mypDeploy HTTPS Konfiguration

Soll mypDeploy über https erreicht werden, so muss dem mypDeploy-Server ein entsprechendes Zertifikat bereitgestellt werden.

Anforderungen an das Zertifikat

  • Das Zertifikat muss von einem vertrauenswürdigen Herausgeber ausgestellt sein (Ausnahme: s. Infobox am Ende des Abschnitts).

  • Das Zertifikat muss auf den FQDN-Namen des Servers ausgestellt sein, auf dem mypDeploy installiert wird: (Beispiel: mypdeployserver.meinefirma.local). Sofern der Server intern oder extern unterschiedlich angesprochen wird, müssen die zusätzlichen Namen als SAN /Subject Alternative Name) eingetragen werden. Wildcard-Zertifikate für die Domäne sind ebenfalls zulässig.
    Das kann dann beispielsweise so aussehen:

Name

mypdeployserver.meinefirma.local

Name

mypdeployserver.meinefirma.local

SAN

 

www.mypdeployserver.meinefirma.de



mypdeployserver.meinefirma.com



mypdeployserver.meinefirma.extern



*.meinefirma.de

Selfsigned certificate

Wenn sich alle zu verwaltenden Systeme einschließlich der mypDeploy- und mypDeployDP-Server innerhalb einer Domäne befinden und auch nicht von außerhalb der Domäne zugegriffen werden soll ist auch ein selbst signiertes Zertifikat zulässig.

Private Key

Sie benötigen sowohl den öffentlichen als auch den privaten Schlüssel.

Wir empfehlen Ihnen, dass Zertifikat im pfx-Format mit Passwort zu exportieren; diese lassen sich leicht wieder mit dem Windows Zertifikatsmanager einlesen.

Root- und Zwischenzertifizierungsstellen

Prüfen Sie den Aussteller und gegebenenfalls vorhandene Zwischenzertifizierungsstellen in Ihrem Zertifikat.

Zertifikate.jpg

Falls diese auf dem Zielsystem nicht im Zertifikatsspeicher vorhanden sind exportieren Sie die Schlüssel bitte ebenfalls. Hier empfehlen wir das cer-Format als DER- oder Base64-codiert.

 

Einbinden des Zertifikats

  • Öffnen sie die Microsoft Management Console (MMC) und binden das Snapin "Zertifikate" ein. Beim Hinzufügen des Snapins direkt festlegen, dass Computerzertifikate bearbeitet werden sollen.

  • Importieren Sie das Zertifikat in den Computerspeicher.

  • Falls erforderlich importieren Sie die zusätzlichen Root- und Zwischenzertifizierungsstellen.

  • Öffnen Sie anschließend die Detailseite des Zertifikats für den mypDeploy-Server und nehmen Sie den Fingerabdruck des Zertifikats

  • Entfernen Sie mit Notepad oder einem anderen geeigneten Editor alle Leerzeichen aus dem Fingerabdruck (nur Windows Server 2012 R2 und kleiner)

  • Öffnen Sie eine Console mit administrativen Rechten

  • Setzen Sie nacheinander die folgenden Kommandos ab:

    netsh http add sslcert hostnameport=<Name>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=my
    netsh http add sslcert ipport=<IP-Adresse>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=my

    Hierbei ersetzen Sie:
    <Name> durch den Namen des Servers wie im Zertifikat angegeben
    <Port> durch den Port, den Sie bei der Installation des mypDeploy-Servers dem http-Service zugewiesen haben
    <IP-Adresse> durch die zugewiesene IP-Adresse der Netzwerkkarte, über die die SSL-Kommunikation stattfinden soll
    <Fingerprint> durch den im vorherigen Schritt bereinigten Fingerabdruck. Achten Sie dabei darauf, je nach verwendetem Editor keine Leerzeichen, Sonderzeichen, nicht druckbare Zeichen o.ä. mit zu kopieren. Hier muss der reine Fingerabdruck eingefügt werden.
    <Guid> durch eine beliebige von Ihnen selbst erstellte Guid (z.B. mit dem Powershell-Kommando "[GUID]::NewGuid()"). Sie können auch online eine Guid erstellen lassen Online Guid Generator)
    Beispiel:
    netsh http add sslcert hostnameport=mypdeployserver.firma.de:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my
    netsh http add sslcert ipport=192.168.0.1:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my

Danach kann die https/ssl-Verbindung genutzt werden.

Neue Konsole

Mit Windows 10 / Windows Server 2019 ist die Aufbereitung des Fingerabdrucks nicht mehr erforderlich, da dieser keine Leerzeichen mehr enthält. Er kann sofort mit Cut/Paste benutzt und eingesetzt werden.

Portfreigabe

Nutzen Sie einen anderen Port als den Standard-SSL-Port (443) (wie 8443 im obigen Beispiel), müssen Sie diesen Port sowohl server- als auch clientseitig in allen genutzten Firewalls öffnen!