Einrichten der SSL-Verschlüsselung

www.altova.com Alle erweitern/reduzieren Dieses Kapitel drucken Vorherige Seite Eine Ebene nach oben Nächste Seite

Startseite >  Einrichten von MobileTogether Server >

Einrichten der SSL-Verschlüsselung

Wenn es die Kommunikation zwischen Ihrem MobileTogether Server und den MobileTogether Client-Geräten über das SSL-Protokoll verschlüsselt werden muss, sind folgende Schritte erforderlich:

 

Generieren eines SSL Privat Key und Erstellen einer SS Public Key-Zertifikatdatei
Konfigurieren von MobileTogether Server für die SSL-Kommunikation

 

Im Folgenden sind die Schritte im Einzelnen beschrieben.

 

MobileTogether verwendet zur Verwaltung der SSL-Verschlüsselung den Open Source OpenSSL Toolkit. Die unten aufgelisteten Schritte müssen daher auf einem Computer durchgeführt werden, auf dem OpenSSL zur Verfügung steht. OpenSSL ist im Allgemeinen auf dem meisten Linux-Distributions und macOS-Rechnern vorinstalliert. Es kann auch auf Windows-Computern installiert werden. Download Links zu den Installations-Binärdateien finden Sie im OpenSSL Wiki.

 

 

 

1.Generieren eines Private Key

Für SSL muss auf MobileTogether Server ein Private Key installiert werden. Mit Hilfe dieses Private Key werden alle an MobileTogether Client Apps gesendeten Daten verschlüsselt. Verwenden Sie zum Erstellen des Private Key den folgenden OpenSSL-Befehl:

openssl genrsa -out private.key 2048

 

Dadurch wird eine Datei namens private.key generiert, die Ihren Private Key enthält. Merken Sie sich, wo Sie die Datei speichern. Anhand des Private Key wird der (i) Certificate Signing Request (CSR) generiert und der Private Key (ii) wird auf MobileTogether Server installiert (siehe Schritt 8 weiter unten).

 

 

2.Certificate Signing Requests (CSRs)

Ein Certificate Signing Request (CSR) wird an eine Zertifizierungsstelle (Certificate Authority = CA) wie z.B. VeriSign oder Thawte gesendet, um ein Public Key-Zertifikat anzufordern. Der CSR basiert auf Ihrem Private Key und enthält Informationen über Ihr Unternehmen. Mit dem folgenden OpenSSL-Befehl (der die in Schritt 1 erstellte Private Key-Datei private.key als einen seiner Parameter enthält) wird ein CSR erstellt:

openssl req -new -nodes -key private.key -out my.csr

 

Während der Generierung des CSR müssen Sie die unten angeführten Informationen über Ihr Unternehmen angeben. Anhand dieser Informationen überprüft die Zertifizierungsstelle die Identität Ihres Unternehmens.

 

Country (Land)
Locality (Ort) (die Stadt, in dem Ihr Unternehmen seinen Firmensitz hat)
Organization (Unternehmen) (Ihr Firmenname). Verwenden Sie keine Sonderzeichen, da sonst kein gültiges Zertifikat erstellt werden kann
Common Name (der DNS-Name Ihres Servers). Dieser Name muss mit dem offiziellen Namen Ihres Servers, d.h. dem DNS-Namen, über den Client Apps eine Verbindung zum Server herstellen, genau übereinstimmen.
Ein "Challenge Password". Dieser Eintrag muss leer bleiben!

 

 

3.Erwerben eines SSL-Zertifikats

Erwerben Sie von einer anerkannten Zertifizierungsstelle (CA), wie z.B. VeriSign oder Thawte ein SSL-Zertifikat. In der restlichen Anleitung gehen wir nach dem VeriSign-Verfahren vor. Bei anderen CAs ist der Ablauf ähnlich.

 

Gehen Sie zur VeriSign Website.
Klicken Sie auf Buy SSL Certificates.
Es stehen unterschiedliche Arten von SSL-Zertifikaten zur Verfügung. Für MobileTogether Server genügen Secure Site- oder Secure Site Pro-Zertifikate. Eine EV (Extended Verification) ist nicht nötig, da Benutzern keine "grüne Adressleiste" angezeigt wird.
Erledigen Sie die Anmeldung und füllen Sie die erforderlichen Informationen für Ihre Bestellung aus.
Wenn Sie nach dem (in Schritt 2 erstellten) CSR gefragt werden, kopieren Sie den Inhalt der Datei my.csr in das Bestellformular.
Bezahlen Sie das Zertifikat mit Ihrer Kreditkarte.

 

Wartezeit für das Zertifikat

Berücksichtigen Sie beim Einrichten Ihres MobileTogether Servers, dass es normalerweise zwei bis drei Werktage dauert, bis Sie Public Key-Zertifikate von einer SSL-Zertifizierungsstelle (CA) erhalten.

 

 

4.Zusendung des Public Key von der CA

Die Zertifizierungsstelle benötigt zwei bis drei Werktage für die Bearbeitung Ihrer Bestellung. Während dieser Zeit erhalten Sie eventuell E-Mails oder Telefonanrufe, in denen überprüft wird, ob Sie berechtigt sind, ein SSL-Zertifikat für Ihre DNS-Domain zu erhalten. Beantworten Sie bitte die Fragen der CA, um das Zertifikat zu erhalten.

 

Nach Abschluss des Überprüfungsverfahrens erhalten Sie eine E-Mail mit dem Public Key Ihres SSL-Zertifikats. Der Public Key wird entweder in Textform oder im Anhang in einer .cer-Datei gesendet.

