Konfiguration der SSL-Einstellungen

Die SSL-Kommunikation wird zwischen den folgenden Komponenten unterstützt:
casso128figsbrde
HID_ssl-configuration
Die SSL-Kommunikation wird zwischen den folgenden Komponenten unterstützt:
  • Webbrowser zu Apache-Webserver
  • Web-Browser zu Tomcat-Anwendungsserver
  • HttpClient-Noodle von CA SiteMinder® SPS und Back-End-Server
In den folgenden Themen wird beschrieben, wie Sie SSL auf Apache-Webserver, Tomcat-Anwendungsserver und HttpClient-Noodle über die Verwaltungsoberfläche aktivieren können:
 Konfigurieren von SSL auf Apache-Webserver mit der Verwaltungsoberfläche
Führen Sie folgende Schritte aus:
  1. Verwalten von Zertifikaten.
  2. Konfigurieren der Apache-Einstellungen.
Verwalten von Zertifikaten
Importieren Sie die Zertifikate und CA, die erforderlich sind, um SSL zu konfigurieren.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Proxy-Konfiguration", "SSL-Konfiguration".
  2. Führen Sie einen der folgenden Schritte im Abschnitt "SSL-Konfiguration des eingebetteten Webservers" durch:
    • Wenn Sie ein gültiges signiertes Schlüssel-Zertifikat-Paar oder eine Zertifikatdatei haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Zertifikat importieren".
      2. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      3. Klicken Sie auf Weiter.
      4. Wenn Sie ein Schlüssel-Zertifikat-Paar importieren, geben Sie die Passphrase des privaten Schlüssels ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf "Weiter". Wenn Sie ein Zertifikat importieren, fahren Sie mit Schritt e fort.
      5. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
    • Wenn Sie kein gültiges signiertes Zertifikat haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Anforderung".
      2. Geben Sie die Organisationsdetails des Zertifikatsanforderers ein.
      3. Wählen Sie den Schlüsselalgorithmus und den Signaturalgorithmus für die SSL-Kommunikation aus.
      4. Wählen Sie die Schlüsselgröße aus.
        Hinweis
        : Die Schlüsselgröße 512 wird für SHA-256 mit RSA und SHA-512 mit RSA nicht unterstützt.
      5. Klicken Sie auf "Generieren".
      6. Speichern Sie das generierte Zertifikat auf Ihrem Rechner, und signieren Sie das generierte Zertifikat mithilfe von CMS.
      7. Klicken Sie auf der Seite "SSL-Konfiguration" auf "Zertifikat importieren".
      8. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      9. Klicken Sie auf Weiter.
      10. Wählen Sie Schlüsseleinträge für den Zertifikatsimport aus.
      11. Klicken Sie auf Weiter.
      12. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
  1. Führen Sie die folgenden Schritte aus, um die Stammdatei der Zertifizierungsstelle, die das Zertifikat signiert hat, zu importieren;
    1. Klicken Sie auf "Zertifizierungsstelle importieren".
    2. Klicken Sie auf "Durchsuchen", und wählen Sie das Stammzertifikat aus.
    3. Klicken Sie auf Weiter.
    4. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
      Das importierte CA-Zertifikat wird der Liste der Zertifikate angehängt, die in der Drop-Down-Liste der CA-Zertifikate angezeigt wird.
  2. Klicken Sie bei der Option "Signierte Zertifikatsantwort" auf "Durchsuchen", um das signierte Zertifikat zu finden und auszuwählen.
  3. Wählen Sie aus der Drop-Down-Liste der CA-Zertifikate das importierte CA-Zertifikat aus.
  4. Klicken Sie auf "Übernehmen", und starten Sie
    CA Access Gateway
    neu.
  5. (Optional) Um die SSL-Kommunikation zu deaktivieren, die SSL-Zertifikatsdetails jedoch beizubehalten, klicken Sie auf "Deaktivieren".
  6. (Optional) Um die SSL-Kommunikation zu deaktivieren, klicken Sie auf "Zurücksetzen".
Konfigurieren der Apache-Einstellungen
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Proxy-Konfiguration", "SSL-Konfiguration".
  2. Konfigurieren Sie die folgenden Parameter im Abschnitt "Apache-SSL-Einstellungen":
    • SSL-Engine
      Gibt den Status der SSL-Engine an.
    • SSL-Client überprüfen
      Gibt die Ebene der Zertifizierungsprüfung für die Authentifizierung des SSL-Client an.
    • Empfangsport
      Definiert die Portnummer, die Apache für die SSL-Kommunikation verwendet.
