JavaScript aktivieren, um diese Seite anzuzeigen.

Im Menüpunkt SSL wird das Zertifikat angezeigt, welches für den SSL Zugang auf das GINA- beziehungsweise auf die Administrations-Oberfläche verwendet wird. Dieses Zertifikat wird auch für die TLS-Verschlüsselung zu anderen Systemen verwendet.

 

Abschnitte auf dieser Seite:

Einleitung

Issued to

Issued by

Validity

Fingerprint

PKCS12 One-Time-Only Download

Backup

 

 

anchor link Einleitung

 

empty

anchor link Hinweis:

Bei SSL handelt es sich um eine maschinenbezogene Einstellung. Das heißt, das hier verwendete Zertifikat wird nicht im Cluster synchronisiert. Gegebenenfalls muss - je nach Bedarf und Infrastruktur (siehe insbesondere ADD TLS DOMAIN TLS settings TLS-Einstellung „secure“) - auf jedem Cluster Partner ein eigenes Zertifikat verwendet oder dasselbe Zertifikat importiert werden.

 

Eine Ausnahme besteht bei Verwenden der Option Use virtual hosting aus der Sektion Settings des Menüs GINA Domains, da hier für jede GINA-Domain ein eigenes Zertifikat einzubinden ist.

 

Ist bereits ein Zertifikat eingebunden, so wird dieses wie unten folgt angezeigt.

Andernfalls kann über die Schaltfläche Request or create a certificate... ein self-signed (gegebenenfalls auch lokal signiertes) SSL Zertifikat oder ein Certificate Signing Request (CSR) erzeugt werden.

Über Import existing certificate... kann ein bereits vorhandenes SSL Zertifikat importiert werden.

Wird oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember to import the signed certificate angezeigt, so erscheint lediglich die Schaltfläche Continue certificate signing request.... Damit wird der mittels Request or create a certificate... gestartete Zertifikatsbezug via CSR fortgeführt, beziehungsweise abgeschlossen.

 

empty

anchor link Hinweis:

SSL-Server-Zertifikate müssen als Schlüsselverwendung sowohl digitale Signatur als auch Schlüsselverschlüsselung, sowie unter erweiterte Verwendung die Serverauthentifizierung eingetragen haben.

Erlaubt sind auch Wildcard Zertifikate, also zum Beispiel „*.firma.tld“. Hier gilt jedoch zu beachten, dass mit dieser Art von Zertifikaten die TLS-Einstellung „secure“ (siehe ADD TLS DOMAIN) nicht möglich ist!

Wird kein TLS-secure benötigt, so kann auch im Cluster jeweils dasselbe Zertifikat verwendet werden.

Auch Subject Alternative Name (SAN) Zertifikate (auch Multi Domain Zertifikate genannt) werden unterstützt.

 

Das Root Zertifikat sowie gegebenenfalls zugehörige Zwischenzertifikate sollten unter X.509 Root Certificates vorhanden und als vertrauenswürdig eingestuft sein.

Dies ersetzt nicht den Import der Zwischenzertifikate (siehe auch Warnung unter IMPORT AN EXISTING CERTIFICATE (AUTHORITY)).

 

empty

anchor link Achtung:

Im Fehlerfall ist das Maschinen Zertifikat nicht zu nutzen.

Dies kann zu Problemen beim Zugriff auf die Konfigurationsoberfläche führen. Aus diesem Grund sollte vor Änderungen in diesem Menü sicherheitshalber der HTTP Port über System Advanced view Admin GUI HTTP port für den Zugriff auf die Administrationsoberfläche (http://<Appliance>:8080) temporär freigegeben werden.

 

 

anchor link Sektion Issued to

 

Diese Sektion zeigt Informationen über den Inhaber des SSL Zertifikates.

Abhängig vom Zertifikat müssen nicht alle hier aufgeführten Parameter vorhanden sein.

 

Parameter

Beschreibung

anchor link Name (CN)

In der Regel beinhaltet dieses Feld den Domänennamen, über welchen das GINA-Portal zu erreichen ist, zum Beispiel „securemail.meinefirma.tld“. Wird ein sogenanntes Wildcard-Zertifikat verwendet, so würde der Domänenname „*.meinefirma.tld“ lauten.

