung auf dem Gerät zu seinem VNC-Server her. 

Erst wenn diese Verbindungen hergestellt sind, ruft die Konsole den VNC-Viewer auf, der sich dann mit dem Proxy der Konsole verbindet. Das VNC-Gerät und der VNC-Server sind nun über die beiden Proxies verbunden, welche die Daten mit TLS/SSL-Verschlüsselung übertragen.

Für alle Geräte, die diese Funktion unterstützen, kann eine sichere Spiegelung unabhängig von der Gerätekonfiguration erzwungen werden: UMS Administration > Globale Konfiguration > Fernzugriff > Sicheres VNC global aktivieren.