Dieses Kapitel beschreibt die Möglichkeit und Herangehensweise, um ein SSL-Zertifikat in die WebOffice 10.8 SP2 Applikation über die WebOffice Administrationsseite (SynAdmin) zu importieren und zu verwalten.
In Kunden-Umgebungen kommt es immer wieder zu Problemen bei verschlüsselten Verbindungen, weil das Zertifikat des angesprochenen Servers nicht bekannt ist (z.B. bei Self-Signed Certificates).
Typisch ist hierbei folgende Fehlermeldung:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
Um das Problem zu beheben, muss das vom angesprochenen Server angebotene Zertifikat (oder ein in der KeyChain höher gelegenes Zertifikat, z.B. das Zertifikat des Herausgebers des betroffenen Zertifikates) in den Java Truststore (Zertifikatsspeicher) importiert werden.
Der Truststore ist per default (d.h. soweit nicht spezifisch anders ankonfiguriert) die Datei .\Java\jre\lib\security\cacerts in der aktuell durch WebOffice verwendeten Java JRE und hat das Passwort changeit.
Der Import-Vorgang kann einerseits manuell durchgeführt werden, z.B. mit dem Tool KeyStore Explorer (Download: http://www.keystore-explorer.org); siehe dazu Schritt-für-Schritt Anleitung im Kapitel SSL/TLS-Zertifikate importieren.
Andererseits kann dies über eine individuell angepasste BAT Datei durchgeführt werden, zu finden auf der WebOffice10.8-DVD im Verzeichnis .\Software\Miscellaneous\Automatization\Import_Certificates.bat, welches den Import-Vorgang beschleunigt.
Egal ob manuell mit dem Tool oder mit Import_Certificates.bat, der Vorgang benötigt umfassendes Verständnis der technischen Umgebung (Welche JRE wird verwendet? Wie sieht die KeyChain des Zertifikates aus? Welche URL muss verwendet werden? etc.), welches häufig zu Verwirrungen und Zeitverlust führt.
Aus diesem Grund gibt es ab Version WebOffice 10.6 R2 SP1 eine neue Möglichkeit für WebOffice-Administratoren zur Verwaltung des von WebOffice verwendeten Zertifikatsspeichers in SynAdmin. Im Reiter Zertifikate werden Informationen zum verwendeten Zertifikatsspeicher der WebOffice 10.8 SP2 Applikation angezeigt sowie die Möglichkeit angeboten, um neue SSL-Zertifikate in den Zertifikatsspeicher zu importieren oder bestehende SSL-Zertifikate zu löschen.
Hinweis: Eine detaillierte Beschreibung aller angezeigten Informationen in der Auflistung des Zertifikatsspeichers ist im Kapitel Zertifikate dokumentiert.
SSL-Zertifikate via SynAdmin importieren
Im unteren Bereich der Seite kann über den Button "Zertifikatsüberprüfung anzeigen" die Vertrauenskette einer Adresse (Domäne oder IP) überprüft und auf der Ergebnisseite ein bestimmtes Zertifikat als vertrauenswürdig eingestuft werden.
Schritte in SynAdmin:
1.Klick Zertifikatsüberprüfung anzeigen
2.Eingabe URL von Hostname sowie Port.
Hinweis:
Testen Sie zunächst, ob Sie mit Angabe der URL und des Ports auf die gewünschte Seite gelangen!
Vorsicht:
Bitte beachten Sie, dass bei der Verwendung von LDAPS die Angabe des vollständig angegebenen LDAPS-Servernamen (Fully-Qualified Domain Name, FQDN) und nicht nur der Domain in den JAVA-bzw. WebOffice-Zertifikatsspeicher notwendig ist.
3.Klick Überprüfung ausführen
Es erfolgt nun eine Zertifikatsüberprüfung für das zu importierende Zertifikat
4.Neben dem aufgelisteten Zertifikat kann nun mittels Klick auf Importieren das Zertifikat in den Zertifikatsspeicher von Java als auch WebOffice importiert werden
Hinweis: Falls Apache Tomcat unter einem eigenen Benutzer läuft, so muss dieser Benutzer entsprechende Zugriffsberechtigungen auf den Pfad zum Java Zertifikatsspeicher haben. Ansonsten bricht das Importieren mit einer entsprechenden Fehlermeldung ab.
Hinweis: Das Protokoll ist bei der Eingabe der URL irrelevant. HTTPS oder FTP werden demnach ignoriert. Ebenso sind alle Informationen nach dem Hostnamen zu vernachlässigen.
Hinweis: Standardmäßig wird der Port 443 gesetzt, somit wird im Zertifikatsspeicher von IIS nach dem jeweiligen Zertifikat gesucht. Wird beispielsweise der Port 6443 angegeben, so wird im ArcGIS Server Truststore gesucht.
Hostname URL eintragen und Überprüfung ausführen
Zertifikat in beiden Zertifikatsspeichern importieren
SSL-Zertifikat via SynAdmin in den WebOffice Zertifikatsspeicher kopieren
Ein im Java Zertifikatsspeicher befindliches Zertifikat kann zusätzlich in den WebOffice Zertifikatsspeicher kopiert werden. Rechts der Zertifikatsbezeichnung kann dieser Schritt durch Klick auf Kopieren durchgeführt werden. Nur wenn ein Zertifikat im WebOffice Zertifikatsspeicher vorhanden ist, ist sichergestellt, dass es auch nach einem Update der Java Version (neuer Java Zertifikatsspeicher) weiterhin als vertrauenswürdig eingestuft ist.
Hinweis: Falls nach einem Upgrade von WebOffice eine aktualisierte Applikation eingespielt werden soll, wird der WebOffice Zertifikatsspeicher durch eine neuen, leeren Speicher ausgetauscht. Daher wird empfohlen, den bestehenden WebOffice Zertifikatsspeicher vor einer Aktualisierung mit Hilfe des Skriptes Kundenspezifische Dateien Exportieren zu sichern und anschließend in die neue Applikation wieder einzufügen.
Hinweis: Weiterführende Informationen zur Handhabung von Zertifikaten entnehmen Sie bitte aus dem Kapitel SSL/TLS-Zertifikate importieren.