HOWTO

Aktivieren der SSL-Verschlüsselung für die SwyxWare Web-Administration (kb3624)

Die Information in diesem Artikel betrifft die folgenden Produkte:

  • SwyxWare Web Administration v6.10

[ Zusammenfassung | Information ]


Zusammenfassung

Dieser Artikel beschreibt die Konfiguration der SSL-Verschlüsselung für die Internetinformationsdienste (IIS) um eine sichere Verbindung zur SwyxWare Web-Administration zu ermöglichen.


Information

SSL-Zertifikate (Secure Sockets Layer) enthalten Informationen zur Verwendung von Identitäten in einem Netzwerk. Dieser Vorgang wird auch Authentisierung genannt. Mit Hilfe von Zertifikaten können Webserver und Benutzer sich gegenseitig authentisieren, bevor sie eine Verbindung herstellen, ähnlich wie bei anderen Arten der Identifizierung auch.
Serverzertifkate enthalten Informationen zum Server, mit denen der Client den Server identifizieren kann, bevor vertrauliche Daten übermittelt werden. Clientzertifikate enthalten persönliche Informationen über die Clients, die auf Ihre Website zugreifen möchten. Damit können die Clients identifiziert werden, bevor der Zugriff gestattet wird.
Sie können Serverzertifikate von einer externen Zertifizierungsstelle (Certification Authority, CA) erhalten oder mit Hilfe der Microsoft Zertifikatsdienste eigene Serverzertifikate herausgeben.

So erstellen Sie ein eigenes Serverzertifikat

Mit den Microsoft Zertifikatsdiensten können Sie einen benutzerdefinierten Dienst zum Erstellen und Verwalten von Zertifikaten erstellen. Sie können Serverzertifikate für das Internet oder für firmeneigene Intranets erstellen. Damit haben Sie in Ihrem Unternehmen die vollständige Kontrolle über die Verwaltungsrichtlinen der Zertifikate.
Mit dem Assistenten für Webserverzertifikate können Sie ein Serverzertifikat anfordern und installieren. 

So erhalten Sie ein Serverzertifikat von einer Zertifizierungsstelle

1. Suchen Sie eine Zertifizierungsstelle, die für Ihren Bedarf geeignete Dienste anbietet und fordern Sie ein Serverzertifikat an.
Generieren Sie mit dem Assistenten für Webserverzertifikate eine Anforderung für ein Zertifikat, die an die Zertifizierungsstelle schicken können.
2. Nachdem das Zertifikat bearbeitet und an Sie zurückgeschickt wurde, können Sie das Zertifikat mit dem Assistenten für Webserverzertifikate installieren. 

Weitere Informationen finden Sie unter: http://technet2.microsoft.com/windowsserver/en/library/055049b9-b277-48bb-9dc9-b4e85c5d914c1033.mspx


Im Folgenden wird beschrieben, wie Sie mit den Microsoft Zertifikatsdiensten ein eigenes Serverzertifikat herausgeben.

Schritt 1: Installieren der Microsoft Zertifikatsdienste
So geben Sie eigene Serverzertifikate heraus und installieren eine eigenständige Stammzertifizierungsstelle
1. Melden Sie sich am System als Administrator bzw. Domänenadministrator an, wenn Sie den Active Directory-Verzeichnisdienst nutzen.
2. Klicken Sie auf "Start", zeigen Sie auf "Einstellungen" und klicken Sie auf "Systemsteuerung".
3. Doppelklicken Sie auf "Software“ und wählen Sie dann „Windows-Komponenten hinzufügen/entfernen“.
4. Aktivieren Sie im Assistenten für Windows-Komponenten das Kontrollkästchen "Zertifikatsdienste". Ein Dialog wird angezeigt, in dem Sie darüber informiert werden, dass der Computer nicht umbenannt werden kann, und auch das Hinzufügen zu einer Domäne oder das Entfernen aus einer Domäne nicht möglich ist, nachdem die Zertifikatsdienste installiert wurden. Klicken Sie auf "Ja". Aktivieren Sie das Kontrollkästchen "Internetinformationsdienste" und klicken Sie auf "Weiter".
5. Klicken Sie auf "Eigenständige Stammzertifizierungsstelle".
6. (Optional) Aktivieren Sie das Kontrollkästchen "Schlüsselpaar und ein Zertifizierungsstellenzertifikat mit diesen Einstellungen erstellen" und klicken Sie dann auf "Weiter", um die benutzerdefinierten Einstellungen anzugeben.
Klicken Sie auf "Weiter", wenn Sie den Vorgang abgeschlossen haben.
7. Geben Sie den allgemeinen Namen der Zertifizierungsstelle ein. Diese Informationen können nach Fertigstellung der Installation der Zertifizierungsstelle nicht mehr geändert werden.
8. Geben Sie unter "Gültigkeitszeitraum" die Gültigkeit der Stammzertifizierungsstelle ein. Beachten Sie die untenstehenden Hinweise für die Eingabe dieses Wertes. Klicken Sie auf "Weiter".
9. Geben Sie die Speicherorte für die Zertifikatsdatenbank, das Protokoll der Zertifikatsdatenbank und den gemeinsamen Ordner an. Klicken Sie auf "Weiter".
10. Wenn die Internetinformationsdienste (IIS) ausgeführt werden, werden Sie aufgefordert, diesen Dienst zu beenden, bevor Sie die Installation fortsetzen. Klicken Sie auf OK.
11. Geben Sie bei entsprechender Aufforderung den Pfad für die Installationsdateien der Zertifikatsdienste ein.