Bei self-signed Zertifikaten kann hier zum Beispiel auch „meinefirma.local“ stehen. IP-Adressen, wie zum Beispiel „10.0.0.10“ sollten an dieser Stelle generell vermieden werden.

anchor link E-mail address

In der Regel der wird die E-Mail Adresse des Antragstellers, beziehungsweise des Verwalters des Zertifikates oder dessen Abteilung eingetragen.

anchor link Org. unit (OU)

Organisationseinheit wie zum Beispiel ein Abteilungsname wie „Buchhaltung“

anchor link Organization (O)

Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel „Firma“

anchor link Locality (L)

Standort zum Beispiel eine Stadt wie „Neuenhof“ oder auch ein Teilgebäude wie „Werk2“

anchor link State (ST)

Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel „AG“ für „Aargau“

anchor link Country (C)

Land, zum Beispiel „CH“ für „Schweiz“

anchor link Serial no.

Seriennummer des Zertifikats

anchor link Subject Alternative Name

Handelt es sich bei dem Zertifikat um ein sogenanntes SAN- oder Multi-Domain-Zertifikat, so sind hier die Alternativen Antragsteller Namen zu sehen.

 

 

anchor link Sektion Issued by

 

Diese Sektion zeigt Informationen über den Aussteller des SSL Zertifikates (Wurzel-Zertifikat).

Abhängig vom Aussteller müssen nicht alle hier aufgeführten Parameter vorhanden sein.

 

Parameter

Beschreibung

anchor link Name (CN)

Name der ausstellenden Zertifizierungsstelle

anchor link E-mail address

In der Regel eine E-Mail Adresse für Support-Anfragen an den Aussteller

anchor link Org. unit (OU)

Gibt eine Organisationseinheit des Ausstellers an

anchor link Organization (O)

Gibt die ausstellende Organisation an

anchor link Locality (L)

Gibt den Standort des Ausstellers an

anchor link State (ST)

Gibt ein Bundesland, Kanton, Provinz oder Ähnliches des Ausstellers an

anchor link Country (C)

Gibt das Land des Ausstellers an

anchor link Serial no.

Seriennummer des Zertifikats

 

 

anchor link Sektion Validity

Zeigt die Gültigkeit des Zertifikates.

 

Parameter

Beschreibung

anchor link Issued on

Ausstelldatum des SSL Zertifikates

anchor link Expires on

Ablaufdatum des SSL Zertifikates

 

 

anchor link Sektion Fingerprint

 

Der Fingerprint ist die Prüfsumme (eben auch hash oder fingerprint) und dient dem Überprüfen eines Zertifikats. An dieser Stelle wird der Hash-Algorithmus (zum Beispiel MD5 SHA1 oder SHA256), mit welchem die Prüfsumme gebildet wurde, sowie der berechnete Wert angezeigt. Sind mehrere fingerprints unterschiedlicher Algorithmen vorhanden, so wird jeder in einer separaten Zeile ausgegeben.

 

Parameter

Beschreibung

anchor link Hash-Algorithmus des Zertifikates

Beispiel eines SHA1 Fingerprints:

48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5

 

anchor link Sektion PKCS12 One-Time-Only Download

(neu in 14.0.0)

 

Hier ist einmalig direkt nach der Erzeugung des Zertifikats der Download des Private Key möglich. Nach einem Refresh der Seite ist dies nicht mehr möglich.

 

 

anchor link Sektion Backup

 

Mittels Download certificate kann das SSL-Zertifikat (also ausschließlich der öffentliche Schlüssel) im PEM-Format heruntergeladen werden.

Soll im Cluster dasselbe Zertifikat für alle Cluster Mitglieder verwendet werden, so kann dieses über die Schaltfläche Transfer to cluster members an die Mitglieder verteilt werden.

Dieser Transfer funktioniert nur unter Backends (siehe Cluster Cluster members) oder vom Frontend (siehe Cluster Remote LDAP server) zum Backend, nicht jedoch vom Backend zum Frontend.

 

  

Tastaturnavigation

F7 für Tastaturnavigation
ALT halten und Buchstaben drücken

Diese Info: ALT+q
Seitentitel: ALT+t
Seiteninhalt: ALT+b
Inhalte: ALT+c
Suche: ALT+s
Ebene höher: ESC