Was tun bei Problemen mit der SSL-Verbindung seit Version 15.2.0?

Im offiziellen Release der Version 15.2.0 gibt es ein Problem in Zusammenhang mit der Nutzung eines SSL-Zertifikats am Enterprise Server. Deshalb ist es zunächst wichtig, wenn Sie mit dem Problem konfrontiert werden, dass Sie die aktualisierten Builds 15.2.1 für den Enterprise Server und 15.2.2 für den Client bzw. Corporate Client von unserer Website herunterladen und installieren. Sie gelangen hier zum Download:

Enterprise Server 15.2.1

Normaler Client 15.2.2 sowie Corporate Client 15.2.2

Hinweis: Bevor Sie Änderungen durchführen, stellen Sie bitte unbedingt sicher, dass Sie die Version 15.2.1 des Enterprise Servers sowie 15.2.2 für den Client bzw. Corporate Client installiert haben, da ansonsten jegliche Änderungen nicht greifen.

Bezüglich der Version 15.2.0 (und höher) im Allgemeinen und der zusätzlichen Nutzung eines SSL-Zertifikats am Enterprise Server ist darüber hinaus Folgendes zu beachten:

1. Die neue Version 15.2.0 (und höher) verwendet ein aktualisiertes Übertragungsprotokoll, das nicht mehr abwärtskompatibel ist. Dies bedeutet, dass ebenso alle Password Depot-Clients (auch die mobilen Editionen) sowie der Server-Manager ebenfalls auf die Version 15.2.0 (oder höher) aktualisiert werden müssen. 

2. Der Server verwendet nun OpenSSL 1.1.1.j mit TLS1.3. Derzeit werden nur Serverzertifikate im PEM-Format unterstützt. Wir haben ein Verfahren zur automatischen Konvertierung von installierten PFX- oder CRT-Zertifikaten in das PEM-Format implementiert, was nach dem ersten Durchlauf einen zusätzlichen Neustart des Password Depot-Servers erfordern kann. Wenn der Server nach dem Neustart das SSL-Zertifikat immer noch nicht laden kann, konvertieren Sie bitte Ihr bestehendes Zertifikat manuell in das PEM-Format. Um z. B. ein PFX-Zertifikat in PEM zu konvertieren, verwenden Sie diese Befehlszeile:

openssl.exe pkcs12 -in <SOURCE_FILE_PFX> -out <TARGET_FILE_PEM>

und beantworten Sie die erscheinenden Fragen zu Passwörtern, wenn Sie dazu aufgefordert werden.

Wenn Sie anschließend bei dieser Meldung auf "Zertifikat anzeigen" klicken:

image.png

Dann sollte sich im Anschluss folgendes Fenster öffnen:

image__1_.png

Klicken Sie hier bitte auf "Zertifikat installieren", um die Installation korrekt abzuschließen. 

Bitte beachten Sie, dass alle Ihre Clients unter Windows die Zertifikate ebenfalls als vertrauenswürdig installieren sollten, sofern das Zertifikat konvertiert wurde. Unter iOS bzw. Android ist dies allerdings nicht notwendig.

Die konkrete Vorgehensweise ist also:

1. Clients

Wenn Ihre Clients die Meldung über das unbekannte Zertifikat erhalten:

a) Stellen Sie sicher, dass Sie die aktuelle Client-Version 15.2.2 installiert haben.
b) Klicken Sie im Client bei der entsprechenden Fehlermeldung auf "Zertifikat anzeigen" und installieren Sie es unter "Meine Zertifikate".

 

2. Enterprise Server

Konvertierung auf dem Server:

Der Enterprise Server kann CRT- oder PFX-Zertifikate automatisch konvertieren. Sollte dies nach dem ersten Start nicht funktionieren, öffnen Sie einfach den Server-Manager und weisen Sie alle Zertifikate und passwortbezogenen Einstellungen neu zu. 

Wenn Sie Ihr Nicht-Standard-Zertifikat manuell konvertieren müssen, so muss OpenSSL nicht installiert sein. Im Programmverzeichnis des Server-Managers befinden sich bereits alle benötigten Dateien. 

Beispiel:

Wenn Sie ein Zertifikat mit dem Namen "zert.pfx" haben, dann gehen Sie bitte wie folgt vor:

a) Kopieren Sie das Zertifikat in das Programmverzeichnis des Enterprise Servers (C:\Program Files\AceBIT\Password Depot Server 15\). Bitte stellen Sie in diesem Zusammenhang unbedingt sicher, dass sich das Zertifikat im Programmverzeichnis des Enterprise Servers und nicht im Verzeichnis \Data befindet. 
b) Öffnen Sie die Windows-Eingabeaufforderung (Win+R und geben Sie cmd.exe ein).
c) Wechseln Sie das aktuelle Verzeichnis cd C:\Program Files\AceBIT\Passwort Depot Server 15\.
d) Führen Sie openssl.exe pkcs12 -in zert.pfx -out zert.pem aus und geben Sie die Passwörter ein, wenn Sie dazu aufgefordert werden.
e) Wenn die private Schlüsseldatei in einer anderen Datei gespeichert ist, dann wiederholen Sie bitte die gleichen Schritte nochmal für die Schlüsseldatei.
f) Starten Sie den Server-Manager und aktivieren Sie SSL mit den erhaltenen .pem-Datei(en) zert.pem.

 

Hinweis: Wenn der Private Key und das Zertifikat in derselben Datei gespeichert sind, dann müssen Sie im Server-Manager sowohl für Cert als auch für Key den gleichen Pfad angeben. Sofern der Private Key und das Zertifikat verschiedene Dateien verwenden, dann müssen die Pfade jeweils auf die entsprechende Datei verweisen. In jedem Fall darf das Feld Pfad zur privaten Schlüsseldatei am Server nicht leer bleiben. Bitte stellen Sie zudem auch sicher, dass sowohl die Zertifikats- als auch die private Schlüsseldatei (sofern es sich dabei um zwei verschiedene Dateien handelt) beide im PEM-Format vorliegen.

Mit Version 16 sollte das Problem nicht mehr auftreten, beachten Sie jedoch bitte, dass nach wie vor (also auch in Version 16) nur Zertifikate im PEM-Format akzeptiert werden. Zudem gelten nach wie vor die Hinweise zu den Pfaden (Cert & Key) wie weiter oben beschrieben.

War dieser Beitrag hilfreich?
2 von 3 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.