Signieren von SSL-Zertifikaten bei einer Zertifizierungsstelle
Bevor Sie SSL-Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle (CA) erwerben, benötigen Sie einen privaten Schlüssel (Private Key) und einen CSR (Certificate Signing Request). Der private Schlüssel muss sicher aufbewahrt werden und darf niemandem mitgeteilt werden; der CSR wird von der Zertifizierungsstelle während des Bestellvorgangs verlangt.
Sie können den privaten Schlüssel und den CSR mit Hilfe eines möglicherweise auf Ihrem Betriebssystem bereits vorhandenen Tools (wie Keychain Access auf Mac, openssl auf Linux) oder mit Hilfe von Tools von Drittanbietern erstellen. In diesem Beispiel wird der OpenSSL Toolkit (https://www.openssl.org/) verwendet. Beachten Sie, dass OpenSSL eine Open Source-Bibliothek ist und eventuell kompiliert werden muss, beovr Sie diese in der Befehlszeile verwenden können. Die Kompilierungs- und Installationsanleitung für OpenSSL ist für jedes Betriebssystem unterschiedlich und wird in dieser Dokumentation nicht behandelt. Auf Linux- und Mac-Rechnern steht OpenSSL wahrscheinlich bereits zur Verfügung oder kann andernfalls über die Befehlszeile installiert oder aktualisiert werden. Durch Eingabe des folgenden Befehls können Sie schnell überprüfen, ob OpenSSL vorhanden ist (angezeigt wird die aktuelle OpenSSL-Version):
openssl version |
Unter Windows können Sie Binärdateien entweder anhand des offiziellen OpenSSL Quellcodes kompilieren oder alternativ dazu eine Binary Distribution, die OpenSSL enthält, wie Cygwin herunterladen, siehe auch https://www.openssl.org/community/binaries.html.
So erhalten Sie ein signiertes SSL-Zertifikat:
1.Erstellen Sie den privaten Schlüssel. Mit dem folgenden OpenSSL-Befehl wird ein 2048 Bit großer Schlüssel namens flowforce.key generiert (Dies ist die Mindestverschlüsselungsstärke, die normalerweise von einer Zertifizierungsstelle akzeptiert wird):
openssl genrsa -out flowforce.key 2048 |
Anmerkung •Der private Schlüssel muss im PEM-Format (Privacy Enhanced Mail) sein. Die Dateierweiterung von PEM-Dateien lautet normalerweise .pem, kann aber auch .key, .cert, .cer oder .crt sein. •Damit Sie den privaten Schlüssel in FlowForce verwenden können, darf er nicht durch ein Passwort geschützt sein, siehe Private Key-Anforderungen. •Der private Schlüssel muss sicher aufbewahrt werden. |
2.Erstellen Sie einen Certificate Signing Request (CSR) für den zuvor generierten privaten Schlüssel. Sie benötigen den CSR, wenn Sie Ihr SSL-Zertifikat erwerben, siehe nächster Schritt. Mit dem folgenden OpenSSL-Befehl erstellen Sie einen CSR namens myserver.csr für den Schlüssel flowforce.key:
openssl req -new -nodes -key flowforce.key -out myserver.csr |
Geben Sie die Daten zu Ihrem Unternehmen ein, wenn Sie dazu aufgefordert werden, z.B.:
Country Name (2 letter code) [AU]: AT State or Province Name (full name) [Some-State]: . Locality Name (eg, city) []: Vienna Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Ltd Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: server.my.domain.com Email Address []: test@example.org |
Anmerkung •Geben Sie ins Feld Common Name den FQDN (Fully Qualified Domain Name) des Host-Rechners, auf dem FlowForce Server ausgeführt wird, ein. •Lassen Sie das Challende Password-Feld leer, wenn Sie danach gefragt werden. |
3.Bestellen Sie das Zertifikat von einer Zertifizierungsstelle. Während des Bestellvorgangs werden Sie nach dem CSR gefragt. Öffnen Sie dazu myserver.csr in einem Text-Editor wie Notepad, kopieren Sie dessen Inhalt in die Zwischenablage und fügen Sie ihn in das Online-Bestellformular ein.
4.Nachdem die Zertifizierungsstelle Ihr Unternehmen überprüft hat, sendet sie Ihnen das erworbene Zertifikat und die sogenannten "Zwischenzertifikate". Kopieren Sie den Inhalt aller Zwischenzertifikate in eine einzige Datei, wie unter Vorbereiten von Zwischenzertifikaten beschrieben.
Zusammenfassung
Wenn Sie die obigen Anleitung befolgt haben, sollten Sie nun die folgenden Zertifikate und Schlüssel haben:
•flowforce.key - dies ist der private Schlüssel zu dem von FlowForce verwendeten Zertifikat.
•certificate.crt (Dateierweiterung variiert) - dies ist das von Ihnen erworbene Zertifikat, das die Verbindung zwischen einem Browser und FlowForce Web Server oder die Verbindung zwischen einer Client-Applikation, die sich mit einem über FlowForce Server bereitgestellten Webservice verbindet, verschlüsselt.
•intermediate.pem - diese Datei enthält alle Zwischenzertifikate, die Sie von der Zertifizierungsstelle erhalten haben.
Sie können SSL nun für FlowForce Server, FlowForce Web Server und die HTTP-Verbindung zwischen diesen, wie unten gezeigt, aktivieren:
•Aktivieren von SSL für FlowForce Web Server
•Aktivieren von SSL für FlowForce Server
•Aktivieren von SSL zwischen FlowForce Web Server und FlowForce Server