Diese Anleitung beschreibt, wie ein von OCT verwendetes SSL-Zertifikat durch ein anderes ersetzt werden kann. Dies kann erforderlich sein, wenn ein Zertifikat abgelaufen ist (häufig nach 1 o. 2 Jahren) und dann eine Warnung im Browser auftritt. Die Anleitung sollte nur von versierten Administratoren verwendet werden. Für den Austausch ist der Fingerprint des neuen Zertifikates zu ermitteln und nachfolgend in der OCT Konfiguration zu hinterlegen.

Diese Anleitung schildert NICHT, wie URL / Port / ServiceUser geändert werden können!

Version: Dieser Artikel ist mindestens gültig ab der stabilen Version 5.5.8.


1. Voraussetzungen

Für den Austausch des SSL-Zertifikates sind erforderlich:

  • Ein neues gültiges SSL-Zertifikat auf dem OCT Applikationsserver, …

    • ausgestellt auf den selben Hostname/Domainnamen, wie in der Konfiguration hinterlegt und unter der die URL im Browser-Aufruf aufgerufen wird. z.B. oct.companyname.com

    • abgelegt im Windows-Zertifikatespeicher unter Computerzertifikate -> Eigene Zertifikate \ Zertifikate

  • Administratorrechte auf dem OCT Applikationsserver

  • ein Maintenance-Wartungsfenster …

    • in dem keine Benutzer in OCT angemeldet sind

    • in dem keine Pipeline(Datenaktualisierung) läuft oder geplant ist im Modul Integration


2. Verwendungsanleitung

In den folgenden Schritten ist aufgeführt, wie der Austausch des SSL-Zertifikates durchgeführt werden kann.

Einleitung: Symptom “Warnung im Browser“ durch abgelaufenes SSL-Zertifikat

Häufig ist der Grund ein abgelaufenes SSL-Zertifikat, welches vom Anwender gemeldet wurde siehe Screenshot.

1.) Ermitteln der zutreffenden Installation -> des korrekten Dienstes

  • Öffnen Sie das Windows-Fenster Dienste" (Start->Ausführen: services.msc) und Suchen sie in der Liste nach dem Dienstname OCT", siehe Screenshot.

    • Wichtige Hinweise dazu:

      • Der Dienstname kann abweichen, z.B. “OCT558" oder "OCT-5000" oder anders sein

      • Es können auch mehrere OCT Dienste im Falle von parallelen Installationen vorhanden sein, i.d.R. bei verschiedenen Versionen.


2.) Beenden des Dienstes und Erreichbarkeit der WebGui prüfen

Stellen Sie zuerst sicher, dass

  • aktuell keine Pipeline (Datenextraktionsprozess) läuft und

  • alle OCT-Anwender abgemeldet sind

  • Beenden Sie den Dienst “OCT"

  • Die OCT WebGUI sollte nun nicht mehr im Browser erreichbar sein und eine Fehlermeldung “Die Webseite ist nicht erreichbar“ anzeigen

    • Hinweise:

      • Sollte die WebGUI weiterhin erreichbar sein, haben Sie den falschen OCT-Dienst beendet. In diesem Falle starten sie den beendeten Dienst wieder und wiederholen 2.) bis der zur URL passende OCT-Dienst beendet wurde.


3.) Sichern der aktuellen Konfiguration und Einstellungen

  • Fertigen Sie eine Sicherungs-Kopie der nachfolgenden 2 Konfigurationsdateien an. Der Platzhalter im Pfad“<OCT-DIENSTNAME>" entspricht dem Namen des Dienstes aus Abbildung unter 1.) .

    • C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json

    • C:\Program Files\Saxess Software\<OCT-DIENSTNAME>\service\appsettings.json

  • Öffnen einer “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”

    • Eingabe von: netsh http show ssl und Sichern(Copy&Paste im Fenster) aller ausgegebenen SSL-Zertifikatsbindungen in einer Textdatei.


Relevant sind folgende 3 Angaben:

  • IP:Port oder Hostname:Port

  • Zertifikathash

  • Anwendungs-ID

Diese werden in Schritt 5.) und 6.) benötigt


4.) Ermitteln des neuen Zertifikat-Fingerprint (auch als Thumbprint / Zertifikathash bezeichnet)

  • Öffnen Sie das Windows-Fenster "Computerzertifikate verwalten" über die Windows-Suche/-Systemsteuerung oder Start->Ausführen: certlm.msc

  • gehen Sie in den Zweig/Knoten + Eigene Zertifikate \ Zertifikate um die verfügbaren Zertifikate anzuzeigen.

  • Öffnen Sie die Eigenschaften des neuen Zertifikates mittels Doppelklick, gehen auf den Tab “Details“ und wählen ganz unten in der Liste das Feld “Fingerabdruck“. Den im folgenden Screenshot unter “d” rot umrahmten Fingerabdruck kopieren Sie und fügen ihn in eine neue Textdatei ein.



5.) neuen Zertifikat-Fingerprint in beiden Konfigurationsdateien eintragen

  • Öffnen Sie mit einem Editor die Dateien …

    • C:\ProgramData\Saxess Software\<OCT-DIENSTNAME>\service.appsettings.json,

    • C:\Program Files\Saxess Software\<OCT-DIENSTNAME>\service\appsettings.json

  • Ersetzen Sie in den Dateien im Abschnitt “CertificateThumbprint“ den alten durch den im vorherigen Schritt ermittelten neuen Fingerprint, siehe Screenshot.


6.) Aktualisieren der netsh Zertifikatsbindung

Hinweis: Die Zertifikatsbindung kann auf zwei Arten angelegt sein:

  • über die IP-Adresse (ipport / IP:Port) oder

  • über den Host-o. DNS-Namen (hostnameport / Hostname:Port)

Öffnen Sie zuerst eine “Eingabeaufforderung(CMD)”-> “als Administrator ausführen”

Variante A) Wurde Ihre Zertifikatsbindung über ipport / IP:Port erzeugt, gehen Sie bitte so vor:

  • Hinterlegen Sie die unter Schritt 3.) gesicherten Konfigurationsdaten <IP:Port> und <Anwendungs-ID> und den neuen <Zertifikathash> des neuen Zertifikates aus Schritt 4.) , siehe Screenshot.

  • Befehl zum Löschen der bestehenden Zertifikatsbindung:
    netsh http delete sslcert ipport=<bestehender IP:Port>

  • Befehl zum Erzeugen einer neuen Zertifikatsbindung:
    netsh http add sslcert ipport=<bestehender IP:Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>"

  • Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):

Variante B) Wurde Ihre Zertifikatsbindung über hostnameport / Hostname:Port erzeugt, gehen Sie bitte so vor:

  • Befehl zum Löschen der bestehenden Zertifikatsbindung:
    netsh http delete sslcert hostnameport=<Host/DNSName>:<Port>

  • Befehl zum Erzeugen einer neuen Zertifikatsbindung:
    netsh http add sslcert hostnameport=<Host/DNSName>:<Port> appid={<bestehende Anwendungs-ID>} certhash="<neuer Zertifikathash>" certstore=my

  • Absetzen der beiden Befehle in der Eingabeaufforderung(CMD):


7.) Starten des OCT-Dienstes und prüfen der URL im Browser

  • Starten des Dienstes:

  • Prüfen der Verbindung im Browser

    • Aktualisieren Sie hierzu die OCT WebGUI mit der F5-Taste oder über das Symbol “Neu Laden“

    • Es sollte nun keine Warnung mehr angezeigt werden und das neue gültige Zertifikat ist hinterlegt