    • Pfad zur SSL-Zertifikatsdatei
      Gibt den Speicherort des SSL-Zertifikats an.
      Standard
      Installations_Pfad
      /secure-proxy/SSL/certs/server.crt
    • Pfad der SSL-Schlüsseldatei
      Definiert den Speicherort des Schlüssels zu den SSL-Zertifikaten.
      Standard
      Installations_Pfad
      /secure-proxy/SSL/keys/server.key
    • Pfad zur SSL-Zertifikatskettendatei
      Definiert den Speicherort der Zertifikate der Zertifizierungsstelle, die die Zertifikatskette bilden.
    • Pfad zur SSL-Zertifikatsdatei der Zertifizierungsstelle
      Definiert den Speicherort der Zertifikate der Zertifizierungsstelle, die für Client-Authentifizierung verwendet werden.
      Standard
      Installations_Pfad
      /secure-proxy/SSL/certs/ca-bundle.cert
    • Pfad zur Datei der SSL-Zertifizierungsstellensperrung
      Definiert den Speicherort der Listen für Zertifizierungsstellensperrung, die für Client-Authentifizierung verwendet werden.
    • SSL-Tiefe überprüfen
      Definiert die Anzahl der Ebenen, in der in der Zertifikatskette nach dem Zertifikat gesucht werden muss.
  3. Klicken Sie auf "Speichern".
Konfigurieren von SSL auf Tomcat-Anwendungsserver mit der Verwaltungsoberfläche
Verwalten von Zertifikaten
Importieren Sie die Zertifikate und CA, die erforderlich sind, um SSL zu konfigurieren.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Proxy-Konfiguration", "SSL-Konfiguration".
  2. Führen Sie einen der folgenden Schritte im Abschnitt "SSL-Konfiguration des eingebetteten App-Servers" durch:
    • Wenn Sie ein gültiges signiertes Schlüssel-Zertifikat-Paar oder eine Zertifikatdatei haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Zertifikat importieren".
      2. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      3. Klicken Sie auf Weiter.
      4. (Optional) Wenn Sie ein Schlüssel-Zertifikat-Paar importieren, geben Sie die Passphrase des privaten Schlüssels ein, wenn Sie dazu aufgefordert werden, und.
      5. Klicken Sie auf Weiter.
      6. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
    • Wenn Sie kein gültiges signiertes Zertifikat haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Anforderung".
      2. Geben Sie die Organisationsdetails des Zertifikatsanforderers ein.
      3. Wählen Sie den Schlüsselalgorithmus und den Signaturalgorithmus für die SSL-Kommunikation aus.
      4. Wählen Sie die Schlüsselgröße aus.
        Hinweis
        : Die Schlüsselgröße 512 wird für SHA-256 mit RSA und SHA-512 mit RSA nicht unterstützt.
      5. Klicken Sie auf "Generieren".
      6. Speichern Sie das generierte Zertifikat auf Ihrem Rechner, und signieren Sie das generierte Zertifikat mithilfe von CMS.
      7. Klicken Sie auf der Seite "SSL-Konfiguration" auf "Zertifikat importieren".
      8. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      9. Klicken Sie auf Weiter.
      10. Wählen Sie Schlüsseleinträge für den Zertifikatsimport aus.
      11. Klicken Sie auf Weiter.
      12. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
  1. Führen Sie die folgenden Schritte aus, um die Stammdatei der Zertifizierungsstelle, die das Zertifikat signiert hat, zu importieren;
    1. Klicken Sie auf "Zertifizierungsstelle importieren".
    2. Klicken Sie auf "Durchsuchen", und wählen Sie das Stammzertifikat aus.
    3. Klicken Sie auf Weiter.
    4. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
      Das importierte CA-Zertifikat wird der Liste der Zertifikate angehängt, die in der Drop-Down-Liste der CA-Zertifikate angezeigt wird.
  2. Klicken Sie bei der Option "Signierte Zertifikatsantwort" auf "Durchsuchen", um das signierte Zertifikat zu finden und auszuwählen.
  3. Wählen Sie aus der Drop-Down-Liste der CA-Zertifikate das importierte CA-Zertifikat aus.
  4. Klicken Sie auf "Übernehmen", und starten Sie
    CA Access Gateway
    neu.
  5. (Optional) Um die SSL-Kommunikation zu deaktivieren, die SSL-Zertifikatsdetails jedoch beizubehalten, klicken Sie auf "Deaktivieren".
  6. (Optional) Um die SSL-Kommunikation zu deaktivieren, klicken Sie auf "Zurücksetzen".
Konfigurieren von SSL HttpClient-Noodle mit der Verwaltungsoberfläche
Führen Sie folgende Schritte aus:
  1. Überprüfen der Voraussetzung.
