mypDeploy HTTPS Konfiguration

Owned by Onlinehilfe CebiCon
04.Aug..2021
2 min read

Soll mypDeploy über https erreicht werden, so muss dem mypDeploy-Server ein entsprechendes Zertifikat bereitgestellt werden.

Anforderungen an das Zertifikat

  • Das Zertifikat muss von einem vertrauenswürdigen Herausgeber ausgestellt sein (Ausnahme: s. Infobox am Ende des Abschnitts).

  • Das Zertifikat muss auf den FQDN-Namen des Servers ausgestellt sein, auf dem mypDeploy installiert wird: (Beispiel: mypdeployserver.meinefirma.local). Sofern der Server intern oder extern unterschiedlich angesprochen wird, müssen die zusätzlichen Namen als SAN /Subject Alternative Name) eingetragen werden. Wildcard-Zertifikate für die Domäne sind ebenfalls zulässig.
    Das kann dann beispielsweise so aussehen:

Name

mypdeployserver.meinefirma.local

Name

mypdeployserver.meinefirma.local

SAN

 

www.mypdeployserver.meinefirma.de



mypdeployserver.meinefirma.com



mypdeployserver.meinefirma.extern



*.meinefirma.de



selfsigned certificate

Wenn sich alle zu verwaltenden Systeme einschließlich der mypDeploy- und mypDeployDP-Server innerhalb einer Domäne befinden und auch nicht von ausserhalb der Domäne zugegriffen werden soll, ist auch ein selbst signiertes Zertifikat zulässig.

Einbinden des Zertifikats

  • Öffnen sie die Microsoft Management Console (MMC) und binden das Snapin "Zertifikate" ein. Beim Hinzufügen des Zertifikats direkt festlegen, dass Computerzertifikate bearbeitet werden sollen.

  • Öffnen Sie die Detailseite des Zertifikats für den mypDeploy-Server und nehmen Sie den Fingerabdruck des Zertifikats

  • Entfernen Sie mit Notepad oder einem anderen geeigneten Editor alle Leerzeichen aus dem Fingerabdruck

  • Öffnen Sie eine Console mit administrativen Rechten

  • Setzen Sie nacheinander folgende Kommandos ab:

    netsh http add sslcert hostnameport=<Name>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=my
    netsh http add sslcert ipport=<IP-Adresse>:<Port> certhash=<FingerPrint> appid={<Guid>} certstore=my

    Hierbei ersetzen Sie:
    <Name> durch den Namen des Servers wie im Zertifikat angegeben
    <Port> durch den Port, den Sie bei der Installation des mypDeploy-Servers dem http-Service zugewiesen haben
    <Fingerprint> durch den im vorherigen Schritt bereinigten Fingerabdruck. Achten Sie dabei darauf, je nach verwendetem Editor keine Leerzeichen, Sonderzeichen, nicht druckbare Zeichen o.ä. mit zu kopieren. Hier muss der reine Fingerabdruck eingefügt werden.
    <Guid> durch eine beliebige von Ihnen selbst erstellte Guid (z.B. mit dem Powershell-Kommando "[GUID]::NewGuid()"; Sie können auch online eine Guid erstellen lassen Online Guid Generator)
    Beispiel:
    netsh http add sslcert hostnameport=mypdeployserver.firma.de:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my
    netsh http add sslcert ipport=192.168.0.1:8443 certhash=4d5ca4067d57cc148151004a485b91799632689a appid={cbeeb3c1-2df3-49f3-aaec-eeb51b5ef6fc} certstore=my

Danach kann die https/ssl-Verbindung genutzt werden

 

Neue Konsole

Mit Windows 10 / Windows Server 2019 ist die Aufbereitung des Fingerabdrucks nicht mehr erforderlich, da dieser keine Leerzeichen mehr enthält. Er kann sofort mit Cut/Paste benutzt und eingesetzt werden.