Ihr eigenes Sicherheitszertifikat verwenden¶

octoplant erstellt zur Laufzeit automatisch ein selbstsigniertes Zertifikat und einen privaten Schlüssel.

Wenn Sie statt des von octoplant erstellten Zertifikats Ihr eigenes Zertifikat für OIDC verwenden möchten, ist hier eine optionale Vorgehensweise dazu. Die Beschreibung ist vor allem für die IT-Abteilung oder einen Domain Manager nützlich.

Konfiguration in octoplant¶

Um Ihr eigenes Zertifikat zu verwenden, erstellen Sie einen Eintrag 41388 in der Datei server.ini in der Sektion [Common] wie unten gezeigt:

[Common]
41388=https://{server name}

Verwenden Sie den Namen Ihres Servers anstelle von {Servername} hier und in den nachfolgenden Anweisungen.

Beispiele für gültige 41388 Einträge:

Andere gültige Basis-URIs für den Eintrag 41388=https://{Servername} könnten ähnlich wie eine der folgenden sein:

• https://localhost:64021/octoplant/
• https://octo.plant.localhost:123
• https://octoplant.landau.auvesy-mdt.com:64023
• https://192.168.178.12:5555
• https://[\:\:abcd\:1234\:dcba]\:9999
• http://octo.ld.auvesy.de

SSL-Zertifikat erstellen¶

1. Installieren Sie OpenSSL.

2. Erstellen Sie eine leere Textdatei mit dem Namen sssan.conf im Executable-Ordner für OpenSSL.

   Der Executable-Ordner ist derjenige, in dem sich openssl.exe befindet. Er kann je nach OpenSSL-Distribution variieren.

3. Bearbeiten Sie die neue Datei sssan.conf mit Notepad oder einem ähnlichen Editor für einfachen Text. Geben Sie den folgenden Text in diese Datei ein und speichern Sie ihn.

   [req]
   default_bits = 4096
   prompt = no
   default_md = sha256
   x509_extensions = v3_req
   distinguished_name = dn
   
   [dn]
   C = {insert country code}
   O = {insert company name}
   CN = {insert_server_name}
   
   [v3_req]
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = {insert_server_name}
   

4. Öffnen Sie eine CMD-Shell mit Administratorrechten.

5. Wechseln Sie in der Shell in den OpenSSL Executable-Ordner.

6. Setzen Sie die Umgebungseigenschaft OPENSSL_CONF. Geben Sie in der Shell Folgendes ein:

   SET OPENSSL_CONF={vollständiger Pfad zum Ordner mit der ausführbaren OpenSSL-Datei}\openssl.cfg

7. Um ein SSL-Zertifikat mit SAN zu erzeugen, geben Sie Folgendes in die Shell ein:

   openssl.exe req -new -x509 -newkey rsa:4096 -sha256 -nodes -keyout "{insert cert location}\server.key" -days 3560 -out "{insert cert location}\cert.crt" -config "sssan.conf"
   

   Dadurch werden zwei Dateien in dem gewählten Verzeichnis für das Zertifikat erstellt:

   • server.key: Eine Datei mit privatem Schlüssel
   • cert.crt: Das Zertifikat

8. Lassen Sie die Administrator-Shell geöffnet, wenn Sie das Zertifikat auf dem Server installieren.

9. Wechseln Sie in das lokale Verzeichnis der Konfiguration

10. Benennen Sie die folgenden Dateien um:

    • cert.crt in ApiCertificate (keine Erweiterung)
    • server.key in ApiPrivateKey (keine Erweiterung)

Der Prozess der Zertifikatserstellung ist abgeschlossen. Jetzt können Sie:

• Einen im Active Directory verwalteten Zertifikatsdienst aufsetzen
• Zertifikate an Clientrechner mit Hilfe von Gruppenrichtlinien verteilen
• Das Zertifikat auf dem Server installieren
• oder das Zertifikat mit Ihrer internen Zertifizierungsstelle signieren

Zertifikat auf dem Server installieren¶

1. Öffnen Sie die Microsoft Management Console durch Eingabe von mmc<Enter> in der Shell Kommandozeile.

2. Die Microsoft Management Console wird geöffnet.

   

3. Erstellen Sie ein neues Konsolen-Snap-In:

   1. Wählen Sie File -> Add/Remove Snap-in.... aus.

      Der Dialog Add or Remove Snap-ins wird angezeigt:

      

   2. Wählen Sie Certificates aus und klicken Sie auf die Schaltfläche Add.

      Der Assistent Certificates snap-in wird angezeigt:

      

   3. Aktivieren Sie die Option Computer account und klicken Sie auf die Schaltfläche Next.

      Der Dialog Select Computer wird angezeigt:

      

   4. Aktivieren Sie die Option Local computer und klicken Sie auf die Schaltfläche Finish.

   5. Klicken Sie auf die Schaltfläche OK im Dialog Add or Remove Snap-ins.

4. Erweitern Sie Certificates unter Console Root.

   1. Klicken Sie mit der rechten Maustaste auf Trusted Root Certification Authorities.
   2. Wählen Sie All Tasks aus.

   3. Wählen Sie dann Import aus, wie in der folgenden Abbildung dargestellt:

      

      Der Certificate Import Wizard wird angezeigt:

      

5. Klicken Sie auf die Schaltfläche Next.

6. Klicken Sie auf die Schaltfläche Browse.

   Der Windows Explorer wird geöffnet:

   

   1. Navigieren Sie zu dem Ort, an dem Sie das ApiCertificate gespeichert haben, und wählen Sie es aus.

   2. Klicken Sie auf die Schaltfläche Open.

      Der **Certificate Import Wizard ** zeigt die Datei an:

      

7. Klicken Sie auf die Schaltfläche Next.

   Der nächste Schritt besteht darin, den Speicherort des Zertifikats zu überprüfen:

   

   Stellen Sie sicher, dass es sich bei dem Zertifikatsspeicher um den Trusted Root Certification Authorities handelt.

8. Klicken Sie auf die Schaltfläche Next.

   Der Assistent zeigt die Ergebnisse an:

   

9. Überprüfen Sie die Einstellungen für dieses Zertifikat.

10. Klicken Sie auf Schaltfläche Finish, um den Assistenten abzuschließen.

    Der Assistent schließt den Import ab und zeigt einen Dialog an:

    

11. Klicken Sie auf die Schaltfläche OK.

Zertifikat überprüfen¶

1. Suchen Sie {server_name} unter Certificates und klicken Sie mit der rechten Maustaste darauf:

   

2. Klicken Sie auf den Menüpunkt Open.

3. Die Zertifikatsinformationen werden angezeigt:

   

4. Aktivieren Sie die Registerkarte Details und klicken Sie auf Subject Alternative Name, um die DNS- und IP-Informationen anzuzeigen, die Sie für dieses Zertifikat eingegeben haben:

   

5. Klicken Sie auf die Schaltfläche OK, und verlassen Sie die Konsole.