Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

How To Article | HTA-20220531-LG-03

iProtect Access / Security | How To Articles So wird es gemacht (Anleitung) |

View file
nameHTA-20220531-LG-03.pdf

Table of Contents
minLevel1
maxLevel7

iProtect™ Certificate options

A certificate authority (CA) is an entity that signs digital certificates. Many websites need to let their customers know that the connection is secure, so they pay an internationally trusted CA (eg, VeriSign, DigiCert) to sign a certificate for their domain.

In some cases it may make more sense to act as your own CA.

iProtect™9.10.21 and latest ServicePack will make it possible to create and sign a server certificate towards an own intermediate/root certificate present on the server. The iProtect™ Root certificate must be installed on the client side to make a secure client-root certificate chain.

There are 3 certificate options in iProtect™:

  1. Create CSR certificate request

  2. Create certificate from own CA

  3. Create Self Signed certificate

...

Procedure 1:

Use the Serverbox to generate a CSR certificate request:

  • Select iProtect™ > Certificate > Configuration

  • Select ‘Create CSR certificate request’ from the option dropdown box.

  • Fill in the form with the information the external CA provides (usually the ICT-department).

  • Press the ‘Create’ button

  • Download the “CSR certificate request” via the Serverbox: iProtect™ > Certificate > Download

The CSR certificate request file has to be signed by the external CA, this will generate one or more certificate files.

Usually, the certificate file will contain a number of certificates:

  • The root CA certificate

  • Intermediate CA certificates

  • Certificate for the iProtect server

These certificates form the “chain of trust”. These certificates are packed into an archive which can be encoded in different formats: DER, base64 or P7B.

For iProtect all certificates should be packed into a .zip format, without subfolders. This zip file can be uploaded to the iProtect server via the Install certificate field. The iProtect will check the validity of the certificates and present an Activate button with which the use of this certificate is activated.

  • Select iProtect™ > Certificate > Configuration

  • Upload the .zip file by “Install certificate”

  • If the files are ok, an “Activate” button will be come available.

  • Click the “Activate” button

  • Be patient and wait for the red error message. This means Apache is restarted and the certificate is installed.

  • Reload (F5) your webpage to reread the certificate.

Procedure 2:

Use the Serverbox to generate an own-CA signed server certificate:

  • Select iProtect™ > Certificate > Configuration

  • Select ‘Create certificate from own CA’ from the option dropdown box.

  • Fill in the form.

    • For ‘Common Name’ be sure you choose the right domain-name or (virtual)IP address.

    • The Country code must be the two-letter country code.

    • The Subject Alternative Names (SAN) are mandatory for some browsers.

  • Press the ‘Create’ button

  • Be patient and wait for the red error message. This means Apache is restarted and the certificate is installed.

  • Reload (F5) your webpage to reread the certificate.

To make your server certificate valid and trusted, a certificate chain (Server, Intermediate and Root certificates) has to be present. Download the TKH-Security iProtect™ Root certificate and install it on the client-side PC:

  • Download the Root certificate via the Serverbox: iProtect™ > Certificate > Download

  • Press the ‘CA certificate’ button and download the tar-gzipped file.

  • Unpack this file (7zip, winrar etc.)

  • Install the ‘iprotect.root.cert.crt’ on your PC via your web browser. (Or click on the file so windows will open the right program)

  • Install it in the right store:

...

  • Restart your web browser to read in the certificate chain.

  • The connection to the iProtect™ server should now be secure (lock closed in web browser).

Procedure 3:

...

iProtect™ Optionen für das Zertifikat

Eine Zertifizierungsstelle (CA) ist eine Einrichtung, die digitale Zertifikate signiert. Viele Websites müssen ihre Kunden wissen lassen, dass die Verbindung sicher ist. Deshalb bezahlen sie eine international vertrauenswürdige CA (z. B. VeriSign, DigiCert), um ein Zertifikat für ihre Domain zu signieren.

Je nach Notwendigkeit können externe oder eigene Zertifikate verwendet werden.

iProtect™ 9.10.21 und das neueste ServicePack ermöglichen das Erstellen und Signieren eines Serverzertifikats für ein eigenes Zwischen-/Wurzelzertifikat auf dem Server.

Das iProtect™ Root-Zertifikat muss auf der Client-Seite installiert werden, um eine sichere Client-Root-Zertifikatskette zu erstellen.

Es gibt 3 Zertifikatsoptionen in iProtect™:

  1. CSR-Zertifikatsanforderung erstellen

  2. Zertifikat von eigener CA erstellen

  3. Selbstsigniertes Zertifikat erstellen

...

