Zum Inhalt

Ihr eigenes Sicherheitszertifikat verwenden

Info

Diese Vorgehensweise in Verbindung mit einer geeigneten Zertifizierungsstelle (intern oder extern) behebt NET::ERR_CERT_AUTHORITY_INVALID Fehler.

octoplant erstellt zur Laufzeit automatisch ein selbstsigniertes Zertifikat und einen privaten Schlüssel.

Wenn Sie statt des von octoplant erstellten Zertifikats Ihr eigenes Zertifikat für OIDC verwenden möchten, ist hier eine optionale Vorgehensweise dazu. Die Beschreibung ist vor allem für die IT-Abteilung oder einen Domain Manager nützlich.

Konfiguration in octoplant

Um Ihr eigenes Zertifikat zu verwenden, erstellen Sie in der Datei server.ini in der Sektion [Common] den Eintrag 41388, wie unten gezeigt:

[Common]
41388=https://{server name}

Verwenden Sie den Namen Ihres Servers anstelle von {Servername} hier und in den nachfolgenden Anweisungen.

Beispiele für gültige 41388 Einträge:

Andere gültige Basis-URIs für den Eintrag 41388=https://{Servername} könnten ähnlich wie eine der folgenden sein:

  • https://localhost:64021/octoplant/
  • https://octo.plant.localhost:123
  • https://octoplant.landau.amdt.com:64023
  • https://192.168.178.12:5555
  • https://[\:\:abcd\:1234\:dcba]\:9999
  • http://octo.ld.auvesy.de

Info

Der Host- oder Domainname darf nur ASCII-Zeichen enthalten. Wenn Sie Unicode-Zeichen verwenden, müssen Sie diese durch ihre Punycode-Darstellung ersetzen.

SSL-Zertifikat erstellen

  1. Installieren Sie OpenSSL.
  2. Erstellen Sie eine leere Textdatei namens sssan.conf in dem Ordner, der die Datei OpenSSL.exe enthält.

    Der Ordner kann je nach Ihrer OpenSSL-Distribution variieren.

  3. Öffnen Sie die Datei sssan.conf in Notepad oder einem anderen einfachen Texteditor und fügen Sie den folgenden Inhalt ein:

    [req]
    default_bits = 4096
    prompt = no
    default_md = sha256
    x509_extensions = v3_req
    distinguished_name = dn
    
    [dn]
    C = {insert country code}   ; Typically 2 characters, such as US or DE
    O = {insert company name}   ; < 64 characters
    CN = {insert_server_name}   ; < 64 characters
    
    [v3_req]
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1 = {insert_server_name}
    
  4. Öffnen Sie eine Eingabeaufforderung mit Administratorrechten.

  5. Navigieren Sie zum OpenSSL Executable-Verzeichnis.
  6. Setzen Sie die Umgebungsvariable OPENSSL_CONF. Geben Sie in der Shell den folgenden Befehl ein:

    SET OPENSSL_CONF={vollständiger Pfad zum Verzeichnis mit der ausführbaren OpenSSL-Datei}\openssl.cfg

  7. Erzeugen Sie das SSL-Zertifikat mit SAN. Geben Sie den folgenden Befehl ein:

    openssl.exe req -new -x509 -newkey rsa:4096 -sha256 -nodes -keyout "{insert cert location}\server.key" -days 3560 -out "{insert cert location}\cert.crt" -config "sssan.conf"
    

    Dadurch werden zwei Dateien in dem gewählten Verzeichnis für das Zertifikat erstellt:

    • server.key: Eine Datei mit privatem Schlüssel
    • cert.crt: Das Zertifikat

    Info

    Wenn Sie beim Erstellen der Zertifikate die folgende Fehlermeldung erhalten:

    Fehler bei der Zertifikatsanforderung 74110000:error:06800097:asn1 encoding routines:ASN1_mbstring_ncopy:string too long:crypto\asn1\a_mbstr.c:106:maxsize=2

    Überprüfen Sie die drei Parameter in der Sektion [dn] Ihrer Datei sssan.conf auf nachgestellte Leerzeichen nach den Werten - insbesondere für den Parameter C (Ländercode) - und entfernen Sie diese. Überprüfen Sie vor allem den Parameter "C".

