mypDeploy HTTPS Konfiguration
- Onlinehilfe CebiCon
Soll mypDeploy über https erreicht werden, so muss dem mypDeploy-Server ein entsprechendes Zertifikat bereitgestellt werden.
Anforderungen an das Zertifikat
Das Zertifikat muss von einem vertrauenswürdigen Herausgeber ausgestellt sein (Ausnahme: s. Infobox am Ende des Abschnitts).
Das Zertifikat muss auf den FQDN-Namen des Servers ausgestellt sein, auf dem mypDeploy installiert wird: (Beispiel: mypdeployserver.meinefirma.local). Sofern der Server intern oder extern unterschiedlich angesprochen wird, müssen die zusätzlichen Namen als SAN /Subject Alternative Name) eingetragen werden. Wildcard-Zertifikate für die Domäne sind ebenfalls zulässig.
Das kann dann beispielsweise so aussehen:
Name | mypdeployserver.meinefirma.local |
|---|---|
SAN
| www.mypdeployserver.meinefirma.de |
mypdeployserver.meinefirma.com | |
mypdeployserver.meinefirma.extern | |
*.meinefirma.de |
Selfsigned certificate
Wenn sich alle zu verwaltenden Systeme einschließlich der mypDeploy- und mypDeployDP-Server innerhalb einer Domäne befinden und auch nicht von außerhalb der Domäne zugegriffen werden soll ist auch ein selbst signiertes Zertifikat zulässig.
Private Key
Sie benötigen sowohl den öffentlichen als auch den privaten Schlüssel.
Wir empfehlen Ihnen, dass Zertifikat im pfx-Format mit Passwort zu exportieren; diese lassen sich leicht wieder mit dem Windows Zertifikatsmanager einlesen.
Root- und Zwischenzertifizierungsstellen
Prüfen Sie den Aussteller und gegebenenfalls vorhandene Zwischenzertifizierungsstellen in Ihrem Zertifikat.
Falls diese auf dem Zielsystem nicht im Zertifikatsspeicher vorhanden sind exportieren Sie die Schlüssel bitte ebenfalls. Hier empfehlen wir das cer-Format als DER- oder Base64-codiert.
Einbinden des Zertifikats
Öffnen sie die Microsoft Management Console (MMC) und binden das Snapin "Zertifikate" ein. Beim Hinzufügen des Snapins direkt festlegen, dass Computerzertifikate bearbeitet werden sollen.
Importieren Sie das Zertifikat in den Computerspeicher.
Falls erforderlich importieren Sie die zusätzlichen Root- und Zwischenzertifizierungsstellen.
Öffnen Sie anschließend die Detailseite des Zertifikats für den mypDeploy-Server und nehmen Sie den Fingerabdruck des Zertifikats
Entfernen Sie mit Notepad oder einem anderen geeigneten Editor alle Leerzeichen aus dem Fingerabdruck (nur Windows Server 2012 R2 und kleiner)
Öffnen Sie eine Console mit administrativen Rechten
Setzen Sie nacheinander die folgenden Kommandos ab:
netsh http add sslcert hostnameport=<Name>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=my
netsh http add sslcert ipport=<IP-Adresse>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=myHierbei ersetzen Sie:
<Name> durch den Namen des Servers wie im Zertifikat angegeben
<Port> durch den Port, den Sie bei der Installation des mypDeploy-Servers dem http-Service zugewiesen haben
<IP-Adresse> durch die zugewiesene IP-Adresse der Netzwerkkarte, über die die SSL-Kommunikation stattfinden soll
<Fingerprint> durch den im vorherigen Schritt bereinigten Fingerabdruck. Achten Sie dabei darauf, je nach verwendetem Editor keine Leerzeichen, Sonderzeichen, nicht druckbare Zeichen o.ä. mit zu kopieren. Hier muss der reine Fingerabdruck eingefügt werden.
<Guid> durch eine beliebige von Ihnen selbst erstellte Guid (z.B. mit dem Powershell-Kommando "[GUID]::NewGuid()"). Sie können auch online eine Guid erstellen lassen Online Guid Generator)
Beispiel:
netsh http add sslcert hostnameport=mypdeployserver.firma.de:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my
netsh http add sslcert ipport=192.168.0.1:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my
Danach kann die https/ssl-Verbindung genutzt werden.