In diesem Kapitel ist beschrieben wie der Betrieb per HTTPS und die Erstellung eines Zertifikats erfolgt.
Wechseln Sie direkt zum Kapitel Durchführung wenn ADVOKAT Server per AdvoAll betrieben wird oder per IIS betrieben wird, aber per HTTP.
Hinweise
In diesem Beispiel wird ein selbst signiertes SSL-Zertifikat mit privatem Schlüssel für einen Server mit Namen "DATENBANKSERVER" erstellt.
Beachten Sie, dass bei mehreren Schritten die jeweiligen Parameter an Ihren Servernamen angepasst werden müssen.
Zertifikate können in der Windows Managementkonsole angesehen und gewartet werden. Dazu gehen Sie wie folgt vor:
...
Anleitung
...
Starten Sie Windows PowerShell mit administrativen Rechten. Erstellen Sie ein selbst signiertes SSL-Zertifikat durch Verwendung folgenden Befehls:
Info | ||
---|---|---|
| ||
New-SelfSignedCertificate -Subject "CN=<Computername>,DC=<Domäne>,O=<Organisation>,OU=<Organisationseinheit>" -DnsName "<Computername>.<Domäne>" -FriendlyName "AdvokatX" -KeyUsage "DigitalSignature", "DataEncipherment", "KeyEncipherment" -CertStoreLocation "cert:\LocalMachine\My" -KeySpec "KeyExchange" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(60) -HashAlgorithm "SHA256" |
Das Zertifikat wird im Zertifikatspeicher unter "Zertifikate (Lokaler Computer)/Eigene Zertifikate/Zertifikate" abgelegt.
Info | ||
---|---|---|
| ||
New-SelfSignedCertificate -Subject "CN=SERVER,DC=test.local,O=Max Mustermann GmbH,OU=IT Abteilung" -DnsName "SERVER.test.local" -FriendlyName "AdvokatX" -KeyUsage "DigitalSignature", "DataEncipherment", "KeyEncipherment" -CertStoreLocation "cert:\LocalMachine\My" -KeySpec "KeyExchange" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(60) -HashAlgorithm "SHA256" |
...
Führen Sie folgende zwei Befehle im Windows PowerShell aus um den Schlüssel für das Signieren (PrivateKey) und das Zertifikat zur Installation (PublicKey) zu erzeugen.
Info | ||
---|---|---|
| ||
|
Das Kennwort ist frei wählbar und sollte möglichst komplex sein. Stellen Sie sicher, dass das Kennwort sicher verwahrt wird.
Den Fingerprint finden Sie in der Managementkonsole (siehe Absatz Hinweise) beim zuvor erstellten Zertifikat. Dieses per Doppelklick öffnen und im Reiter "Details" beim Feld "Fingerabdruck" nachsehen.
Info | ||
---|---|---|
| ||
|
Führen Sie folgenden Befehl im Windows PowerShell aus um das SSL-Zertifikat zusätzlich als Zertifikat unter "Vertrauenswürdige Stammzertifizierungsstellen" zu speichern.
Dieser Schritt ist erforderlich, damit die Vertrauensstellung aktiviert wird und das SSL-Zertifikat als vertrauenswürdig eingestuft wird.
Info | ||
---|---|---|
| ||
Import-Certificate -CertStoreLocation 'Cert:\LocalMachine\Root' -FilePath "<Dateipfad>" |
Der Dateipfad entspricht jenem Pfad, welcher unter Schritt 2 beim Export des Zertifikats (PublicKey) verwendet wurde. Den Fingerprint ermitteln Sie wie unter Schritt 2 beschrieben.
Info | ||
---|---|---|
| ||
Import-Certificate -CertStoreLocation 'Cert:\LocalMachine\Root' -FilePath "C:\Certificate.cer" |
...
Führen Sie folgende zwei Befehle im Windows PowerShell aus um die URL inklusive Port für ADVOKAT X zu reservieren.
Dabei handelt es sich um einen sogenannten URL-Reservierungseintrag (Uniform Resource Locator). Mehr Informationen finden Sie in diesem Microsoft Artikel.
Info | ||
---|---|---|
| ||
|
Anmerkung: Handelt es sich um ein englischsprachiges Betriebssystem, so muss der Text "Jeder" durch "Everyone" ersetzt werden.
...
Führen Sie folgenden Befehl im Windows Befehlszeilenkommando (CMD) aus um jenes unter Schritt 1 erstellte SSL-Zertifikat an den URL-Reservierungseintrag zu binden.
