4.3. Austausch eines SSL-Zertifikats
Diese Anleitung beschreibt, wie ein von OCT verwendetes SSL-Zertifikat durch ein neues SSL-Zertifikat ersetzt werden kann. Dies ist erforderlich, sobald das bestehende Zertifikat abläuft (in der Regel nach ein bis zwei Jahren), wodurch im Browser entsprechende Sicherheitswarnungen erscheinen.
Es gibt zwei Möglichkeiten, wie ein SSL-Zertifikat ausgetauscht werden kann:
a. über den OCT-Konfigurator
b. ein manueller Austausch auf dem OCT-Applikationsserver
Die Anleitung richtet sich ausschließlich an erfahrene Administratoren. Für den Austausch muss der Fingerabdruck des neuen Zertifikats ermittelt und in der OCT-Konfiguration hinterlegt werden.
1. Abgelaufenes SSL-Zertifikat erkennen
Der Grund für eine Sicherheitsmeldung im Browser ist häufig ein abgelaufenes SSL-Zertifikat.

2. Austausch über OCT-Konfigurator
Das SSL-Zertifikat kann einfach und schnell in der Übersicht der OCT-Applikation in unserem OCT-Konfigurator getauscht werden.
Das Handbuch zum OCT-Konfigurator finden Sie in unserem Help Center: https://help.saxess-software.de/oct-konfigurator
2.1. Voraussetzungen
Für den Austausch des SSL-Zertifikates sind erforderlich:
Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …
ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der OCT im Browser aufgerufen wird z.B. oct.companyname.com
abgelegt im Windows-Zertifikatespeicher unter
Computerzertifikate -> Eigene Zertifikate \ Zertifikate
mit privatem Schlüssel (erkennbar am Schlüssel Symbol
)
Administratorrechte auf dem OCT Applikationsserver
Es darf zum Zeitpunkt des Austausches keine Pipeline ausgeführt werden.
2.2. SSL-Zertifikat austauschen
Wählen Sie auf der Startseite des Konfigurators den Dienst bzw. Ihre aktuell installierte Applikation aus, um zur Übersichtsseite der Applikation zu gelangen.

Startseite Konfigurator - Übersicht mit Diensten
Auf der Übersichtsseite der Applikation gibt es die Zeile “Zertifikat”, die das aktuell genutzte Zertifikat anzeigt.
Beispiel ohne SSL-Zertifikat - der Dienst läuft unter “HTTP”:

Beispiel mit SSL-Zertifikat - der Dienst läuft unter “HTTPS”

Wenn ein SSL-Zertifikat innerhalb der nächsten drei Monate abläuft oder nicht mehr gültig ist, wird dies mit einem Warn-Icon
vor den Zertifikatsinformationen visualisiert.

Mit einem Linksklick auf das Icon
“Lizenz bearbeiten” öffnet sich ein Dialog, in welchem das Zertifikat bearbeitet bzw. ausgetauscht werden kann.

Im Dialog wählen Sie in einem Drop-down-Menü ein neues gültiges SSL-Zertifikat aus und ersetzen über den Button “Anwenden” das alte durch ein neues Zertifikat.

Es erfolgt u.a. ein Neustart des Dienstes, ein Abruf der Datenbankinformationen vom SQL Server und das neue Zertifikat wird angewandt.

Der Zertifikatstausch ist abgeschlossen.
3. Manueller Austausch über OCT-Applikationsserver
Im Folgenden wird beschrieben, wie das SSL-Zertifikat manuell über den OCT-Applikationsserver ausgetauscht werden kann.
3.1. Voraussetzungen
Für den Austausch des SSL-Zertifikates sind erforderlich:
Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …
ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der OCT im Browser aufgerufen wird z.B. oct.companyname.com.
abgelegt im Windows-Zertifikatespeicher unter
Computerzertifikate -> Eigene Zertifikate \ Zertifikate
mit privatem Schlüssel (erkennbar am Schlüssel Symbol
)
Administratorrechte auf dem OCT Applikationsserver
ein Maintenance-Wartungsfenster …
in dem keine Benutzer in OCT angemeldet sind
in dem keine Pipeline(Datenaktualisierung) läuft oder geplant ist im Modul Integration
3.2. Anleitung des manuellen Austauschs
Schritt 1 - Abgelaufenes SSL-Zertifikat erkennen: “Warnung im Browser“
Der Grund für die Meldung im Browser ist häufig ein abgelaufenes SSL-Zertifikat.

Schritt 2 - Ermitteln der zutreffenden Installation bzw. des korrekten Dienstes
Öffnen Sie das Windows-Fenster “
Dienste
"(Start->Ausführen: services.msc)
und suchen Sie in der Liste nach dem Dienstnamen “OCT
" (siehe Screenshot).Der Dienstname kann variieren z.B. “
OCT558
" oder "OCT-5000
".Es können auch mehrere OCT Dienste im Falle von parallelen Installationen vorhanden sein, i.d.R. bei verschiedenen Versionen.

