Active-Directory-Tipp: So installieren Sie P7B-Zertifikate in ADSelfService Plus

In diesem Tipp erklären wir Ihnen Schritt für Schritt, wie Sie ein Einzeldomänen-Zertifikat (CER, CRT, P7B etc.) in ADSelfService Plus anwenden.

Konfigurationsschritte

Schritt 1: HTTPS in ADSelfService Plus aktivieren

Aktivieren Sie die HTTPS-Option bei den Verbindungseinstellungen.

1. Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.

2. Wechseln Sie zu Admin > Produkteinstellungen > Verbindung.

3. Aktivieren Sie das Kontrollkästchen für den SSL-Port (HTTPS) „ADSelfService Plus Port [https]“.

4. Klicken Sie auf Speichern.

Screenshot ADSelfService Plus: https aktivieren
Screenshot ADSelfService Plus: So aktivieren Sie die HTTPS-Option in ADSelfService Plus.

Schritt 2: CSR erzeugen

Hinweis: Sofern Sie bereits ein SSL-Zertifikat besitzen, springen Sie zu Schritt 4.

1. Klicken Sie auf die Schaltfläche „BestätigeSSL Zertifikat“.

Screenshot ADSelfService Plus: SSL Verbindungseinstellungen
Screenshot ADSelfService Plus: Bestätigen Sie das SSL-Zertifikat unter Verbindungseinstellungen.

2. Klicken Sie auf „Generate Certificate“ und füllen Sie alle benötigten Felder aus. Weitere Details finden Sie in der unten stehenden Tabelle:

Screenshot ADSelfService Plus: CSR Generierung
Screenshot ADSelfService Plus: So generieren Sie ein neues CSR-Zertifikat.

Common Name

Der Name des Servers, auf dem ADSelfService Plus ausgeführt wird.

SAN Name

Die Namen zusätzlicher Hosts (Sites, IP-Adressen etc.), die durch das SSL-Zertifikat geschützt werden sollen.

Organisational Unit

Der Name der Abteilung, der im Zertifikat erscheinen soll.

Organization

Der offizielle Name Ihres Unternehmens.

City

Der Name der Stadt, wie er in der registrierten Anschrift Ihres Unternehmens angegeben ist.

State/Province

Das Bundesland/die Provinz, die in der registrierten Anschrift Ihres Unternehmens angegeben ist.

Country Code

Der aus zwei Buchstaben bestehende Ländercode des Landes, in dem sich Ihr Unternehmen befindet.

Password

Passwörter müssen mindestens 6 Zeichen lang sein. Je komplexer das Passwort, desto höher die Sicherheit.

Validity (in Days)

Die Anzahl der Tage, die das Zertifikat gültig sein soll. Wenn kein Wert eingeben wird, werden 90 Tage festgelegt.

Public Key Length (in Bits)

Die Länge des öffentlichen Schlüssels. Je länger der Schlüssel, desto sicherer. Die Standardgröße beträgt 1024 Bits und kann nur um Mehrfache von 64 erhöht werden.

3. Wenn alle Details eingegeben wurden, klicken Sie auf die Schaltfläche „Generate CSR“.

Schritt 3: CSR-Datei an Ihre Zertifizierungsstelle senden

1. Wenn Sie auf die Schaltfläche „Generate CSR“ klicken, werden zwei Dateien – SelfService.csr und SelfService.keystore – erzeugt.

2. Die Datei SelfService.csr finden Sie im Ordner <Installationsordner>\webapps\adssp\certificates, die Datei SelfService.keystore im Ordner <Installationsordner>\jre\bin.

3. Übermitteln Sie die Datei SelfService.csr an Ihre Zertifizierungsstelle (CA).

Schritt 4: CA-signierte Zertifikate zum KeyStore hinzufügen und mit ADSelfService Plus verknüpfen

Voraussetzungen: Wenn Ihr Zertifikat im CER-, CRT-, PEM- oder einem anderen Format vorliegt, wandeln Sie dies in das P7B-Format um. Informationen zum Umwandeln eines Zertifikates in das P7B-Format finden Sie weiter unten im Bereich „Anhang.

1. Sichern Sie die Dateien server.keystore, SelfService.p12, server.xml und web.xml im Ordner <Installationsordner>\conf (Standardspeicherort: C:\ManageEngine\ADSelfService Plus\conf).

2. Kopieren Sie die Zertifikatsdatei (z. B. cert.P7B) in den Ordner <Installationsordner>\jre\bin (Standortspeicherort: C:\ManageEngine\ADSelfService Plus\jre\bin).

3. Öffnen Sie eine Eingabeaufforderung und stellen Sie das Arbeitsverzeichnis auf den Ordner <Install_Directory>\jre\bin um.

4. Führen Sie nun folgenden Befehl aus:
keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore SelfService.keystore

5. Kopieren Sie die Datei SelfService.keystore und fügen Sie diese in den Ordner <Installationsordner>\conf ein.

Hinweis:
Ersetzen Sie vorher „cert.p7b“ mit dem Namen Ihrer P7B-Zertifikatsdatei.

6. Öffnen Sie die Datei server.xml im Ordner <Installationsordner>\conf mit einem Text-Editor. Scrollen Sie bis zum Ende der Datei; hier finden Sie ein Connector-Tag wie nachstehend.
<Connector SSLEnabled="true"……
/>

7. Ändern Sie die folgenden Eigenschaften:

  • Ersetzen Sie den Wert von keystoreFile mit ./conf/SelfService.keystore.
  • Ersetzen Sie den Wert von keystorePass mit dem Passwort, das Sie beim Erzeugen der ZSA für diese Zertifikatsdatei verwendet haben.
  • Löschen Sie die Eigenschaft keystoreType=PKCS12.

Hinweis:
Die keystoreType-Eigenschaft erscheint erst ab ADSelfService-Plus-Build 5701 im Connector-Tag. Bei früheren Versionen ignorieren Sie dritten Schritt.

Beispiel: <Connector SSLEnabled="true" acceptCount="100" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/SelfService.keystore" keystorePass="********" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>

8. Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.

Anhang

1. Schritte zum Konvertieren einer Zertifikatsdatei der Formate CER, CRT oder PEM in das P7B-Format:

  • Doppelklicken Sie auf die Zertifikatsdatei; die Datei wird im Zertifikate-Fenster geöffnet.
  • Wählen Sie den Reiter „Details“, klicken Sie dann auf In Datei kopieren …
Screenshot Zertifikatsdatei: Zertifikatdetails
Screenshot Zertifikatsdatei: Zertifikatdetails

  • Klicken Sie im nun geöffneten Zertifikatexport-Assistenten auf Weiter.
  • Wählen Sie die Option „Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)“, markieren Sie das Kontrollkästchen vor „Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“.
Screenshot P7b-Zertifikat: Conversion Wizard
Screenshot P7b-Zertifikat: Conversion Wizard

  • Klicken Sie zur Auswahl eines Speicherortes für die Datei auf Durchsuchen, geben Sie dann den Dateinamen ein.
  • Prüfen Sie alles noch einmal nach und klicken Sie dann auf Fertigstellen.

2. Bevorzugte Verschlüsselung für mehr Sicherheit in ADSelfService Plus

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_
CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren