5 0 0: Ersetzen des HTTPS-Zertifikats und des privaten Schlüssels des REST-Servers

This page is a translated version of the page 5 0 0:How to Replace the REST Server HTTPS Certificate and Private Key and the translation is 80% complete.

Other languages:

Deutsch
English

	*Dies ist die Dokumentation für die SEP sesam Version 5.0.0 Jaglion.*
	Dies ist nicht die neueste Version der SEP sesam Dokumentation und bietet daher keine Informationen über die in der neuesten Version eingeführten Funktionen. Weitere Informationen zu SEP sesam Releases finden Sie unter SEP sesam Release Versionen. Die neueste Dokumentation finden Sie in der aktuellen SEP sesam Documentation.

Übersicht

Weitere Quellen

Unter SEP sesam YouTube Channel finden Sie aktuelle Videos und Webinare.

Unter FAQ finden Sie Antworten auf die häufigsten Fragen.

Im Problemfall nutzen Sie den Troubleshooting Guide.

Falls Sie eine ältere SEP sesam Version verwenden, schauen Sie bitte ins Dokumentationsarchiv.

Standardmäßig verwendet SEP sesam ein selbstsigniertes SSL-Zertifikat und einen privaten Schlüssel für den REST-Server und den Web-UI-Zugang. Es wird im temporären Ordner des Systems erstellt, wenn der REST-Server gestartet wird. Es sei denn, Sie haben ein anderes HTTPS-Zertifikat für die Verwendung durch REST-Dienste konfiguriert.

Sie können die Sicherheit des REST Servers für die Verwendung mit HTTPS verbessern, indem Sie Ihr offizielles Firmenzertifikat oder ein anderes vertrauenswürdiges, von einer Zertifizierungsstelle (CA) signiertes Zertifikat hinzufügen. Um das SSL-Zertifikat zu ändern, das von SEP sesam REST Services für den Zugriff auf die Web UI verwendet wird, müssen Sie eine Administrator-Komandozeile verwenden.

Wie Zertifikatsprüfungen funktionieren

Wenn der REST-Server startet, führt er die folgenden Zertifikatsprüfungen durch, um benutzerdefinierte HTTPS-Zertifikate zu finden:

Wenn ein Zertifikat und der zugehörige private Schlüssel über die Kommandozeilenoptionen ([-z|--sslCertificate] <absoluter Dateiname des Zertifikats>, [-k|--sslPrivateKey] <absoluter Dateiname des privaten Schlüssels>) angegeben werden, versucht der REST Server zunächst, die angegebenen Dateien zu verwenden.
Dann sucht der Server im Standardverzeichnis <SESAM_VAR>/ini/ssl (siehe SEP sesam Verzeichnisstruktur) eine Liste von Standard-Dateinamen durch: [sesam.https.crt und sesam.https.key].
Wenn eine Variable gv_ro_ssl in der SEP sesam Server Konfigurationsdatei <SESAM_VAR>/ini/sm.ini (Abschnitt PATHES) existiert, wird als nächstes im hier angegebenen Pfad mit den Standard-Dateinamen gesucht.
Wenn ein Zertifikat und der zugehörige private Schlüssel durch die globalen Umgebungsvariablen (SESAM_SSL_CERT=<absoluter Dateiname des Zertifikats>, SESAM_SSL_KEY=<absoluter Dateiname des privaten Schlüssels>) angegeben werden, versucht der REST Server, die angegebenen Dateien zu verwenden.

Wenn keiner der Versuche, ein Zertifikat zu finden, beim Start des REST Servers erfolgreich ist, wird der HTTPS Server mit einem selbstsignierten Zertifikat eingerichtet.

Voraussetzungen

Um das benutzerdefinierte HTTPS-Zertifikat zu installieren, müssen Sie Administratorrechte auf dem SEP sesam Server haben und in der Lage sein, in das Verzeichnis <SESAM_VAR>/ini/ssl zu schreiben.
Der private Schlüssel muss im Format PKCS8 vorliegen. Wenn Sie einen Schlüssel in einem anderen Format haben, müssen Sie ihn (mit openssl) in PKCS8 konvertieren, bevor er verwendet werden kann.

Erzeugen eines selbstsignierten HTTPS-Zertifikats

Das folgende Verfahren beschreibt die Schritte zur Erstellung eines selbstsignierten HTTPS-Zertifikats für SEP sesam. Dieses Zertifikat kann zur Absicherung des REST-Servers verwendet werden, um die Kommunikation zwischen Server und Clients zu verschlüsseln.