Verfahren 1:

Verwenden Sie die Serverbox, um eine CSR-Zertifikatsanforderung zu erstellen:

  • Wählen Sie iProtect™ > Zertifikat > Konfiguration

  • Wählen Sie "CSR-Zertifikatsanforderung erstellen" aus dem Options-Dropdown-Feld.

  • Füllen Sie das Formular mit den von der externen Zertifizierungsstelle (in der Regel die IKT-Abteilung) bereitgestellten Informationen aus.

  • Drücken Sie die Schaltfläche "Erstellen".

  • Laden Sie die "CSR-Zertifikatsanforderung" über die Serverbox herunter: iProtect™ > Zertifikat > Download

Die CSR-Zertifikatsanforderungsdatei muss von der externen CA signiert werden, wodurch eine oder mehrere Zertifikatsdateien erzeugt werden.

Normalerweise enthält die Zertifikatsdatei eine Reihe von Zertifikaten:

  • Das Root-CA-Zertifikat

  • CA-Zwischenzertifikate

  • Zertifikat für den iProtect-Server

Diese Zertifikate bilden die "Kette des Vertrauens". Diese Zertifikate werden in ein Archiv gepackt, das in verschiedenen Formaten kodiert sein kann: DER, base64 oder P7B.

Für iProtect sollten alle Zertifikate in ein .zip-Format gepackt werden, ohne Unterordner. Diese Zip-Datei kann über das Feld Zertifikat installieren auf den iProtect-Server hochgeladen werden. iProtect prüft die Gültigkeit der Zertifikate und präsentiert eine Schaltfläche Aktivieren, mit der die Verwendung dieses Zertifikats aktiviert wird

  • Wählen Sie iProtect™ > Zertifikat > Konfiguration

  • Laden Sie die .zip-Datei mit "Zertifikat installieren" hoch”

  • Wenn die Dateien in Ordnung ist, wird eine Schaltfläche "Aktivieren" verfügbar sein.

  • Klicken Sie auf die Schaltfläche "Aktivieren"

  • Haben Sie Geduld und warten Sie auf die rote Fehlermeldung. Dies bedeutet, dass der Apache neu gestartet und das Zertifikat installiert wurde.

  • Laden Sie Ihre Webseite neu (F5), um das Zertifikat erneut zu lesen.

Verfahren 2:

Verwenden Sie die Serverbox, um ein eigenes, von der CA signiertes Serverzertifikat zu erzeugen:

  • Wählen Sie iProtect™ > Zertifikat > Konfiguration

  • Wählen Sie "Zertifikat von eigener CA erstellen" aus der Options-Dropdown-Box.

  • Füllen Sie das Formular aus.

  • Stellen Sie sicher, dass Sie für "Common Name" den richtigen Domänennamen oder die richtige (virtuelle) IP-Adresse wählen.

  • Der Ländercode muss ein aus zwei Buchstaben bestehender Ländercode sein.

  • Die Subject Alternative Names (SAN) sind bei einigen Browsern obligatorisch.

  • Drücken Sie die Schaltfläche "Erstellen"

  • Haben Sie Geduld und warten Sie auf die rote Fehlermeldung. Dies bedeutet, dass der Apache neu gestartet und das Zertifikat installiert wurde.

  • Laden Sie Ihre Webseite neu (F5), um das Zertifikat erneut zu lesen.

Damit Ihr Server-Zertifikat gültig und vertrauenswürdig ist, muss eine Zertifikatskette (Server-, Zwischen- und Root-Zertifikat) vorhanden sein. Laden Sie das TKH-Security iProtect™ Root-Zertifikat herunter und installieren Sie es auf dem client-seitigen PC:

  • Laden Sie das Root-Zertifikat über die Serverbox herunter: iProtect™ > Zertifikat > Download

  • Klicken Sie auf die Schaltfläche "CA-Zertifikat" und laden Sie die tar-gepackte Datei herunter.

  • Entpacken Sie diese Datei (7zip, winrar usw.)

  • Installieren Sie die Datei "iprotect.root.cert.crt" über Ihren Webbrowser auf Ihrem PC. (Oder klicken Sie auf die Datei, damit Windows das richtige Programm öffnet)

  • Installieren Sie es im richtigen Geschäft:

...

  • Starten Sie Ihren Webbrowser neu, um die Zertifikatskette einzulesen.

  • Die Verbindung zum iProtect™-Server sollte nun sicher sein (Schloss im Webbrowser geschlossen).

Verfahren 3:

Dieses Verfahren ist nur für den Gebrauch in der Vergangenheit gedacht. Bitte verwenden Sie stattdessen Verfahren 2.