Navigation:  Administration > WebOffice Sicherheit >

SSL/TLS-Zertifikate importieren

 Previous pageReturn to chapter overviewNext page

Diese Anleitung zeigt wie  einem Public SSL/TLS-Certificate vertraut werden kann um eine verschlüsselte Verbindung zu ermöglichen. Dies ist zum Beispiel notwendig bei self-signed Certificates, welche grundsätzlich als nicht vertrauenswürdig eingestuft werden.

 

Zertifikat exportieren

Ein Zertifikat kann im Firefox betrachtet und exportiert werden. Dazu die entsprechende Seite besuchen und (nachdem das Betreten einer „unsicheren“ Seite bestätigt wurde) über das „Schloss“-Symbol in der URL-Zeile das Zertifikat öffnen und dann als *.crt-Datei abspeichern. Hierzu ein Beispiel:

 

admin_security_import1

 

Windows

Um ein (self-signed) SSL/TLS-Zertifikat in die Liste der vertrauenswürdigen Zertifikate zu importieren, welche von Windows (d.h. auch von Internet Explorer und WebOffice Author) verwendet wird, bitte wie folgt vorgehen:

Windows Eingabeaufforderung öffnen (als Administrator) und dort das Tool certmgr starten.

Über „Vertrauenswürdige Stammzertifizierungsstellen“ -> „weitere Aktionen“ -> „Alle Aufgaben“ -> „Importieren“ das vorgängig abgespeicherte Zertifikat (*.crt-Datei, siehe oben) importieren.

 

admin_security_import2

 

Nun kann die URL im Internet Explorer getestet werden. Es darf kein Zertifikatsfehler auftreten.

Anzeige im IE, vorher:

 

admin_security_import3

Anzeige im IE, nachher:

 

admin_security_import4

 

Java

Es gibt auch noch den Java-Truststore, das heißt die Liste der vertrauenswürdigen Zertifikate welche von javabasierten Programmen wie WebOffice Server verwendet wird. Der Truststore heißt standardmäßig cacerts und ist mit dem Passwort changeit gesichert. Weil jedes JRE seinen eigenen Truststore hat, muss zuerst die zutreffende Java-Version ermittelt werden. Im SynAdmin ist unter „System“ aufgelistet welche Runtime durch WebOffice benutzt wird.

 

 

 

admin_security_import5

 

Im oben stehenden Beispiel liegt der zutreffende Truststore unter C:\Program Files\Java\jdk1.8.0_51\jre\lib\security.

 

Zertifikate können nun manuell mit dem Tool KeyStoreExplorer (https://sourceforge.net/projects/keystoreexplorer/) importiert werden:

 

admin_security_import6b

 

 

admin_security_import6

 

 

admin_security_import6c

 

 

admin_security_import6d

 

 

 

admin_security_import6e

 

 

admin_security_import6f

 

 

 

 

 

Hinweis: Obwohl das Zertifikat importiert wurde, kann dies weder mit dem Internet Explorer noch mit dem Firefox verifiziert werden. Beide Browser verwenden nicht den Java-Truststore, sondern haben andere Zertifikatslisten (IE benützt diejenige von Windows).

 

 

ArcGIS 10.4 for Server

Wenn auch der ArcGIS 10.4 for Server unter einer sicheren Verbindung läuft, muss dort ebenfalls ein entsprechendes self-signed Certificate importiert werden. Wechseln Sie dazu auf das ArcGIS 10.4 for Server Admin Interface und navigieren Sie zu Machines  --> <Name der registrierten Maschine> --> sslcertificates --> importExistingServerCertificate. Geben Sie dort zunächst das Passwort für das entsprechende Zertifikat und einen Alias-Namen ein und laden Sie anschließend das gewünschte Zertifikat hoch.

 

admin_security_import7

 

Um die Kartendienste vom jeweiligen ArcGIS 10.4 for Server auch im WebOffice author einwandfrei abrufen zu können (z.B. in diversen Wizards), beachten Sie bitte, dass man den Server im WebOffice author exakt gleich ausqualifizieren muss wie die Adresse auf jene das Zertifikat ausgestellt worden ist. Ansonsten erhalten Sie nach dem Abrufen der entsprechenden Kartendienste folgende Fehlermeldung:

 
admin_security_import8

 

 

Hinweis: Hierzu ein kurzes Beispiel: https://<hostname>:6443/arcgis liefert die oben gezeigte Fehlermeldung. Jedoch funktioniert https://<hostname>.synergis.intern:6443/arcgis ohne Probleme, weil auch das self-signed Certificate auf <hostname>.synergis.intern ausgestellt wurde.