    [dn]
    C = {insert country code}   ; Typically 2 characters, such as US or DE
    O = {insert company name}   ; < 64 characters
    CN = {insert_server_name}   ; < 64 characters
    
  8. Lassen Sie die Administrator-Shell geöffnet, wenn Sie vorhaben, das Zertifikat auf dem Server zu installieren.

    Warning

    Das Ersetzen der Datei ApiCertificate durch ein neues Zertifikat (unabhängig davon, ob es selbst signiert oder extern erstellt wurde) erfordert Aktualisierungen auf JEDEM octoplant Clientrechner. Andernfalls können Sie nicht auf die Clients zugreifen. Um dies zu vermeiden, löschen Sie die Datei knownhosts.txt:

    • auf JEDEM installierten Client in seinem Clientarchiv: \vdClientArchive\VD$A\Configuration\Local
    • auf dem Serverrechner in seinem Serverarchiv: \vdServerArchive\VD$A\Configuration\Local und in seinem Clientarchiv.
  9. Um die Datei ApiCertificate durch ein neues Zertifikat zu ersetzen, benennen Sie die Zertifikatsdateien im Verzeichnis vdServerArchive\VD$A\configuration\Local um:

    • cert.crt in ApiCertificate (keine Erweiterung)
    • server.key in ApiPrivateKey (keine Erweiterung)

Der Vorgang der Zertifikatserstellung ist abgeschlossen. Jetzt können Sie:

Zertifikat auf dem Server installieren

  1. Öffnen Sie die Microsoft Management Console durch Eingabe von mmc<Enter> in der Shell Kommandozeile.

  2. Die Microsoft Management Console wird geöffnet.

    Abbildung: MMC

  3. Erstellen Sie ein neues Konsolen-Snap-In:

    1. Wählen Sie File -> Add/Remove Snap-in.... aus.

      Der Dialog Add or Remove Snap-ins wird angezeigt:

      Abbildung: OIDC-Cert-Step-1

    2. Wählen Sie Certificates aus und klicken Sie auf die Schaltfläche Add.

      Der Assistent Certificates snap-in wird angezeigt:

      Abbildung: OIDC-Cert-Step-2

    3. Aktivieren Sie die Option Computer account und klicken Sie auf die Schaltfläche Next.

      Der Dialog Select Computer wird angezeigt:

      Abbildung: OIDC-Cert-Step-3

    4. Aktivieren Sie die Option Local computer und klicken Sie auf die Schaltfläche Finish.

    5. Klicken Sie auf die Schaltfläche OK im Dialog Add or Remove Snap-ins.
  4. Erweitern Sie Certificates unter Console Root.

    1. Klicken Sie mit der rechten Maustaste auf Trusted Root Certification Authorities.
    2. Wählen Sie All Tasks aus.
    3. Wählen Sie dann Import aus, wie in der folgenden Abbildung dargestellt:

      Abbildung: OIDC-Cert-Step-4

      Der Certificate Import Wizard wird angezeigt:

      Abbildung: OIDC-Cert-Step-5

  5. Klicken Sie auf die Schaltfläche Next.

  6. Klicken Sie auf die Schaltfläche Browse.

    Der Windows Explorer wird geöffnet:

    Abbildung: OIDC-Cert-Step-6

    1. Navigieren Sie zu dem Ort, an dem Sie das ApiCertificate gespeichert haben, und wählen Sie es aus.

    2. Klicken Sie auf die Schaltfläche Open.

      Der **Certificate Import Wizard ** zeigt die Datei an:

      Abbildung: OIDC-Cert-Step-7

  7. Klicken Sie auf die Schaltfläche Next.

    Der nächste Schritt besteht darin, den Speicherort des Zertifikats zu überprüfen:

    Abbildung: OIDC-Cert-Step-8

    Stellen Sie sicher, dass es sich bei dem Zertifikatsspeicher um den Trusted Root Certification Authorities handelt.

  8. Klicken Sie auf die Schaltfläche Next.

    Der Assistent zeigt die Ergebnisse an:

    Abbildung: OIDC-Cert-Step-9

  9. Überprüfen Sie die Einstellungen für dieses Zertifikat.

  10. Klicken Sie auf die Schaltfläche Finish, um den Assistenten abzuschließen.

    Der Assistent schließt den Import ab und zeigt einen Dialog an:

    Abbildung: OIDC-Cert-Step-10

  11. Klicken Sie auf die Schaltfläche OK.

Zertifikat überprüfen

  1. Suchen Sie {server_name} unter Certificates und klicken Sie mit der rechten Maustaste darauf:

    Abbildung: OIDC-Cert-Step-11

  2. Klicken Sie auf den Menüpunkt Open.

  3. Die Zertifikatsinformationen werden angezeigt:

    Abbildung: OIDC-Cert-Step-12

  4. Aktivieren Sie die Registerkarte Details und klicken Sie auf Subject Alternative Name, um die DNS- und IP-Informationen anzuzeigen, die Sie für dieses Zertifikat eingegeben haben:

    Abbildung: OIDC-Cert-Step-13

  5. Klicken Sie auf die Schaltfläche OK, und verlassen Sie die Konsole.