Im Menüpunkt SSL wird das Zertifikat angezeigt, welches für den SSL Zugang auf das GINA- beziehungsweise auf die Administrations-Oberfläche verwendet wird. Dieses Zertifikat wird auch für die TLS-Verschlüsselung zu anderen Systemen verwendet.
Abschnitte auf dieser Seite:
|
Bei SSL handelt es sich um eine maschinenbezogene Einstellung. Das heisst, das hier verwendete Zertifikat wird nicht im Cluster synchronisiert. Gegebenenfalls muss - je nach Bedarf und Infrastruktur (siehe insbesondere TLS settings TLS-Einstellung «secure») - auf jedem Cluster Partner ein eigenes Zertifikat verwendet oder dasselbe Zertifikat importiert werden. |
Eine Ausnahme besteht bei Verwenden der Option Use virtual hosting aus der Sektion Settings des Menüs GINA Domains, da hier für jede GINA-Domain ein eigenes Zertifikat einzubinden ist.
Ist bereits ein Zertifikat eingebunden, so wird dieses wie unten folgt angezeigt.
Andernfalls kann über die Schaltfläche Request or create a certificate... ein self-signed (gegebenenfalls auch lokal signiertes) SSL Zertifikat oder ein Certificate Signing Request (CSR) erzeugt werden.
Über Import existing certificate... kann ein bereits vorhandenes SSL Zertifikat importiert werden.
Wird oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember to import the signed certificate angezeigt, so erscheint lediglich die Schaltfläche Continue certificate signing request.... Damit wird der mittels Request or create a certificate... gestartete Zertifikatsbezug via CSR fortgeführt, beziehungsweise abgeschlossen.
|
SSL-Server-Zertifikate müssen als Schlüsselverwendung sowohl digitale Signatur als auch Schlüsselverschlüsselung, sowie unter erweiterte Verwendung die Serverauthentifizierung eingetragen haben. Erlaubt sind auch Wildcard Zertifikate, also zum Beispiel «*.firma.tld». Hier gilt jedoch zu beachten, dass mit dieser Art von Zertifikaten die TLS-Einstellung «secure» (siehe ) nicht möglich ist! Wird kein TLS-secure benötigt, so kann auch im Cluster jeweils dasselbe Zertifikat verwendet werden. Auch Subject Alternative Name (SAN) Zertifikate (auch Multi Domain Zertifikate genannt) werden unterstützt.
Das Root Zertifikat sowie gegebenenfalls zugehörige Zwischenzertifikate sollten unter X.509 Root Certificates vorhanden und als vertrauenswürdig eingestuft sein. Dies ersetzt nicht den Import der Zwischenzertifikate (siehe auch Warnung unter ). |
|
Im Fehlerfall ist das Maschinen Zertifikat nicht zu nutzen. Dies kann zu Problemen beim Zugriff auf die Konfigurationsoberfläche führen. Aus diesem Grund sollte vor Änderungen in diesem Menü sicherheitshalber der HTTP Port über System Advanced view Admin GUI HTTP port für den Zugriff auf die Administrationsoberfläche (http://<Appliance>:8080) temporär freigegeben werden. |
Diese Sektion zeigt Informationen über den Inhaber des SSL Zertifikates.
Abhängig vom Zertifikat müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter |
Beschreibung |
|---|---|
In der Regel beinhaltet dieses Feld den Domänennamen, über welchen das GINA-Portal zu erreichen ist, zum Beispiel «securemail.meinefirma.tld». Wird ein sogenanntes Wildcard-Zertifikat verwendet, so würde der Domänenname «*.meinefirma.tld» lauten. Bei self-signed Zertifikaten kann hier zum Beispiel auch «meinefirma.local» stehen. IP-Adressen, wie zum Beispiel «10.0.0.10» sollten an dieser Stelle generell vermieden werden. |
|
In der Regel der wird die E-Mail Adresse des Antragstellers, beziehungsweise des Verwalters des Zertifikates oder dessen Abteilung eingetragen. |
|
Organisationseinheit wie zum Beispiel ein Abteilungsname wie «Buchhaltung» |
|
Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel «Firma» |
|
Standort zum Beispiel eine Stadt wie «Neuenhof» oder auch ein Teilgebäude wie «Werk2» |
|
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel «AG» für «Aargau» |
|
Land, zum Beispiel «CH» für «Schweiz» |
|
Seriennummer des Zertifikats |
|
Handelt es sich bei dem Zertifikat um ein sogenanntes SAN- oder Multi-Domain-Zertifikat, so sind hier die Alternativen Antragsteller Namen zu sehen. |
Diese Sektion zeigt Informationen über den Aussteller des SSL Zertifikates (Wurzel-Zertifikat).
Abhängig vom Aussteller müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter |
Beschreibung |
|---|---|
Name der ausstellenden Zertifizierungsstelle |
|
In der Regel eine E-Mail Adresse für Support-Anfragen an den Aussteller |
|
Gibt eine Organisationseinheit des Ausstellers an |
|
Gibt die ausstellende Organisation an |
|
Gibt den Standort des Ausstellers an |
|
Gibt ein Bundesland, Kanton, Provinz oder Ähnliches des Ausstellers an |
|
Gibt das Land des Ausstellers an |
|
Seriennummer des Zertifikats |
Zeigt die Gültigkeit des Zertifikates.
Parameter |
Beschreibung |
|---|---|
Ausstelldatum des SSL Zertifikates |
|
Ablaufdatum des SSL Zertifikates |
Der Fingerprint ist die Prüfsumme (eben auch hash oder fingerprint) und dient dem Überprüfen eines Zertifikats. An dieser Stelle wird der Hash-Algorithmus (zum Beispiel MD5 SHA1 oder SHA256), mit welchem die Prüfsumme gebildet wurde, sowie der berechnete Wert angezeigt. Sind mehrere fingerprints unterschiedlicher Algorithmen vorhanden, so wird jeder in einer separaten Zeile ausgegeben.
Parameter |
Beschreibung |
|---|---|
Beispiel eines SHA1 Fingerprints: 48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5 |
Mittels Download certificate kann das SSL-Zertifikat (also ausschliesslich der öffentliche Schlüssel) im PEM-Format heruntergeladen werden.
Soll im Cluster dasselbe Zertifikat für alle Cluster Mitglieder verwendet werden, so kann dieses über die Schaltfläche Transfer to cluster members an die Mitglieder verteilt werden.
Dieser Transfer funktioniert nur unter Backends (siehe Cluster Cluster members) oder vom Frontend (siehe Cluster Remote LDAP server) zum Backend, nicht jedoch vom Backend zum Frontend.