 

 

5.Speichern des Public Key in einer Datei

Um den Public Key mit MobileTogether Server verwenden zu können, muss er in einer .cer-Datei gespeichert werden. Wenn der Public Key in Textform gesendet wurde, kopieren Sie bitte alle Zeilen ab

 

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

 

in eine Textdatei, z.B. in mycertificate.cer.

 

 

6.Speichern der Zwischenzertifikats der CA in einer Datei

Zur Fertigstellung Ihres SSL-Zertifikats benötigen Sie zwei zusätzliche Zertifikate: das primäre und das sekundäre Zwischenzertifikat. Ihre Zertifizierungsstelle (CA) listet den Inhalt von Zwischenzertifikaten auf ihrer Website auf.

 

Die Zwischenzertifikate von Verisign für sein Secure Site-Produkt: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735

 

Kopieren Sie die beiden Zwischenzertifikate (das primäre und das sekundäre) in separate Textdateien und speichern Sie diese auf Ihrem Rechner.

 

 

7.Kombinieren der Zertifikate zu einer Public Key-Zertifikatdatei

Sie haben nun drei Zertifikatdateien:

 

Public Key (mycertificate.cer)
Sekundäres Zwischenzertifikat
Primäres Zwischenzertifikat

 

Jede enthält Textblöcke innerhalb der folgenden Zeilen:

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

 

Kopieren Sie nun alle drei Zertifikate der Reihe nach in eine Datei. Die richtige Reihenfolge ist wichtig: (i) Public Key, (ii) sekundäres Zwischenzertifikat, (iii) primäres Zwischenzertifikat. Stellen Sie sicher, dass sich keine Zeilen zwischen den Zertifikaten befinden.

--BEGIN CERTIFICATE--

Public Key aus mycertificate.cer (siehe Schritt 5)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

Sekundäres Zwischenzertifikat (siehe Schritt 6)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

Primäres Zwischenzertifikat (siehe Schritt 6)

--END CERTIFICATE--

 

Speichern Sie den kombinierten Zertifikattext in einer Datei namens publickey.cer . Dies ist die Public Key-Zertifikatdatei Ihres SSL-Zertifikats. Sie enthält Ihr Public Key-Zertifikat sowie die gesamte Kette der Zwischenzertifikate, mit denen die CA Ihr Zertifikat signiert hat. Die Public Key-Zertifikatdatei wird zusammen mit dem Private Key (siehe Schritt 8) auf MobileTogether Server installiert.

 

 

8.Installieren des SSL-Zertifikats auf MobileTogether Server

Beim SSL-Zertifikat handelt es sich um eine Gruppe von Zertifikaten, die in den folgenden Dateien gespeichert sind:

 

private.key: Enthält das Private Key-Zertifikat
publickey.cer: Enthält das Public Key-Zertifikat und die Zwischenzertifikate (primäres und sekundäres) der CA

 

 

Um die SSL-Zertifikate auf MobileTogether Server zu installieren, gehen Sie folgendermaßen vor:

 

Loggen Sie sich auf der MobileTogether Server-Oberfläche ein (standardmäßig auf Port 8085 Ihres Servers).
Gehen Sie zum Register "Einstellungen".
Laden Sie unter SSL-Zertifikate (siehe Abbildung unten) die beiden Zertifikatdateien hoch.

MTSSetSSL

οWählen Sie als privaten Schlüssel den in Schritt 1 erstellten private.key.
οWählen Sie als Zertifikat den in Schritt 7 erstellten publickey.cer.

 

Klicken Sie am unteren Rand des Abschnitts "Allgemeine Einstellungen" auf Speichern, um Ihre Änderungen zu speichern.

 

 

9.Definieren des HTTPS-Port für den Server

Nachdem Sie das SSL-Zertifikat installiert haben, können Sie folgendermaßen einen Server-Port für die SSL-Kommunikation mit dem Client definieren:

 

Loggen Sie sich auf der MobileTogether Server-Oberfläche ein (standardmäßig auf Port 8085 Ihres Servers).
Gehen Sie zum Register "Einstellungen".
Aktivieren Sie unter "Mobile Client Ports" (siehe Abbildung unten) den HTTPS-Port und definieren Sie ihn.

MTSSetClientPorts

Stellen Sie sicher, dass Ihre Firewall den Zugriff auf MobileTogether Server über den HTTPS-Port erlaubt.

 

 

10.Testen der SSL-Kommunikation

Sie können nun mit jedem SSL-Testtool überprüfen, ob die sichere Kommunikation mit Ihrem Server über HTTPS funktioniert. Über einen Browser können Sie dies z.B. über die folgende SSL-Test-Site testen: https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

 

Sie erfahren dadurch, (i) ob das Public Key-Zertifikat zusammen mit den Zwischenzertifikaten in Schritt 7 korrekt erstellt wurde und (ii) ob Ihr Server durch die Firewall erreichbar ist.

 

 

11.Konfigurieren von MobileTogether Clients für die Verwendung von SSL

Aktivieren Sie die SSL-Verschlüsselung in MobileTogether Client Apps, die mit einem MobileTogether Server kommunizieren, bei dem die SSL-Verschlüsselung aktiviert ist, durch Anhaken des Kontrollkästchens SSL-Verschlüsselung. Eine Beschreibung dazu finden Sie in der MobileTogether Client-Dokumentation.

 

 

 


© 2019 Altova GmbH