Instanz / Zertifikate
On Premise
Diese Konfigurationsoption betrifft nur On Premise Instanzen.
Die Konfiguration des SSL-Zertifikats für den Web-Zugriff auf Inventory360 kann im Adminbereich unter Grundeinstellungen -> Instanz vorgenommen werden.
| Feld | Beschreibung |
|---|---|
| (1) SSL Zertifikat (.crt) | PEM encodiertes X.509 SSL-Zertifikat |
| (2) SSL Key (.key) | Private Key im PKCS#1 Format. Ohne Passphrase. |
| (3) Standard wiederherstellen | Wiederherstellung der Auslieferungs-Zertifikate |
Wichtig
Zur Übernahme der Einstellungen am Ende der Seite auf den blauen Button Übernehmen klicken.
Zertifikat erstellen¶
In der Regel wird zur Erstellung eines offiziellen Zertifikats ein Certificate Signing Request (= CSR) benötigt.
Abweichungen
Für weitere Details oder einen individuell abweichenden Prozess z.B. bei der Verwendung einer eigenen CA (= Certificate Authority) wenden Sie sich bitte an den zuständigen Anbieter oder Fachbereich.
Für die Erstellung eines gültigen CSRs wird die Anwendung OpenSSL benötigt.
Sicherheitshinweis
Der Private Key server.key ist nicht zur Herausgabe an Dritte bestimmt. Dieser sollte von Ihnen sicher abgespeichert werden.
1. Private Key erstellen¶
Erstellen Sie zunächst einen neuen Private Key. Hierbei ist darauf zu achten, dass der Passphrase leer gelassen (= mit Enter bestätigt) wird.
openssl genrsa -out private.key 2048
2. Konfigurationsdatei erstellen¶
Im nächsten Schritt wird eine Konfigurationsdatei mit den Parametern zur Zertifikatserstellung erstellt.
Diese benennen wir im Beispiel req.conf.
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = Bayern
L = Musterstadt
O = Musterfirma GmbH
CN = inventory360.example.com
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = inventory360.example.com
Hostname
Achten Sie hierbei darauf, dass der spätere Hostname Ihrer Inventory360 Instanz für CN und DNS.1 übereinstimmt.
3. CSR erstellen¶
Im letzten Schritt wird der CSR auf Basis des Private Keys private.key und der Konfigurationsdatei req.conf erstellt.
openssl req -new -out request.csr -key private.key -config req.conf
Diese *.csr Datei muss im Anschluss zur Ausstellung der Zertifikats an Ihre Zertifizierungsstelle übergeben werden.
Zertifikate prüfen¶
Bevor ein Zertifikat in Inventory360 eingespielt wird, kann dieses auf verschiedene Arten geprüft werden.
.crt-Datei¶
Die *.crt Datei mit einem Texteditor öffnen. Der Inhalt sollte dabei den folgenden Aufbau haben:
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
.key-Datei¶
Die *.key Datei mit einem Texteditor öffnen. Der Inhalt sollte dabei den folgenden Aufbau haben:
-----BEGIN RSA PRIVATE KEY-----
[...]
-----END RSA PRIVATE KEY-----
Zusammengehörigkeit Cert & Key¶
Um die Zusammengehörigkeit von .crt und .key zu verifizieren ist eine lokale Installation von OpenSSL notwendig.
Hierbei werden die Prüfsummen der beiden Dateien verglichen.
openssl x509 -noout -modulus -in inventory360.crt | openssl md5
openssl rsa -noout -modulus -in inventory360.key | openssl md5
Diese müssen in beiden Fällen übereinstimmen.
Zertifikate konvertieren¶
PKCS#8 Key in PKCS#1 Key¶
Konvertierung eines PKCS#8 Private Keys in das PKCS#1 Format
openssl rsa -in inventory360.key -out inventory360_pkcs1.key
Passphrase entfernen¶
Wurde ein Private Key mit einem Passphrase erstellt, muss dieser vor dem Upload entfernt werden.
openssl rsa -in inventory360_with_passphrase.key -out inventory360_no_passphrase.key
Ausgesperrt / System nicht mehr erreichbar¶
Sofern ein Problem mit dem Zertifikat besteht und Ihre Inventory360 Instanz nach der Konfiguration nicht mehr erreichbar sein sollte, können Sie die Standardzertifikate jederzeit auch über die Konsole der virtuellen Maschine oder eine SSH-Verbindung wiederherstellen.
Melden Sie sich hierzu mit dem Benutzer system und dem zugehörigen Kennwort am System an.
Wählen Sie hier den Eintrag SSL Certificates | Reset SSL certificates to default aus.
Nach einer Bestätigung mit Yes sollte das System nach einer Wartezeit von ca. 10 Sekunden wieder verfügbar sein.
