Skip to main content
Skip table of contents

4.3. Austausch eines SSL-Zertifikats

Diese Anleitung beschreibt, wie ein von OCT verwendetes SSL-Zertifikat durch ein neues SSL-Zertifikat ersetzt werden kann. Dies ist erforderlich, sobald das bestehende Zertifikat abläuft (in der Regel nach ein bis zwei Jahren), wodurch im Browser entsprechende Sicherheitswarnungen erscheinen.

Es gibt zwei Möglichkeiten, wie ein SSL-Zertifikat ausgetauscht werden kann:

a. über den OCT-Konfigurator

b. ein manueller Austausch auf dem OCT-Applikationsserver

Die Anleitung richtet sich ausschließlich an erfahrene Administratoren. Für den Austausch muss der Fingerabdruck des neuen Zertifikats ermittelt und in der OCT-Konfiguration hinterlegt werden.


1. Abgelaufenes SSL-Zertifikat erkennen

  • Der Grund für eine Sicherheitsmeldung im Browser ist häufig ein abgelaufenes SSL-Zertifikat.

image-20250804-083752.png

2. Austausch über OCT-Konfigurator

Das SSL-Zertifikat kann einfach und schnell in der Übersicht der OCT-Applikation in unserem OCT-Konfigurator getauscht werden.

Das Handbuch zum OCT-Konfigurator finden Sie in unserem Help Center: https://help.saxess-software.de/oct-konfigurator


2.1. Voraussetzungen

Für den Austausch des SSL-Zertifikates sind erforderlich:

  • Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …

    • ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der OCT im Browser aufgerufen wird z.B. oct.companyname.com

    • abgelegt im Windows-Zertifikatespeicher unter Computerzertifikate -> Eigene Zertifikate \ Zertifikate

    • mit privatem Schlüssel (erkennbar am Schlüssel Symbolimage-20240424-150718.png)

  • Administratorrechte auf dem OCT Applikationsserver

  • Es darf zum Zeitpunkt des Austausches keine Pipeline ausgeführt werden.


2.2. SSL-Zertifikat austauschen

  • Wählen Sie auf der Startseite des Konfigurators den Dienst bzw. Ihre aktuell installierte Applikation aus, um zur Übersichtsseite der Applikation zu gelangen.

image-20250725-123414.png

Startseite Konfigurator - Übersicht mit Diensten

  • Auf der Übersichtsseite der Applikation gibt es die Zeile “Zertifikat”, die das aktuell genutzte Zertifikat anzeigt.

  • Beispiel ohne SSL-Zertifikat - der Dienst läuft unter “HTTP”:

image-20250725-124954.png
  • Beispiel mit SSL-Zertifikat - der Dienst läuft unter “HTTPS”

image-20250725-130812.png
  • Wenn ein SSL-Zertifikat innerhalb der nächsten drei Monate abläuft oder nicht mehr gültig ist, wird dies mit einem Warn-Icon image-20250804-083454.png vor den Zertifikatsinformationen visualisiert.

image-20250725-130926.png
  • Mit einem Linksklick auf das Icon image-20250722-074440.png “Lizenz bearbeiten” öffnet sich ein Dialog, in welchem das Zertifikat bearbeitet bzw. ausgetauscht werden kann.

image-20250725-131453.png
  • Im Dialog wählen Sie in einem Drop-down-Menü ein neues gültiges SSL-Zertifikat aus und ersetzen über den Button “Anwenden” das alte durch ein neues Zertifikat.

image-20250725-132920.png
  • Es erfolgt u.a. ein Neustart des Dienstes, ein Abruf der Datenbankinformationen vom SQL Server und das neue Zertifikat wird angewandt.

image-20250725-133254.png
  • Der Zertifikatstausch ist abgeschlossen.


3. Manueller Austausch über OCT-Applikationsserver

Im Folgenden wird beschrieben, wie das SSL-Zertifikat manuell über den OCT-Applikationsserver ausgetauscht werden kann.


3.1. Voraussetzungen

Für den Austausch des SSL-Zertifikates sind erforderlich:

  • Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …

    • ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der OCT im Browser aufgerufen wird z.B. oct.companyname.com.

    • abgelegt im Windows-Zertifikatespeicher unter Computerzertifikate -> Eigene Zertifikate \ Zertifikate

    • mit privatem Schlüssel (erkennbar am Schlüssel Symbolimage-20240424-150718.png)

  • Administratorrechte auf dem OCT Applikationsserver

  • ein Maintenance-Wartungsfenster …

    • in dem keine Benutzer in OCT angemeldet sind

    • in dem keine Pipeline(Datenaktualisierung) läuft oder geplant ist im Modul Integration


3.2. Anleitung des manuellen Austauschs

Schritt 1 - Abgelaufenes SSL-Zertifikat erkennen: “Warnung im Browser“

  • Der Grund für die Meldung im Browser ist häufig ein abgelaufenes SSL-Zertifikat.

image-20250804-084644.png

Schritt 2 - Ermitteln der zutreffenden Installation bzw. des korrekten Dienstes

  • Öffnen Sie das Windows-Fenster Dienste" (Start->Ausführen: services.msc) und suchen Sie in der Liste nach dem Dienstnamen OCT" (siehe Screenshot).

  • Der Dienstname kann variieren z.B. “OCT558" oder "OCT-5000".