Schritt 3 - Beenden des Dienstes und Erreichbarkeit der WebGui prüfen
Stellen Sie zuerst sicher, dass aktuell keine Pipeline (Datenextraktionsprozess) läuft und alle OCT-Anwender abgemeldet sind.
Beenden Sie den Dienst “
OCT
".Die OCT WebGUI sollte nun nicht mehr im Browser erreichbar sein und eine Fehlermeldung “Die Webseite ist nicht erreichbar“ anzeigen.
Sollte die WebGUI weiterhin erreichbar sein, haben Sie den falschen OCT-Dienst beendet. In diesem Falle starten Sie den beendeten Dienst wieder und den dritten Schritt, bis der zur URL passende OCT-Dienst beendet wurde.
Schritt 4 - Sichern der aktuellen Konfiguration und Einstellungen
Fertigen Sie eine Sicherungskopie der nachfolgenden Konfigurationsdatei an. Der Platzhalter im Pfad“
<OCT-DIENSTNAME>
" entspricht dem Namen des Dienstes aus Abbildung unter “Schritt 2” .C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json
Öffnen einer “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”
Eingabe von:
netsh http show ssl
und Sichern(Copy&Paste im Fenster) aller ausgegebenen SSL-Zertifikatsbindungen in einer Textdatei.

Relevant sind folgende Angaben:
IP:Port oder Hostname:Port
Zertifikathash
Anwendungs-ID
Diese werden in Schritt 6 und 7 benötigt.
Schritt 5 - Ermitteln des neuen Zertifikat-Fingerabdrucks (auch als Thumbprint / Zertifikathash bezeichnet)
Öffnen Sie das Windows-Fenster
"Computerzertifikate verwalten"
über die Windows-Suche/-Systemsteuerung oderStart->Ausführen: certlm.msc
.Gehen Sie in den Zweig/Knoten
+ Eigene Zertifikate \ Zertifikate
, um die verfügbaren Zertifikate anzuzeigen.Öffnen Sie die Eigenschaften des neuen Zertifikates mittels Doppelklick, gehen Sie auf den Tab “Details“ und wählen ganz unten in der Liste das Feld “Fingerabdruck“. Kopieren Sie den im folgenden Screenshot unter “d” rot umrahmten Fingerabdruck und fügen Sie diesen in eine neue Textdatei ein.

Schritt 6 - Neuen Zertifikat-Fingerabdruck in beiden Konfigurationsdateien eintragen
Öffnen Sie mit einem Editor die Datei …
C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json
Ersetzen Sie in der Datei im Abschnitt “CertificateThumbprint“ den alten durch den im vorherigen Schritt ermittelten neuen Fingerabdruck (siehe Screenshot).

Schritt 7 - Aktualisieren der netsh Zertifikatsbindung
Die Zertifikatsbindung kann auf zwei Arten angelegt sein:
über die IP-Adresse (ipport / IP:Port)
über den Host-o. DNS-Namen (hostnameport / Hostname:Port)
Öffnen Sie zuerst eine “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”
Variante A) - über die IP-Adresse (ipport / IP:Port)
Wurde Ihre Zertifikatsbindung über
ipport / IP:Port
erzeugt, gehen Sie wie anschließend beschrieben vor.Hinterlegen Sie die unter Schritt 4 gesicherten Konfigurationsdaten
<IP:Port>
und<Anwendungs-ID>
und den neuen<Zertifikathash>
des neuen Zertifikates aus Schritt 5 (siehe Screenshot).

Befehl zum Löschen der bestehenden Zertifikatsbindung:
netsh http delete sslcert ipport=<bestehender IP:Port>
Befehl zum Erzeugen einer neuen Zertifikatsbindung:
netsh http add sslcert ipport=<bestehender IP:Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>"
Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):

Variante B) - über den Host-o. DNS-Namen (hostnameport / Hostname:Port)
Wurde Ihre Zertifikatsbindung über
hostnameport / Hostname:Port
erzeugt, gehen Sie wie anschließend beschrieben vor.Befehl zum Löschen der bestehenden Zertifikatsbindung:
netsh http delete sslcert hostnameport=<Host/DNSName>:<Port>
Befehl zum Erzeugen einer neuen Zertifikatsbindung:
netsh http add sslcert hostnameport=<Host/DNSName>:<Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>" certstore=my
Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):

Schritt 8 - Starten des OCT-Dienstes und prüfen der URL im Browser
Starten Sie den Dienst.

Prüfen Sie die Verbindung im Browser.
Aktualisieren Sie hierzu die OCT WebGUI mit der F5-Taste oder über das Symbol “Neu Laden“.
Es sollte nun keine Warnung mehr angezeigt werden und das neue gültige Zertifikat ist hinterlegt
