Tipps zur Verwaltung von Sicherheitszertifikaten - viewLinc 5.2

Warum wird ein Zertifikatsfehler gemeldet? Verschwindet der Fehler wieder?

viewLinc benötigt Zertifikats- und Sicherheitsschlüsseldateien, um eine sichere Verbindung zwischen Netzwerk-PCs und viewLinc Enterprise Server einzurichten. Die Dateien verschlüsseln Daten und authentifizieren den viewLinc Webserver. Wenn das System ein automatisch generiertes (viewLinc signiertes) Sicherheitszertifikat verwendet, wird Benutzern dieser Fehler ggf. bei jedem Anmelden angezeigt. Der Benutzer kann sich aber trotzdem anmelden. Um das Anzeigen des Alarms zu verhindern, müssen Sie den Browser jedes Benutzers so einstellen, dass dem Zertifikat vertraut wird (öffnen Sie beispielsweise Chrome und navigieren Sie zu Einstellungen > Erweitert > Datenschutz und Sicherheit > Zertifikate verwalten). Alternativ können Sie ein vertrauenswürdiges Zertifikat von einer Zertifizierungsstelle (CA) kaufen. Das Ersetzen des viewLinc signierten Zertifikats durch ein vertrauenswürdiges Zertifikat verhindert automatisch, dass Zertifikatsfehler gemeldet werden.

Wie installiere ich ein Zertifikat auf lokalen PCs?

1. Kopieren Sie die Zertifikatdatei (viewLinc-CA.crt) auf jedem Client-PC an eine beliebige Position auf dem Desktop.
2. Rechtsklicken Sie auf die Datei und entscheiden Sie sich für Folgendes:
   • Wählen Sie Zertifikat installieren, oder
   • Wählen Sie Öffnen und klicken Sie dann auf die Schaltfläche Zertifikat installieren im Bildschirm Zertifikat.

   Bei Systemen mit vielen Benutzern kann es effizienter sein, die Installation der Sicherheitszertifikate auf den Client-PCs zu automatisieren. Kontaktieren Sie die lokale IT, um zu erfragen, ob eine Verteilung der Zertifikate über eine Gruppenrichtlinie möglich ist.

3. Wählen Sie im Bildschirm Zertifikatimportassistent – Willkommen die Option Lokaler Computer.
4. Wählen Sie im Bildschirm Zertifikatsspeicher die Option Alle platzieren, klicken Sie auf Durchsuchen und wählen Sie dann Vertrauenswürdige Stammzertifizierungsstellen. Wenn Sie eine Warnung aufgrund eines unbekannten Herausgebers erhalten, klicken Sie auf OK.
5. Klicken Sie auf Beenden und dann auf Ja.
6. Kopieren Sie das Zertifikat auf alle Domänencomputer.

Mein Sicherheitszertifikat ist abgelaufen. Wird viewLinc weiterhin ausgeführt? Wie erneuere ich das Zertifikat?

Wenn das Zertifikat abläuft, wird im Browser eine Zertifikatswarnung angezeigt, viewLinc wird aber weiter ausgeführt. Verwenden Sie das Dienstprogramm zur Zertifikatssignierung auf dem USB-Laufwerk (SignCSR.exe), um ein neues viewLinc signiertes Zertifikat zu generieren.

Wie kaufe ich ein vertrauenswürdiges Zertifikat?

Vertrauenswürdige Zertifikate können von einer Zertifizierungsstelle (CA) erworben werden. Sie verwenden eine viewLinc generierte Zertifikatsanforderungsdatei (.csr), um das vertrauenswürdige Zertifikat zu erwerben.

1. Wenn Sie im Rahmen der Installation viewLinc signierte Zertifikatsdateien generiert haben, fahren Sie mit Schritt 5 fort.
2. Wenn Sie im Rahmen der Erstinstallation keine viewLinc signierten Zertifikatsdateien generiert haben, kopieren Sie die Zertifikatsanforderungssoftware (CreateCSR.exe) vom USB-Laufwerk mit den viewLinc Installationsdateien in den Ordner C:\Users\Public\Documents\Vaisala\Vaisala\viewLinc\config\keys.
3. Ziehen Sie die vorhandene Schlüsseldatei viewLinc-yy-mm-dd.key auf CreateCSR.exe und legen Sie sie ab.

