Menüpfad: Setup > System > Spiegeln

Die Option Sicheres Spiegeln ist unter folgenden Voraussetzungen aktivierbar:

  • IGEL Universal Desktop Linux oder IGEL Universal Desktop OS 2 jeweils ab Version 5.03.190 bzw. IGEL Universal Desktop Windows Embedded Standard 7 ab Version 3.09.100
  • IGEL Universal Management Suite ab Version 4.07.100
  • Client ist am UMS-Server registriert
  • Client kann mit UMS-Konsole und UMS-Server kommunizieren (s.u.)

Technische Grundlagen:

Im Unterschied zum "normalen" Spiegeln wird beim sicheren Spiegeln die Verbindung zwischen VNC-Viewer und VNC-Server (auf dem Client) nicht direkt aufgebaut, sondern läuft über zwei Proxies - einen seitens der UMS-Konsole und einen seitens des VNC-Servers auf dem Client. Diese Proxies kommunizieren über einen SSL/TLS-verschlüsselten Kanal, während die lokale Kommunikation z.B. zwischen VNC-Viewer-Anwendung und UMS-Proxy herkömmlich unverschlüsselt erfolgt. Somit kann eine gesicherte Verbindung auch mit externen VNC-Programmen aufgebaut werden, die selbst keine SSL/TLS-Verbindung unterstützen.

Die beiden Proxies (UMS-Konsole und Client) kommunizieren SSL/TLS-verschlüsselt über den gleichen Port wie die "normale" VNC-Verbindung: 5900. Somit müssen für das sichere Spiegeln keine gesonderten Regeln für Firewalls konfiguriert werden.

Ist das sichere Spiegeln für einen Thin Client aktiv (Setup > System > Spiegeln > Sichere IGEL VNC Kommunikation einschalten), generiert der Client beim nächsten Systemstart ein Zertifikat nach X.509-Standard und übermittelt dieses an den UMS-Server. Dieser überprüft spätere Anfragen nach einer sicheren VNC-Verbindung anhand des Zertifikats. Das Zertifikat liegt im PEM-Format vor im Verzeichnis /wfs/ca-certs/tc_ca.crt auf dem Client. Die Gültigkeit des Zertifikats lässt sich auf einem Linux-Thin-Client prüfen mit dem Kommando:

x11vnc -sslCertInfo /wfs/ca-certs/tc_ca.crt

Thin Client Zertifikat für sicheres Spiegeln

Ruft ein UMS-Administrator in der UMS-Konsole für den Client die Funktion Spiegeln auf, so erhält die Konsole vom UMS-Server eine signierte Anfrage, welche dann an den zu spiegelnden Client weitergeleitet wird. Dieses wiederum leitet die Anfrage erneut an den UMS-Server weiter, der anhand des ursprünglichen Zertifikats die Gültigkeit der Anfrage prüft und im Erfolgsfall der Konsole zurückmeldet, dass der Kanal für die Verbindung zwischen den Proxies aufgebaut werden kann. Der UMS-Proxy auf der Konsole verbindet sich zum Server-Proxy auf dem Client, dieser wiederum baut auf dem Client die Verbindung zu dessen VNC-Server auf.

Erst wenn diese Verbindungen aufgebaut sind, ruft die Konsole den VNC-Viewer auf, der sich mit dem Proxy der Konsole verbindet. Nun sind VNC-Client und VNC-Server über die beiden Proxies verbunden, die über SSL/TLS verschlüsselt übertragen.

Das sichere Spiegeln kann unabhängig von der Konfiguration des einzelnen Clients für alle Clients erzwungen werden, die diese Funktion unterstützen: UMS Administration > Zusätzliche Einstellungen > Sicheres VNC global aktivieren.