  • Es können auch mehrere OCT Dienste im Falle von parallelen Installationen vorhanden sein, i.d.R. bei verschiedenen Versionen.

image-20250804-084914.png

Schritt 3 - Beenden des Dienstes und Erreichbarkeit der WebGui prüfen

Stellen Sie zuerst sicher, dass aktuell keine Pipeline (Datenextraktionsprozess) läuft und alle OCT-Anwender abgemeldet sind.

  • Beenden Sie den Dienst “OCT".

  • Die OCT WebGUI sollte nun nicht mehr im Browser erreichbar sein und eine Fehlermeldung “Die Webseite ist nicht erreichbar“ anzeigen.

  • Sollte die WebGUI weiterhin erreichbar sein, haben Sie den falschen OCT-Dienst beendet. In diesem Falle starten Sie den beendeten Dienst wieder und den dritten Schritt, bis der zur URL passende OCT-Dienst beendet wurde.


Schritt 4 - Sichern der aktuellen Konfiguration und Einstellungen

  • Fertigen Sie eine Sicherungskopie der nachfolgenden Konfigurationsdatei an. Der Platzhalter im Pfad“<OCT-DIENSTNAME>" entspricht dem Namen des Dienstes aus Abbildung unter “Schritt 2” .

    • C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json

  • Öffnen einer “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”

    • Eingabe von: netsh http show ssl und Sichern(Copy&Paste im Fenster) aller ausgegebenen SSL-Zertifikatsbindungen in einer Textdatei.

image-20250804-085848.png

Relevant sind folgende Angaben:

  • IP:Port oder Hostname:Port

  • Zertifikathash

  • Anwendungs-ID

Diese werden in Schritt 6 und 7 benötigt.


Schritt 5 - Ermitteln des neuen Zertifikat-Fingerabdrucks (auch als Thumbprint / Zertifikathash bezeichnet)

  • Öffnen Sie das Windows-Fenster "Computerzertifikate verwalten" über die Windows-Suche/-Systemsteuerung oder Start->Ausführen: certlm.msc .

  • Gehen Sie in den Zweig/Knoten + Eigene Zertifikate \ Zertifikate, um die verfügbaren Zertifikate anzuzeigen.

  • Öffnen Sie die Eigenschaften des neuen Zertifikates mittels Doppelklick, gehen Sie auf den Tab “Details“ und wählen ganz unten in der Liste das Feld “Fingerabdruck“. Kopieren Sie den im folgenden Screenshot unter “d” rot umrahmten Fingerabdruck und fügen Sie diesen in eine neue Textdatei ein.

image-20250804-090511.png

Schritt 6 - Neuen Zertifikat-Fingerabdruck in beiden Konfigurationsdateien eintragen

  • Öffnen Sie mit einem Editor die Datei …

    • C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json

  • Ersetzen Sie in der Datei im Abschnitt “CertificateThumbprint“ den alten durch den im vorherigen Schritt ermittelten neuen Fingerabdruck (siehe Screenshot).

image-20250804-090355.png

Schritt 7 - Aktualisieren der netsh Zertifikatsbindung

Die Zertifikatsbindung kann auf zwei Arten angelegt sein:

  • über die IP-Adresse (ipport / IP:Port)

  • über den Host-o. DNS-Namen (hostnameport / Hostname:Port)

  • Öffnen Sie zuerst eine “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”


Variante A) - über die IP-Adresse (ipport / IP:Port)

  • Wurde Ihre Zertifikatsbindung über ipport / IP:Port erzeugt, gehen Sie wie anschließend beschrieben vor.

  • Hinterlegen Sie die unter Schritt 4 gesicherten Konfigurationsdaten <IP:Port> und <Anwendungs-ID> und den neuen <Zertifikathash> des neuen Zertifikates aus Schritt 5 (siehe Screenshot).

image-20250804-091715.png
  • Befehl zum Löschen der bestehenden Zertifikatsbindung:
    netsh http delete sslcert ipport=<bestehender IP:Port>

  • Befehl zum Erzeugen einer neuen Zertifikatsbindung:
    netsh http add sslcert ipport=<bestehender IP:Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>"

  • Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):

image-20250804-091821.png

Variante B) - über den Host-o. DNS-Namen (hostnameport / Hostname:Port)

  • Wurde Ihre Zertifikatsbindung über hostnameport / Hostname:Port erzeugt, gehen Sie wie anschließend beschrieben vor.

  • Befehl zum Löschen der bestehenden Zertifikatsbindung:
    netsh http delete sslcert hostnameport=<Host/DNSName>:<Port>

  • Befehl zum Erzeugen einer neuen Zertifikatsbindung:
    netsh http add sslcert hostnameport=<Host/DNSName>:<Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>" certstore=my

  • Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):

image-20250804-092013.png

Schritt 8 - Starten des OCT-Dienstes und prüfen der URL im Browser

  • Starten Sie den Dienst.

image-20250804-092125.png
  • Prüfen Sie die Verbindung im Browser.

  • Aktualisieren Sie hierzu die OCT WebGUI mit der F5-Taste oder über das Symbol “Neu Laden“.

  • Es sollte nun keine Warnung mehr angezeigt werden und das neue gültige Zertifikat ist hinterlegt

image-20250804-092441.png

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.