Erzeugen Sie das selbstsignierte Zertifikat mit dem folgenden Befehl (ersetzen Sie die Platzhalterwerte durch Ihre spezifischen Informationen):

openssl req -x509 -newkey rsa:4096 -keyout sesam.https.key -out sesam.https.crt -sha256 -days 365 -nodes -subj "/C=<2LetterCountryCode>/ST=<StateName>/L=<CityName>/O=<CompanyName>/OU=<CompanySectionName>/CN=<CommonNameOrHostname>"

`-newkey rsa:4096`	spezifiziert die Erzeugung eines neuen RSA-Schlüssels mit einer Länge von 4096 Bit
`-keyout sesam.https.key`	legt die Ausgabedatei für den privaten Schlüssel fest
`-out sesam.https.crt`	legt die Ausgabedatei für das Zertifikat fest
`-sha256`	verwendet den SHA-256-Hash-Algorithmus für das Zertifikat
`-days 365`	gibt die Gültigkeitsdauer des Zertifikats in Tagen an (nach Bedarf anpassen)
`-nodes`	gibt an, dass der private Schlüssel nicht mit einer Passphrase verschlüsselt werden soll
`-subj`	definiert den Betreff für das Zertifikat mit den folgenden Feldern, die Informationen über die Organisation oder das Unternehmen liefern, für die das Zertifikat ausgestellt wird. Die Felder sind durch Schrägstriche (/) getrennt. Erforderliches Feld ist der Common Name (CN), die anderen Felder sind optional und können weggelassen werden: `C (Country)`: Der aus zwei Buchstaben bestehende Ländercode, in dem die Organisation ansässig oder registriert ist. Zum Beispiel "DE" oder "US". `ST (State)`: Der vollständige Name des Staates oder der Provinz, in dem die Organisation ansässig ist. `L (Locality)`: Der Ort oder die Stadt, in der die Organisation ansässig ist. `O (Organization)`: Der rechtliche Name der Organisation. `OU (Organizational Unit)`: Ein optionales Feld zur Angabe der Abteilung oder des Teams innerhalb der Organisation. `CN (Common Name or Hostname)`: Der vollständig qualifizierte Domänenname (FQDN) oder der Hostname, für den das Zertifikat ausgestellt wird. Wenn Sie ein selbstsigniertes Zertifikat zur Verwendung in einem lokalen Netzwerk erstellen, können Sie den Hostnamen Ihres Servers angeben.

Erstellen Sie eine Certificate Signing Request (CSR - Zertifikatssignierungsanfrage) mit dem folgenden Befehl:
```
openssl x509 -x509toreq -in sesam.https.crt -signkey sesam.https.key -out sesam.https.csr
```
Dieser Befehl nimmt das selbstsignierte Zertifikat (sesam.https.crt) und den privaten Schlüssel (sesam.https.key), um eine CSR (sesam.https.csr) zu erzeugen.

Sie können die CSR verwenden, um ein Zertifikat von einer Zertifizierungsstelle (CA) zu erhalten.

Ersetzen des HTTPS-Zertifikats und des privaten Schlüssels auf dem REST-Server

Melden Sie sich als root (Linux) oder Administrator (Windows) an der SEP sesam Server Konsole an und geben Sie folgenden Befehl ein, um den REST Server zu stoppen:

sm_main stop rmi

Navigieren Sie zu <SESAM_VAR>/ini/ssl.
Speichern Sie die benutzerdefinierte HTTPS-Zertifikatsdatei als sesam.https.crt.
Speichern Sie die private Schlüsseldatei des benutzerdefinierten HTTPS-Zertifikats als sesam.https.key.
Starten Sie den REST-Server:

sm_main start rmi

Wenn Sie den REST-Server neu starten, überwachen Sie das sm_gui_server.log, um sicherzustellen, dass alles wie erwartet funktioniert. Suchen Sie nach einer Protokollmeldung ähnlich dieser Zeile:

<date> <time> INFO  <context> - Setting up HTTPS certificate from certificate file <SESAM_VAR>/ini/ssl/sesam.https.crt' (via default location lookup)

Nachdem Sie überprüft haben, dass die Zertifikatseinrichtung protokolliert wurde, starten Sie den Webbrowser und öffnen die SEP sesam Web UI mit dem Servernamen aus dem Zertifikat:

https://<server name>:11401/

Siehe auch

Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk – SEP sesam Web UI

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.