  2. Verwalten von Zertifikaten.
Überprüfen der Voraussetzung
Um HttpClient Noodle mithilfe der Verwaltungsoberfläche konfigurieren, stellen Sie sicher, dass Sie HttpClient Noodle nicht manuell mithilfe der Datei "server.conf" konfiguriert haben. Wenn Sie manuell konfiguriert haben, führen Sie die folgenden Schritte aus, um die Einstellungen in der Datei "Server.conf" zurückzusetzen:
  1. Öffnen Sie die Datei "server.conf", und navigieren Sie zum Abschnitt "<sslparams>".
  2. Löschen Sie die Werte, und kommentieren Sie die folgenden Parameter:
    #ClientKeyFile=
    #ClientPassPhrase=
  3. Speichern Sie die Änderungen.
  4. Löschen Sie die Zertifikate, die Sie für HttpClient Noodle konfiguriert haben, am folgenden Speicherort:
    installation_home
    \SSL\clientcert\certs\
  5. Löschen Sie die Schlüssel der Zertifikate, die Sie für HttpClient Noodle konfiguriert haben, am folgenden Speicherort:
    installation_home
    \SSL\clientcert\key\
Verwalten von Zertifikaten
Importieren Sie die Zertifikate und CA, die erforderlich sind, um SSL zu konfigurieren.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Proxy-Konfiguration", "SSL-Konfiguration".
  2. Führen Sie einen der folgenden Schritte im Abschnitt "SSL-Konfiguration des eingebetteten HTTP-Client (Noodle)" durch:
    • Wenn Sie ein gültiges signiertes Schlüssel-Zertifikat-Paar oder eine Zertifikatdatei haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Zertifikat importieren".
      2. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      3. Klicken Sie auf Weiter.
      4. (Optional) Wenn Sie ein Schlüssel-Zertifikat-Paar importieren, geben Sie die Passphrase des privaten Schlüssels ein, wenn Sie dazu aufgefordert werden.
      5. Klicken Sie auf Weiter.
      6. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
    • Wenn Sie kein gültiges signiertes Zertifikat haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf "Anforderung".
      2. Geben Sie die Organisationsdetails des Zertifikatsanforderers ein.
      3. Wählen Sie den Schlüsselalgorithmus und den Signaturalgorithmus für die SSL-Kommunikation aus.
      4. Wählen Sie die Schlüsselgröße aus.
        Hinweis
        : Die Schlüsselgröße 512 wird für SHA-256 mit RSA und SHA-512 mit RSA nicht unterstützt.
      5. Klicken Sie auf "Generieren".
      6. Speichern Sie das generierte Zertifikat auf Ihrem Rechner, und signieren Sie das generierte Zertifikat mithilfe von CMS.
      7. Klicken Sie auf der Seite "SSL-Konfiguration" auf "Zertifikat importieren".
      8. Klicken Sie auf "Durchsuchen", und wählen Sie das signierte Zertifikat aus.
      9. Klicken Sie auf Weiter.
      10. Wählen Sie Schlüsseleinträge für den Zertifikatsimport aus.
      11. Klicken Sie auf Weiter.
      12. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
        Das Zertifikat wird in "Signierte Zertifikatsantwort" angezeigt.
  1. Führen Sie die folgenden Schritte aus, um die Stammdatei der Zertifizierungsstelle, die das Zertifikat signiert hat, zu importieren;
    1. Klicken Sie auf "Zertifizierungsstelle importieren".
    2. Klicken Sie auf "Durchsuchen", und wählen Sie das Stammzertifikat aus.
    3. Klicken Sie auf Weiter.
    4. Bestätigen Sie die Details, und klicken Sie auf "Fertig stellen".
      Das importierte CA-Zertifikat wird der Liste der Zertifikate angehängt, die in der Drop-Down-Liste der CA-Zertifikate angezeigt wird.
  2. Klicken Sie bei der Option "Signierte Zertifikatsantwort" auf "Durchsuchen", um das signierte Zertifikat zu finden und auszuwählen. 
  3. Wählen Sie aus der Drop-Down-Liste der CA-Zertifikate das importierte CA-Zertifikat aus.
  4. Klicken Sie auf "Übernehmen", und starten Sie
    CA Access Gateway
    neu.
  5. (Optional) Um die SSL-Kommunikation zu deaktivieren, die SSL-Zertifikatsdetails jedoch beizubehalten, klicken Sie auf "Deaktivieren".
  6. (Optional) Um die SSL-Kommunikation zu deaktivieren, klicken Sie auf "Zurücksetzen".