Wie funktioniert die SSL-Verbindung am Enterprise Server und wie richte ich diese ein?

Folgen

Password Depot Enterprise Server ermöglicht die Installation und Verwendung eines SSL-Zertifikats.

Warnung: Diese Installation sollte nur von einem erfahrenen Administrator durchgeführt werden.

Hinweis: Ab Version 15.2.x sind nur noch Zertifikate im PEM-Format mit dem Enterprise Server nutzbar. Der Server verwendet seit dieser Version OpenSSL 1.1.1.j mit TLS 1.3. Wir haben ein Verfahren zur automatischen Konvertierung von installierten PFX- oder CRT-Zertifikaten in das PEM-Format implementiert, was nach dem ersten Durchlauf einen zusätzlichen Neustart des Password Depot-Servers erfordern kann. Wenn der Server nach dem Neustart das SSL-Zertifikat immer noch nicht laden kann, so müssen Sie das bestehende Zertifikat manuell in das PEM-Format konvertieren. Eine genaue Anleitung hierzu finden Sie hier.

Password Depot Enterprise Server unterstützt X.509 SSL-Zertifikate im PEM-Format. Mit einem Zertifikat können Benutzer die Identität eines Servers überprüfen, bevor sie vertrauliche Informationen an diesen senden.

Bevor Sie sich für die Verwendung von SSL-Verbindungen entscheiden, beachten Sie bitte die folgenden Punkte:

1) SSL verschlüsselt keine Daten, die von Clients an den Enterprise Server übertragen werden. Diese Daten werden vom internen Protokoll, das über TCP/IP implementiert ist, immer stark verschlüsselt. 

2) Aus Gründen der plattformübergreifenden Kompatibilität müssen wir die OpenSSL-Bibliothek verwenden, die einige Einschränkungen aufweist und von Apple nicht für die Verwendung auf Systemen wie iOS und macOS empfohlen wird.

3) Die Verwendung von selbstsignierten Zertifikaten ist bedeutungslos und wird nicht empfohlen. Nur Zertifikate, die von einer bekannten Zertifizierungsstelle (CA = Certificate oder Certification Authority) signiert sind, können für die Validierung eines Password Depot Enterprise Servers verwendet werden. Wenn Sie bereits einen Webserver besitzen, der auf HTTPS läuft, ist die Verwendung seines SSL-Zertifikats eine geeignete Lösung. Andernfalls müssen Sie unter Umständen ein neues SSL-Zertifikat bei einer der anerkannten Zertifizierungsstellen erwerben.

4) Wenn Sie SSL-Verbindungen verwenden möchten, müssen Sie ein gültiges SSL-Zertifikat installieren, das von einer anerkannten Zertifizierungsstelle ausgestellt wurde. Der Enterprise Server kann ein Dummy-Zertifikat generieren, um die Verwendung der SSL-Verbindung zu testen, wenn kein anderes Zertifikat verfügbar ist. In der Praxis ist das Dummy-Zertifikat jedoch nutzlos, da es leicht von Dritten gefälscht werden kann.

5) In den lokalen und internen Netzwerken wird die Verwendung von SSL nicht empfohlen, da alle Datenübertragungen zwischen dem Server und den Clients bereits stark verschlüsselt sind. Die Verwendung von SSL erhöht die Sicherheit der Datenübertragung nicht wesentlich, sondern ermöglicht die Validierung des Servers und hilft, Man-in-the-Middle-Angriffe (MITM-Angriff) zu verhindern. Diese Funktion kann in externen Netzwerken nützlich sein, wenn sich die Clients von jedem beliebigen Ort aus mit dem Server verbinden können. 

6) Wenn Sie sich für eine SSL-Verbindung entscheiden, stellen Sie bitte sicher, dass alle Ihre Clients (Windows, macOS, Android und iOS sowie gegebenenfalls auch der Web-Client) SSL verwenden! Gemischte Verbindungen (teilweise SSL und teilweise Standard-TCP/IP) sind nicht erlaubt

7) Um ein SSL-Zertifikat zu installieren (im Server-Manager unter Verwalten -> Serveroptionen -> Allgemein -> Zertifikat installieren), müssen Sie Folgendes eingeben:

  1. Pfad zur Zertifikatsdatei am Server: Den vollqualifizierten Pfad zur Zertifikatsdatei auf dem Server.
  2. Pfad zur privaten Schlüsseldatei am Server: Wenn das obige Zertifikat sowohl öffentliche als auch private Schlüssel enthält, geben Sie hier bitte nochmal den vollqualifizierten Pfad zur Zertifikatsdatei auf dem Server an. Wenn der private Schlüssel in einer separaten Datei gespeichert ist, geben Sie den vollständigen Pfad zum privaten Schlüssel an.
  3. Kennwort: Das Passwort für den Zugriff auf den privaten Schlüssel.

Starten Sie den Server neu, um das Zertifikat zu laden und die SSL-Verbindung zu starten.

 

Privater und öffentlicher Schlüssel beim Zertifikat

Der private Schlüssel ist sozusagen ein geheimer Teil des Zertifikats. Administratoren sollten diesen sicher aufbewahren, da er wie eine persönliche Signatur ist. Der Enterprise Server signiert dann die Daten mit dieser persönlichen Unterschrift und dies ist auch die einzige Möglichkeit, um festzustellen, ob die Daten auch wirklich von der richtigen Quelle stammen.

Der öffentliche Schlüssel hingegen ist für jedermann zugänglich und wird verwendet, um die empfangenen Daten zu vergleichen und die persönliche Signatur zu überprüfen. Der öffentliche Schlüssel ist daher weniger wichtig, da diesen jeder haben kann. Der private Schlüssel hingegen ist für den Enterprise Server von zentraler Bedeutung. 

 

Hinweis: Für die Installation eines REST-Server-Zertifikats gehen Sie gleichermaßen wie oben beschrieben vor. Gehen Sie hierfür im Server-Manager auf Verwalten -> Serveroptionen -> Allgemein -> REST-Server und üben Sie die Installation anschließend über Zertifikat installieren aus. 

 

6 von 6 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.