Info | ||
---|---|---|
| ||
|
Den Fingerprint finden Sie in der Managementkonsole (siehe Absatz Hinweise) beim zuvor erstellten Zertifikat. Dieses per Doppelklick öffnen und im Reiter "Details" beim Feld "Fingerabdruck" nachsehen.
Die AppID kann bei Bedarf geändert werden, wir empfehlen die Verwendung der vorgeschlagenen AppID laut dieser Dokumentation.
Info | ||
---|---|---|
| ||
|
...
Ausgangssituation
- Sie befinden auf dem Server laut Kapitel Wahl des Geräts zum Betrieb und verfügen über lokale Administratorenrechte.
- ADVOKAT wird im System bereits verwendet.
- Voraussetzungen laut Kapitel Informationen und Anforderungen sind erfüllt.
Anleitung
- Rufen Sie den Windows Server-Manager auf und führen per Funktion "Verwalten" > "Rollen und Features hinzufügen" die Installation von Microsoft IIS durch.
Ist der Fileserver gleichzeitig auch SharePoint-Server, dann ist die Installation von Microsoft IIS hinfällig. Es ist nur das WebSocket-Protokoll (Schritt 1B) und die Windows Authentifizierung (Schritt 1C) zu aktivieren.- Es wird die Serverrolle "WebServer (IIS)" mit Werkseinstellungen aktiviert.
- Unter "Webserver (IIS)" > "Anwendungsentwicklung" ist die Checkbox "WebSocket-Protokoll" zusätzlich zu aktivieren.
- Unter "Webserver (IIS)" > "Sicherheit" ist die Checkbox "Windows-Authentifizierung" zusätzlich zu aktivieren.
- Führen Sie einen Neustart des Gerätes durch, dieser ist zwingend erforderlich, damit die Installation von Microsoft IIS abgeschlossen wird.
Es wird nach dem Neustart auch eine Überprüfung und Durchführung von Windows Updates empfohlen. Stellen Sie am Gerät mit Microsoft IIS sicher, dass es sich um IIS 10.0 mit Version 1709 oder neuer handelt. Dies können Sie überprüfen, indem in PowerShell folgender Befehl ausgeführt wird:
Codeblock language powershell [System.Diagnostics.FileVersionInfo]::GetVersionInfo("$env:SystemRoot\system32\inetsrv\InetMgr.exe").ProductVersion
- Stellen Sie am Gerät mit Microsoft IIS sicher, dass das PowerShell-Modul "IISAdministration" mindestens Version 1.1.0.0 hat.
- Dies können Sie überprüfen, indem in PowerShell folgender Befehl ausgeführt wird: Get-Module -List IISAdministration
- Die Installation bzw. Aktualisierung davon erfolgt, indem in PowerShell folgender Befehl ausgeführt wird: Install-Module -Name IISAdministration -Force
- Öffnen Sie den Internetinformationsdienste (IIS)-Manager und wählen Sie links im Bereich "Verbindungen" den Server aus. Rufen Sie die Einstellung "Authentifizierung" auf.
Stellen Sie sicher, dass der Typ "Windows-Authentifizierung" aktiviert ist. Dazu markieren Sie den Eintrag und wählen unter "Aktionen" > "Aktivieren". Stellen Sie sicher, dass Microsoft .NET Desktop Runtime 8.0.2 oder höher installiert ist. Es ist nicht Teil des Windows Betriebssystems und muss manuell installiert werden.
Alle notwendigen Informationen finden Sie im Kapitel Microsoft .NET Desktop Runtime.Info title WICHTIG Microsoft .NET Desktop Runtime muss nicht nur auf dem Server installiert sein, sondern auch auf allen Arbeitsplätzen (FAT-Clients und Terminalserver), auf denen ADVOKAT verwendet wird.
Führen Sie die Installation von Microsoft ASP.NET Core Runtime 8.0.2 oder höher als Hosting Bundle durch. Einen Überblick dazu finden Sie unter https://dotnet.microsoft.com/en-us/download/dotnet/8.0.
Der Download dafür erfolgt automatisch auf dieser Microsoft Website, es wird das Windows Hosting Bundle heruntergeladen.Info title WICHTIG Microsoft ASP.NET Core Runtime als Hosting Bundle muss nur auf dem Server installiert sein, nicht auf den den Arbeitsplätzen (FAT-Clients und Terminalserver).
- Führen Sie einen Neustart der Geräte durch, dieser ist zwingend erforderlich, damit die Installation laut Punkt 5 und 6 abgeschlossen und von ADVOKAT erkannt wird.
...
← Zurück zu Erstmalige Installation auf Server/Client System per Microsoft IIS | |
Weitere Seiten in diesem Bereich
|