Dieses Kapitel ist nur relevant, wenn ein bereits existierendes SSL-Zertifikat für den Betrieb des ADVOKAT Server per AdvoAll verwendet werden soll.
Bei Verwendung eines neuen, selbst signierten SSL-Zertifikats für Ihr Unternehmen ignorieren Sie dieses Kapitel und wechseln zu Selbstsigniertes SSL-Zertifikat.
...
In diesem Beispiel wird ein selbst signiertes existierendes SSL-Zertifikat mit privatem Schlüssel für einen Server mit Namen "SERVER" erstellt.
Beachten Sie, dass bei mehreren Schritten die jeweiligen Parameter an Ihren Servernamen angepasst werden müssenverwendet.
Zertifikate können in der Windows Managementkonsole angesehen und gewartet werden. Dazu gehen Sie wie folgt vor:
- Start -> Ausführen -> "mmc" aufrufen, die Managementkonsole startet. Menüpunkt "Datei" > "Snap-In hinzufügen / entfernen" auswählen.
In der linken Spalte wählen Sie den Eintrag "Zertifikate" aus und klicken auf Hinzufügen, anschließend auf OK. - Erscheint das Fenster "Zertifikat Snap-In" so wählen Sie den Eintrag "Computerkonto" > "Weiter" > "Lokalen Computer (Computer, auf dem diese Konsole ausgeführt wird)".
- In der Managementkonsole (MMC) in der linken Spalte "Konsolenstamm" beim Eintrag "Zertifikate (Lokaler Computer) zu "Eigene Zertifikate"> "Zertifikate" navigieren.
Anleitung
Starten Sie Windows PowerShell mit administrativen Rechten. Erstellen Sie ein selbst signiertes SSL-Zertifikat durch Verwendung folgenden Befehls:
Das Zertifikat wird Stellen Sie sicher, dass das SSL-Zertifikat am AdvoAll-Gerät im Zertifikatspeicher unter "Zertifikate (Lokaler Computer)/Eigene Zertifikate/Zertifikate" abgelegt .Info title Befehl New-SelfSignedCertificate -Subject "CN=<Computername>,DC=<Domäne>,O=<Organisation>,OU=<Organisationseinheit>" -DnsName "<Computername>.<Domäne>","<Computername>" -FriendlyName "Advokat.Server" -KeyUsage "DigitalSignature", "DataEncipherment", "KeyEncipherment" -CertStoreLocation "cert:\LocalMachine\My" -KeySpec "KeyExchange" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(60) -HashAlgorithm "SHA256"
Info title Beispiel New-SelfSignedCertificate -Subject "CN=SERVER,DC=test.local,O=Max Mustermann GmbH,OU=IT Abteilung" -DnsName "SERVER.test.local","SERVER" -FriendlyName "Advokat.Server" -KeyUsage "DigitalSignature", "DataEncipherment", "KeyEncipherment" -CertStoreLocation "cert:\LocalMachine\My" -KeySpec "KeyExchange" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(60) -HashAlgorithm "SHA256"
Führen Sie folgende zwei Befehle im Windows PowerShell aus um den Schlüssel für das Signieren (PrivateKey) und das Zertifikat zur Installation (PublicKey) zu erzeugen.
Das Kennwort ist frei wählbar und sollte möglichst komplex sein. Stellen Sie sicher, dass das Kennwort sicher verwahrt wird.Info title Befehl $CertPassword=ConvertTo-SecureString-String"<Kennwort>"-Force-AsPlainTextExport-PfxCertificate-Certcert:\LocalMachine\My\<Fingerprint>-FilePath"C:\PrivateKey.pfx"-Password$CertPasswordExport-Certificate-CertCert:\LocalMachine\My\<Fingerprint>-FilePathC:\Certificate.cer- Den Fingerprint finden Sie in der Managementkonsole (siehe Absatz Hinweise) beim zuvor erstellten Zertifikat. Dieses per Doppelklick öffnen und im Reiter "Details" beim Feld "Fingerabdruck" nachsehen.
Info title Beispiel $CertPassword=ConvertTo-SecureString-String"<Kennwort>"-Force-AsPlainTextExport-PfxCertificate-Certcert:\LocalMachine\My\f3fee11c9b81b6c6032bf4f411fee93c38398ce1-FilePath"C:\PrivateKey.pfx"-Password$CertPasswordExport-Certificate-CertCert:\LocalMachine\My\f3fee11c9b81b6c6032bf4f411fee93c38398ce1-FilePathC:\Certificate.cerFühren Sie folgenden Befehl im Windows PowerShell aus um das SSL-Zertifikat zusätzlich als Zertifikat unter "Vertrauenswürdige Stammzertifizierungsstellen" zu speichern.
Dieser Schritt ist erforderlich, damit die Vertrauensstellung aktiviert wird und das SSL-Zertifikat als vertrauenswürdig eingestuft wird.Info title Befehl Import-Certificate -CertStoreLocation 'Cert:\LocalMachine\Root' -FilePath "<Dateipfad>"
(Get-ChildItem -Path Cert:\LocalMachine\Root\<Fingerprint>).FriendlyName = "Advokat.Server"Der Dateipfad entspricht jenem Pfad, welcher unter Schritt 2 beim Export des Zertifikats (PublicKey) verwendet wurde. Den Fingerprint ermitteln Sie wie unter Schritt 2 beschrieben.
In der Managemenkonsole (MMC, siehe Kapitel "Hinweis" im Bereich "Zertifikate - Lokale Computer" navigieren Sie zum Ordner "Eigene Zertifikate" > "Zertifikate".Info title Beispiel Import-Certificate -CertStoreLocation 'Cert:\LocalMachine\Root' -FilePath "C:\Certificate.cer"
(Get-ChildItem -Path Cert:\LocalMachine\Root\f3fee11c9b81b6c6032bf4f411fee93c38398ce1).FriendlyName = "Advokat.Server"- Hier wird das laut Punkt 1 erzeugte, selbst signierte SSL-Zertifikat angezeigt. Per Rechtsklick wählen Sie "Alle Aufgaben" > "Private Schlüssel verwalten...".
- Im Fenster "Berechtigungen für '<Zertifikatsname>'" klicken Sie auf Schaltfläche "Hinzufügen", es öffnet sich das Fenster "Benutzer, Computer, Dienstkonten oder Gruppen auswählen".
- Im Bereich "Geben Sie die zu verwendenden Objektnamen ein" wählen Sie den AdvoAll-Serviceaccount, klicken auf "Namen überprüfen" und bestätigen mit "OK".
- Hinweis: Das ist jener Domänenbenutzer, welcher zur Installation von AdvoAll verwendet wurde.
- Die Berechtigung "Vollzugriff" ist zu entfernen, da der AdvoAll-Serviceaccount nur die Berechtigung "Lesen" benötigt. Es wird erneut mit "OK" bestätigt.
- Stellen Sie sicher, dass das Zertifikat (PublicKey) laut Schritt 2 auf allen Geräten eingerichtet ist, welche ADVOKAT verwenden.