Active-Directory-Tipp: So installieren Sie P7B-Zertifikate in ADSelfService Plus
In diesem Tipp erklären wir Ihnen Schritt für Schritt, wie Sie ein Einzeldomänen-Zertifikat (CER, CRT, P7B etc.) in ADSelfService Plus anwenden.
Konfigurationsschritte
Schritt 1: HTTPS in ADSelfService Plus aktivieren
Aktivieren Sie die HTTPS-Option bei den Verbindungseinstellungen.
1. Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.
2. Wechseln Sie zu Admin > Produkteinstellungen > Verbindung.
3. Aktivieren Sie das Kontrollkästchen für den SSL-Port (HTTPS) „ADSelfService Plus Port [https]“.
4. Klicken Sie auf Speichern.
Schritt 2: CSR erzeugen
Hinweis: Sofern Sie bereits ein SSL-Zertifikat besitzen, springen Sie zu Schritt 4.
1. Klicken Sie auf die Schaltfläche „Bestätige SSL Zertifikat“.
2. Klicken Sie auf „Generate Certificate“ und füllen Sie alle benötigten Felder aus. Weitere Details finden Sie in der unten stehenden Tabelle:
Common Name | Der Name des Servers, auf dem ADSelfService Plus ausgeführt wird. |
SAN Name | Die Namen zusätzlicher Hosts (Sites, IP-Adressen etc.), die durch das SSL-Zertifikat geschützt werden sollen. |
Organisational Unit | Der Name der Abteilung, der im Zertifikat erscheinen soll. |
Organization | Der offizielle Name Ihres Unternehmens. |
City | Der Name der Stadt, wie er in der registrierten Anschrift Ihres Unternehmens angegeben ist. |
State/Province | Das Bundesland/die Provinz, die in der registrierten Anschrift Ihres Unternehmens angegeben ist. |
Country Code | Der aus zwei Buchstaben bestehende Ländercode des Landes, in dem sich Ihr Unternehmen befindet. |
Password | Passwörter müssen mindestens 6 Zeichen lang sein. Je komplexer das Passwort, desto höher die Sicherheit. |
Validity (in Days) | Die Anzahl der Tage, die das Zertifikat gültig sein soll. Wenn kein Wert eingeben wird, werden 90 Tage festgelegt. |
Public Key Length (in Bits) | Die Länge des öffentlichen Schlüssels. Je länger der Schlüssel, desto sicherer. Die Standardgröße beträgt 1024 Bits und kann nur um Mehrfache von 64 erhöht werden. |
3. Wenn alle Details eingegeben wurden, klicken Sie auf die Schaltfläche „Generate CSR“.
Schritt 3: CSR-Datei an Ihre Zertifizierungsstelle senden
1. Wenn Sie auf die Schaltfläche „Generate CSR“ klicken, werden zwei Dateien – SelfService.csr und SelfService.keystore – erzeugt.
2. Die Datei SelfService.csr finden Sie im Ordner <Installationsordner>\webapps\adssp\certificates, die Datei SelfService.keystore im Ordner <Installationsordner>\jre\bin.
3. Übermitteln Sie die Datei SelfService.csr an Ihre Zertifizierungsstelle (CA).
Schritt 4: CA-signierte Zertifikate zum KeyStore hinzufügen und mit ADSelfService Plus verknüpfen
Voraussetzungen: Wenn Ihr Zertifikat im CER-, CRT-, PEM- oder einem anderen Format vorliegt, wandeln Sie dies in das P7B-Format um. Informationen zum Umwandeln eines Zertifikates in das P7B-Format finden Sie weiter unten im Bereich „Anhang“.
1. Sichern Sie die Dateien server.keystore, SelfService.p12, server.xml und web.xml im Ordner <Installationsordner>\conf (Standardspeicherort: C:\ManageEngine\ADSelfService Plus\conf).
2. Kopieren Sie die Zertifikatsdatei (z. B. cert.P7B) in den Ordner <Installationsordner>\jre\bin (Standortspeicherort: C:\ManageEngine\ADSelfService Plus\jre\bin).
3. Öffnen Sie eine Eingabeaufforderung und stellen Sie das Arbeitsverzeichnis auf den Ordner <Install_Directory>\jre\bin um.
4. Führen Sie nun folgenden Befehl aus:
keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore SelfService.keystore
5. Kopieren Sie die Datei SelfService.keystore und fügen Sie diese in den Ordner <Installationsordner>\conf ein.
Hinweis:
Ersetzen Sie vorher „cert.p7b“ mit dem Namen Ihrer P7B-Zertifikatsdatei.
6. Öffnen Sie die Datei server.xml im Ordner <Installationsordner>\conf mit einem Text-Editor. Scrollen Sie bis zum Ende der Datei; hier finden Sie ein Connector-Tag wie nachstehend.
<Connector SSLEnabled="true"……
/>
7. Ändern Sie die folgenden Eigenschaften:
- Ersetzen Sie den Wert von keystoreFile mit ./conf/SelfService.keystore.
- Ersetzen Sie den Wert von keystorePass mit dem Passwort, das Sie beim Erzeugen der ZSA für diese Zertifikatsdatei verwendet haben.
- Löschen Sie die Eigenschaft keystoreType=PKCS12.
Hinweis:
Die keystoreType-Eigenschaft erscheint erst ab ADSelfService-Plus-Build 5701 im Connector-Tag. Bei früheren Versionen ignorieren Sie dritten Schritt.
Beispiel: <Connector SSLEnabled="true" acceptCount="100" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/SelfService.keystore" keystorePass="********" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
8. Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.
Anhang
1. Schritte zum Konvertieren einer Zertifikatsdatei der Formate CER, CRT oder PEM in das P7B-Format:
- Doppelklicken Sie auf die Zertifikatsdatei; die Datei wird im Zertifikate-Fenster geöffnet.
- Wählen Sie den Reiter „Details“, klicken Sie dann auf In Datei kopieren …
- Klicken Sie im nun geöffneten Zertifikatexport-Assistenten auf Weiter.
- Wählen Sie die Option „Syntaxstandard kryptografischer Meldungen - "PKCS #7"-Zertifikate (.P7B)“, markieren Sie das Kontrollkästchen vor „Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“.
- Klicken Sie zur Auswahl eines Speicherortes für die Datei auf Durchsuchen, geben Sie dann den Dateinamen ein.
- Prüfen Sie alles noch einmal nach und klicken Sie dann auf Fertigstellen.
2. Bevorzugte Verschlüsselung für mehr Sicherheit in ADSelfService Plus
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_
CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"