Weitere Informationen: http://technet2.microsoft.com/windowsserver/en/library/36d03e33-c9e8-4eca-b948-addab1e22c531033.mspx

Schritt 2: Erstellen einer neuen Anforderung für Serverzertifikat

1. Starten Sie den IIS-Manager. Zeigen Sie im Startmenü auf "Verwaltung" und klicken Sie dann auf "Internetinformationsdienste-Manager".
2. Doppelklicken Sie im Internetinformationsdienste-Manager auf den lokalen Computer und doppelklicken Sie dann auf den Ordner "Websites".
3. Klicken Sie mit der rechten Maustaste auf die Website oder Datei, für die Sie ein Zertifikat anfordern möchten. Klicken Sie dann auf "Eigenschaften".
4. Klicken Sie auf der Registerkarte "Verzeichnissicherheit" oder "Dateisicherheit" unter "Sichere Kommunikation" auf "Serverzertifikat".
5. Klicken Sie im Assistenten für Webserverzertifikate auf "Neues Zertifikat erstellen".
6. Klicken Sie auf der Seite "Verzögerte oder sofortige Anforderung" auf "Anforderung jetzt vorbereiten, aber später senden". Standardmäßig wird die Zertifikatsanforderung unter "C:\Certreq.txt" gespeichert, Sie können mit dem Assistenten jedoch auch einen anderen Speicherort angeben.
7. Führen Sie die restlichen Schritte im Assistenten für Webserverzertifikate durch und klicken Sie dann auf "Beenden".

Schritt 3: Übertragen der Zertifikatsanforderung

1. Öffnen Sie den Internet Explorer.
2. Geben Sie als Adresse http://Servername/certsrv ein, wobei der Servername der Name des Windows-Servers ist, auf dem sich die gewünschte Zertifizierungsstelle (CA) befindet.
3. Klicken Sie auf "Zertifikat anfordern" und dann auf "Erweiterte Zertifikatanforderung".
4. Klicken Sie auf "Eine Zertifikatsanforderung, die eine Base64-codierte\n PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die\n eine Base64-codierte PKCS7-Datei verwendet, einsenden".
5. Öffnen Sie die Datei C:\Certreq.txt. Kopieren Sie den Inhalt in die Zwischenablage. Klicken Sie auf der Webseite in das Bearbeitungsfeld. Fügen Sie den Inhalt der Zertifikatsanforderung in das Bearbeitungsfeld "Gespeicherte Anforderung". ein.
6. Wenn Sie mit einer Organisationszertifizierungsstelle verbunden sind, wählen Sie die gewünschte Zertifikatvorlage aus.
7. Klicken Sie auf "Absenden". 

Schritt 4: Herausgeben des Zertifikats

1. Starten Sie die Zertifizierungsstelle. Zeigen Sie im Startmenü auf "Verwaltung" und klicken Sie dann auf "Zertifizierungsstelle".
2. Erweitern Sie die ausstehenden Anforderungen für Ihre Domäne.
3. Klicken Sie mit der rechten Maustaste auf die ausstehende Zertifikatsanforderung, die abgesendet wurde. Wählen Sie "Alle Aufgaben" und klicken Sie auf "Ausstellen". 

Schritt 5: Downloaden eines ausgestellten Zertifikats

1. Öffnen Sie im Internet Explorer http://Servername/certsrv ein, wobei der Servername der Name des Webservers mit Windows Server 2003 ist, auf dem sich die gewünschte Zertifizierungsstelle (CA) befindet.
2. Klicken Sie auf "Status ausstehender Zertifikate anzeigen".
3. Wenn es keine ausstehenden Zertifikatsanforderungen gibt, wird eine entsprechende Meldung angezeigt. Wählen Sie andernfalls die Zertifikatsanforderung aus, die Sie prüfen möchten und downloaden und speichern Sie das Zertifikat (cernew.cer).

Schritt 6: Installieren eines Zertifikats

1. Doppelklicken Sie im Internetinformationsdienste-Manager auf den lokalen Computer und doppelklicken Sie dann auf den Ordner "Websites".
2. Klicken Sie mit der rechten Maustaste auf die Website oder Datei, für die Sie ein Zertifikat installieren möchten. Klicken Sie dann auf "Eigenschaften".
3. Klicken Sie auf der Registerkarte "Verzeichnissicherheit" oder "Dateisicherheit" unter "Sichere Kommunikation" auf "Serverzertifikat".
4. Klicken Sie im Assistenten für Webserverzertifikate auf "Ausstehende Anforderung verarbeiten und Zertifikat installieren". Klicken Sie auf "Weiter".
5. Geben Sie den Standort ein, an dem Sie das Zertifikat gespeichert haben (certnew.cer). Klicken Sie auf "Weiter".
6. Führen Sie die restlichen Schritte im Assistenten für Webserverzertifikate durch und klicken Sie dann auf "Beenden".

Schritt 7: SSL für Internetinformationsdienste konfigurieren

1. Doppelklicken Sie im Internetinformationsdienste-Manager auf den lokalen Computer und doppelklicken Sie dann auf den Ordner "Websites".
2. Klicken Sie mit der rechten Maustaste auf die Website oder Datei, für die Sie ein Zertifikat installiert haben. Klicken Sie dann auf "Eigenschaften".
3. Klicken Sie auf der Registerkarte "Verzeichnissicherheit" oder "Dateisicherheit" unter "Sichere Kommunikation" auf "Bearbeiten".
4. Aktivieren Sie im Feld "Sichere Kommunikation" das Kontrollkästchen "Sicheren Kanal voraussetzen (SSL)".
5. Klicken Sie auf "OK", um das Dialogfeld zu schließen.

Sie können nun auf die SwyxWare Web Administration mit https://Servername/WebAdmin zugreifen, wobei Servername der Name eines Servers ist, auf dem die Internetinformationsdienste und die Web-Administration installiert sind. Es wird eine Meldung angezeigt, dass das Serverzertifikat nicht durch eine vertrauenswürdige Zertifizierungsstelle herausgegeben wurde und Sie dennoch diese Website weiter ausführen möchten. Ignorieren Sie die Warnung und setzen Sie die Anzeige der Website fort, indem Sie im Internet Explorer auf "ja" klicken bzw. im Internet Explorer 7 "Diese Website weiter verwenden (nicht empfohlen).

Wenn Sie verhindern wollen, dass ein Browser diese Warnung bei jedem Zugriff auf die Website anzeigt, gehen Sie folgendermaßen vor:

  • Internet Explorer 6: Wenn diese Warnung angezeigt wird, klicken Sie auf "Zertifikat anzeigen". Öffnen Sie die Registerkarte "Zertifizierungspfad". Wählen Sie den obersten Knotenpunkt des Baumes (mit der roten Kennzeichnung) und klicken Sie auf "Zertifikat anzeigen". Klicken Sie auf "Zertifikat installieren" und setzen Sie den Vorgang fort, indem Sie auf "Weiter" auf allen Seiten des Assistenten klicken.
  • In Internet Explorer 7 ist der Vorgang fast identisch mit Internet Explorer 6, mit Ausnahme der Tatsache, dass Sie auf "Diese Website weiter verwenden (nicht empfohlen)". Wenn die Seite geladen wird, klicken Sie rechts neben der Adresszeile auf "Zertifikate anzeigen". Führen Sie die für Internet Explorer 6 beschriebenen Vorgänge aus.
  • Wenn in Mozilla Firefox der Dialog mit der Warnung angezeigt wird, müssen Sie nur die Option "Dieses Zertifikat permanent akzeptieren" auswählen und auf OK klicken.

Hinweis: Um ein Zertifikat für IE6 und IE7 zu installieren, muss der Computer, auf dem Sie das Zertifikat installieren möchten, auf den Server zugreifen können, auf dem die Zertifizierungsstelle installiert ist. Andernfalls benötigen Sie ein Stammzertifikat von einer Zertifizierungsstelle, welches Sie als vertrauenswürdige Stammzertifizierungsstelle installieren müssen. Um ein Stammzertifikat zu erhalten, öffnen Sie http://Servername/certsrv, wobei Servername der Name eines Webservers mit Windows Server 2003 ist, auf dem die Zertifizierungsstelle installiert ist. Klicken Sie auf “Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste” und dann erneut auf "Download des Zertifizierungsstellenzertifikats". Speichern Sie das Zertifikat an einer beliebigen Stelle auf der Festplatte. Danach können Sie das gespeicherte Zertifikat öffnen, indem Sie darauf doppelklicken, dann auf "Zertifikat installieren" klicken und den Assistenten fortsetzen. Alternativ Sie öffnen im Internet Explorer die Internetoptionen oder die Systemsteuerung, wählen die Registerkarte "Inhalt", klicken auf Zertifikate, öffnen "Vertrauenswürdige Stammzertifizierungsstellen", klicken auf "Import" und suchen nach dem Stammzertifikat von einer Zertifizierungsstelle. Damit ist der Assistent abgeschlossen.

Um ein vertrauenswürdiges Zertifikat zu erhalten, nutzen Sie eine andere Zertifizierungsstelle, wie beispielsweise VeriSign (http://www.verisign.com).


Kommentar

Hat Ihnen dieser Artikel weitergeholfen? Kommentieren Sie diesen Artikel



Sollten sich Fragen aus Ihrem Kommentar ergeben, wie können wir Sie erreichen?

E-Mail Adresse (optional)


Hinweis

Dieses Kommentar-Feld steht Ihnen nicht für Support-Anfragen zur Verfügung. Diese richten Sie bitte ausschliesslich an Ihren Swyx Händler bzw. Distributor.