   Wenn das System ein Ziehen und Ablegen nicht zulässt, verwenden Sie die CMD-Eingabeaufforderung (als Administrator), um die Anforderungsdatei auf die CreateCSR.exe zu verschieben.

4. Beantworten Sie die Fragen. Dabei wird eine Zertifikatsanforderungsdatei (.csr) generiert.

   Stellen Sie sicher, dass die Liste der von Ihnen bereitgestellten Hostnamen und Aliase richtig und vollständig ist, da Benutzer sonst keine Verbindung mit dem viewLinc Webserver herstellen können.

5. Suchen Sie im Ordner ….\config\keys nach der generierten Zertifikatsanforderungsdatei (viewLinc-yyyy-mm-dd.csr). Das Datum im Dateinamen gibt das Datum an, an dem die Datei erstellt wurde.
6. Führen Sie die Schritte durch, die für einen Einkauf bei der gewählten Zertifizierungsstelle erforderlich sind.
7. Bei Erhalt des vertrauenswürdigen Zertifikats:
   • Wenn das vertrauenswürdige Zertifikat als Datei zugestellt wird, speichern Sie die Datei unter dem Namen viewLinc-yyyy-mm-dd.crt.

     Die Ersatzzertifikatsdatei muss unter genau demselben Namen wie die alte Datei gespeichert werden.

   • Wenn das vertrauenswürdige Zertifikat als Text empfangen wird, kopieren Sie alle Zeilen zwischen --------BEGIN CERTIFICATE--------- und --------END CERTIFICATE-------- und speichern Sie die Datei unter dem Namen viewLinc-yyyy-mm-dd.crt.

     Diese Datei muss im PEM-Format vorliegen, das aus einem Block von Daten zwischen BEGIN/END CERTIFICATE-Titeln besteht und neben .pem auch andere Erweiterungen nutzen kann.

8. Ersetzen Sie die vorhandene viewLinc-yyyy-mm-dd.crt-Datei im viewLinc Ordner ..\config\keys durch die neue Datei mit dem vertrauenswürdigen Zertifikat.
9. Öffnen Sie den Windows-Dienst-Manager.
10. Starten Sie den Dienst viewLinc Webserver neu.

    Benutzer, die derzeit bei viewLinc angemeldet sind, müssen sich ab- und dann wieder anmelden, um eine sichere Browsersitzung herzustellen.

Warum kann ich mit meinem gekauften Zertifikat keine Verbindung zu viewLinc herstellen?

Die für den Zugriff auf viewLinc verwendete URL stimmt möglicherweise nicht mit den in Schritt 4 im Formular eingegebenen URLs oder mit dem Formular in der ursprünglichen Installation von viewLinc überein, das die CSR-Datei generiert hat. Generieren Sie die CSR-Datei neu, indem Sie entweder die CreateCSR-Anwendung verwenden oder viewLinc neu installieren. Die Eigenschaften des gekauften Zertifikats sind auch möglicherweise nicht mit viewLinc kompatibel. Beachten Sie die Informationen in Für gekaufte Zertifikate geltende Anforderungen. Alternativ können Sie ein mit viewLinc signiertes Zertifikat verwenden.

Wie aktualisiere ich meine Sicherheitszertifikat- und Schlüsseldateien?

viewLinc speichert Zertifikat- und Schlüsseldateien im viewLinc Installationsverzeichnis. Sie können die Dateien jederzeit aktualisieren:

1. Kopieren Sie neue Dateien in das viewLinc Enterprise Server Datenverzeichnis (<data folder>\config\keys\).
2. Wenn die Dateinamen von den ursprünglichen Dateinamen abweichen, müssen Sie die Datei viewLinc.cfg (<data folder>\config\viewLinc.cfg) entsprechend aktualisieren:

   [web]
   privatekeyfile = <newname>.key
   certificatefile = <newname>.crt

3. Starten Sie viewLinc Webserver neu (siehe Neustarten von viewLinc Enterprise Server).