Zum Inhalt

Ihr eigenes Sicherheitszertifikat verwenden

Info

Diese Vorgehensweise in Verbindung mit einer geeigneten Zertifizierungsstelle (intern oder extern) behebt NET::ERR_CERT_AUTHORITY_INVALID Fehler.

Standardmäßig erstellt octoplant zur Laufzeit automatisch ein selbstsigniertes Zertifikat und einen privaten Schlüssel.

Wenn Sie Ihr eigenes Zertifikat (z. B. für OIDC oder für den WebClient) anstelle des von octoplant erstellten verwenden möchten, folgen Sie dieser optionalen Vorgehensweise. Diese Anleitung ist für IT-Abteilungen oder Domainadministratoren gedacht.

Grundlegende Schritte

  1. Erstellen Sie einen privaten Schlüssel der Stammzertifizierungsstelle und ein öffentliches Zertifikat. Importieren Sie das Zertifikat als vertrauenswürdiges Stammzertifikat auf den Server und alle Clients, die diesen Server verwenden. Dieses Stammzertifikat kann für mehrere Server verwendet werden.
  2. Erstellen Sie für jeden Server einen privaten Schlüssel und eine Zertifikatssignierungsanforderung (CSR).
  3. Verwenden Sie den privaten Schlüssel der Stammzertifizierungsstelle, um das öffentliche Zertifikat des Servers zu signieren.
  4. Speichern Sie den privaten Schlüssel des Servers und das signierte Zertifikat im Serverarchiv.

Anforderungen

  • Sie benötigen eine Umgebung, in der OpenSSL installiert ist (empfohlen: OpenSSL 3.2.1 oder höher). Um Ihre Version zu überprüfen, öffnen Sie eine Command Shell und führen Sie aus:

    openssl -v

    Sie sollten eine Ausgabe ähnlich der folgenden sehen:

    OpenSSL 3.5.2 5 Aug 2025 (Library: OpenSSL 3.5.2 5 Aug 2025)

  • Erstellen Sie einen lokalen Ordner für Ihre Zertifikate, z. B. D:\certs.

Erstellen Sie Ihr eigenes Stammzertifikat.

Dieser Prozess besteht aus drei Schritten:

  • Root-Schlüssel erstellen
  • Das Stammzertifikat erstellen und selbst signieren
  • Zertifikat verteilen

Warning

Der Schlüssel der Stammzertifizierungsstelle kann jedes Serverzertifikat signieren. Jeder, der Zugriff auf diesen Schlüssel hat, kann vertrauenswürdige Zertifikate erstellen. Bewahren Sie ihn sicher und privat auf..

  1. Erstellen Sie einen Root-CA-Schlüssel (rootCA.key):

    openssl genrsa -aes128 -out D:\certs\rootCA.key 4096

    Sie werden zur Eingabe einer Passphrase aufgefordert, die Sie jedes Mal benötigen, wenn Sie ein Zertifikat signieren. Um einen Schlüssel ohne eine Passphrase zu erstellen, entfernen Sie die Option -aes128.

  2. Erstellen Sie das Stammzertifikat (rootCA.crt):

    openssl req -x509 -new -nodes -key D:\certs\rootCA.key -sha256 -days 1024 -out D:\certs\rootCA.crt

  3. Verteilen Sie rootCA.crt an jeden Client, der eine Verbindung zum Server herstellt.

Erstellen einer Signaturanforderung für ein Serverzertifikat

  1. Erstellen Sie den Schlüssel des Serverzertifikats (hostname.key):

    openssl genrsa -out D:\certs\hostname.key 2048

    Diese Datei ist das Geheimnis des Servers. Diese Datei darf nicht weitergegeben oder verteilt werden, nur der Server sollte Zugriff darauf haben.

  2. Erstellen Sie eine Signieranfrage (hostname.csr):

    openssl req -new -key D:\certs\hostname.key -out D:\certs\hostname.csr

    Folgen Sie den interaktiven Aufforderungen. Der Common Name muss genau mit dem Hostnamen übereinstimmen, den die Clients für die Verbindung verwenden. Legen Sie kein Passwort fest.

  3. (Optional) Überprüfen Sie die CSR:

    openssl req -in D:\certs\hostname.csr -noout -text

Signieren Sie das Serverzertifikat

Verwenden Sie die CSR, den Schlüssel der Stammzertifizierungsstelle und das Stammzertifikat, um das signierte Serverzertifikat zu erstellen (hostname.crt):

openssl x509 -req -in D:\certs\hostname.csr -CA D:\certs\rootCA.crt -CAkey D:\certs\rootCA.key -CAcreateserial -out D:\certs\hostname.crt -days 3650 -sha256

Sie werden aufgefordert, die Passphrase für den Root-CA-Schlüssel einzugeben. Die resultierenden hostname.crt und hostname.key werden vom octoplant Server benötigt.

Überprüfen Sie das Zertifikat

  1. Klicken Sie unter Zertifikate mit der rechten Maustaste auf {server_name}.

    Abbildung: OIDC-Cert-Step-11

  2. Klicken Sie auf Öffnen.

  3. Überprüfen Sie die Zertifikatsinformationen.

    Abbildung: OIDC-Cert-Step-12

  4. Wählen Sie auf der Registerkarte Details die Option Subject Alternative Name aus, um die DNS- und IP-Einträge zu überprüfen.

    Abbildung: OIDC-Cert-Step-13

  5. Klicken Sie auf OK und verlassen Sie die Konsole.

Speichern Sie das signierte Serverzertifikat

Ersetzen Sie die folgenden Dateien in VD$A\Configuration\Local im Serverarchiv:

  • ApiCertificate und CSCCertificate: mit einer Kopie von D:\certs\rootCA.crt
  • ApiPrivateKey und CSCPrivateKey: mit Kopie von D:\certs\hostname.key

Verwenden Sie keine Dateierweiterungen.

Warning

Nachdem Sie diese Dateien ersetzt haben, müssen Sie JEDEN octoplant Clientrechner aktualisieren. Andernfalls können die Clients keine Verbindung herstellen.

Wenn D:\certs\rootCA.crt als vertrauenswürdige Stammautorität auf jedem Client installiert ist und der vom Client verwendete Servername mit dem Common Name übereinstimmt, sind keine weiteren Schritte erforderlich.

Falls nicht, löschen Sie die Datei knownhosts.txt:

  • Im Clientarchiv eines jeden Clients: \vdClientArchiv\VD$A\Konfiguration\Lokal
  • Im Serverarchiv des Servers: \vdServerArchiv\VD$A\Konfiguration\Lokal

Der Prozess der Zertifikatserstellung ist abgeschlossen. Jetzt können Sie:

Verwandte Themen