4.3. Austausch eines SSL-Zertifikats
Diese Anleitung beschreibt, wie ein von OCT verwendetes SSL-Zertifikat durch ein anderes ersetzt werden kann. Dies wird erforderlich, sobald ein Zertifikat abgelaufen ist (häufig nach 1 oder 2 Jahren) und dann eine Warnung im Browser auftritt. Die Anleitung sollte nur von versierten Administratoren verwendet werden. Für den Austausch ist der Fingerprint des neuen Zertifikates zu ermitteln und in der OCT Konfiguration zu hinterlegen.
Diese Anleitung schildert NICHT, wie URL / Port / ServiceUser geändert werden können!
1. Voraussetzungen
Für den Austausch des SSL-Zertifikates sind erforderlich:
Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …
ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der die URL im Browser-Aufruf aufgerufen wird. z.B. oct.companyname.com
abgelegt im Windows-Zertifikatespeicher unter
Computerzertifikate -> Eigene Zertifikate \ Zertifikate
mit privatem Schlüssel (erkennbar am Schlüssel Symbol)
Administratorrechte auf dem OCT Applikationsserver
ein Maintenance-Wartungsfenster …
in dem keine Benutzer in OCT angemeldet sind
in dem keine Pipeline(Datenaktualisierung) läuft oder geplant ist im Modul Integration
2. Verwendungsanleitung
In den folgenden Schritten ist aufgeführt, wie der Austausch des SSL-Zertifikates durchgeführt werden kann.
Einleitung: Symptom “Warnung im Browser“ durch abgelaufenes SSL-Zertifikat
Häufig ist der Grund ein abgelaufenes SSL-Zertifikat, welches vom Anwender gemeldet wurde siehe Screenshot.
1.) Ermitteln der zutreffenden Installation -> des korrekten Dienstes
Öffnen Sie das Windows-Fenster “
Dienste
"(Start->Ausführen: services.msc)
und Suchen sie in der Liste nach dem Dienstname “OCT
", siehe Screenshot.Wichtige Hinweise dazu:
Der Dienstname kann abweichen, z.B. “
OCT558
" oder "OCT-5000
" oder anders seinEs können auch mehrere OCT Dienste im Falle von parallelen Installationen vorhanden sein, i.d.R. bei verschiedenen Versionen.
2.) Beenden des Dienstes und Erreichbarkeit der WebGui prüfen
Stellen Sie zuerst sicher, dass
aktuell keine Pipeline (Datenextraktionsprozess) läuft und
alle OCT-Anwender abgemeldet sind
Beenden Sie den Dienst “
OCT
"Die OCT WebGUI sollte nun nicht mehr im Browser erreichbar sein und eine Fehlermeldung “Die Webseite ist nicht erreichbar“ anzeigen
Hinweise:
Sollte die WebGUI weiterhin erreichbar sein, haben Sie den falschen OCT-Dienst beendet. In diesem Falle starten sie den beendeten Dienst wieder und wiederholen 2.) bis der zur URL passende OCT-Dienst beendet wurde.
3.) Sichern der aktuellen Konfiguration und Einstellungen
Fertigen Sie eine Sicherungs-Kopie der nachfolgenden 2 Konfigurationsdateien an. Der Platzhalter im Pfad“
<OCT-DIENSTNAME>
" entspricht dem Namen des Dienstes aus Abbildung unter 1.) .C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json
C:\Program Files\Saxess Software\<OCT-DIENSTNAME>\service\appsettings.json
Öffnen einer “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”
Eingabe von:
netsh http show ssl
und Sichern(Copy&Paste im Fenster) aller ausgegebenen SSL-Zertifikatsbindungen in einer Textdatei.
Relevant sind folgende 3 Angaben:
IP:Port oder Hostname:Port
Zertifikathash
Anwendungs-ID
Diese werden in Schritt 5.) und 6.) benötigt
4.) Ermitteln des neuen Zertifikat-Fingerprint (auch als Thumbprint / Zertifikathash bezeichnet)
Öffnen Sie das Windows-Fenster
"Computerzertifikate verwalten"
über die Windows-Suche/-Systemsteuerung oderStart->Ausführen: certlm.msc
gehen Sie in den Zweig/Knoten
+ Eigene Zertifikate \ Zertifikate
um die verfügbaren Zertifikate anzuzeigen.Öffnen Sie die Eigenschaften des neuen Zertifikates mittels Doppelklick, gehen auf den Tab “Details“ und wählen ganz unten in der Liste das Feld “Fingerabdruck“. Den im folgenden Screenshot unter “d” rot umrahmten Fingerabdruck kopieren Sie und fügen ihn in eine neue Textdatei ein.
5.) neuen Zertifikat-Fingerprint in beiden Konfigurationsdateien eintragen
Öffnen Sie mit einem Editor die Dateien …
C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json
,C:\Program Files\Saxess Software\<OCT-DIENSTNAME>\service\appsettings.json
Ersetzen Sie in den Dateien im Abschnitt “CertificateThumbprint“ den alten durch den im vorherigen Schritt ermittelten neuen Fingerprint, siehe Screenshot.
6.) Aktualisieren der netsh Zertifikatsbindung
Hinweis: Die Zertifikatsbindung kann auf zwei Arten angelegt sein:
über die IP-Adresse (ipport / IP:Port) oder
über den Host-o. DNS-Namen (hostnameport / Hostname:Port)
Öffnen Sie zuerst eine “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”
Variante A) Wurde Ihre Zertifikatsbindung über ipport / IP:Port
erzeugt, gehen Sie bitte so vor:
Hinterlegen Sie die unter Schritt 3.) gesicherten Konfigurationsdaten
<IP:Port>
und<Anwendungs-ID>
und den neuen<Zertifikathash>
des neuen Zertifikates aus Schritt 4.) , siehe Screenshot.
Befehl zum Löschen der bestehenden Zertifikatsbindung:
netsh http delete sslcert ipport=<bestehender IP:Port>
Befehl zum Erzeugen einer neuen Zertifikatsbindung:
netsh http add sslcert ipport=<bestehender IP:Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>"
Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):
Variante B) Wurde Ihre Zertifikatsbindung über hostnameport / Hostname:Port
erzeugt, gehen Sie bitte so vor:
Befehl zum Löschen der bestehenden Zertifikatsbindung:
netsh http delete sslcert hostnameport=<Host/DNSName>:<Port>
Befehl zum Erzeugen einer neuen Zertifikatsbindung:
netsh http add sslcert hostnameport=<Host/DNSName>:<Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>" certstore=my
Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):
7.) Starten des OCT-Dienstes und prüfen der URL im Browser
Starten des Dienstes:
Prüfen der Verbindung im Browser
Aktualisieren Sie hierzu die OCT WebGUI mit der F5-Taste oder über das Symbol “Neu Laden“
Es sollte nun keine Warnung mehr angezeigt werden und das neue gültige Zertifikat ist hinterlegt