Skip to main content
Skip table of contents

FAQ - Einrichtung von OCT (HTTPS)

Dieses FAQ beschäftigt sich speziell mit Fragestellungen, welche nur bei der HTTPS-Einrichtung von OCT entstehen.


1. Wieso wird das Zertifikat - bei der HTTPS-Einrichtung - falsch angezeigt?

(a) Bei der Installation mit HTTPS wurde nur der Rechnername ohne Domänenendung eingetragen. → Der Rechner ist nun nicht unter der Adresse “<rechnername>.<domäne>:<port>” erreichbar, sondern nur unter “<rechnername>:<port>”.
(b) Der Installationsassistent zeigt nicht das richtige SSL-Zertifikat an oder führt es fälschlicherweise als abgelaufen.

Anwendungsbeispiel:

  • hostname, port usw. muss mit dem richtigen Computernamen ersetzt werden, auf welchem OCT installiert wurde.

  • domäne_kurz entspricht beispielsweise “ad-testkunde”.

  • domäne_lang entspricht beispielsweise “ad.testkunde.ac.de” (FQDN)

  • application_id entspricht beispielsweise “{aaaabbbb123-ab12-cd34-ef56-usw.}”

Diese Applikations-ID kann frei gewählt werden!

  • certificate_hash entspricht beispielsweise “0fab23de87ad81…”


1.1. Zertifikatshash

Das Zertifikatshash finden Sie mit dem Befehl:

CODE
certutil -store my

Identifizieren Sie zuerst das richtige Zertifikat, sodass Sie im Anschluss davon den Hash kopiert können:

Zertifikatshash identifizieren

  • In der “appsettings.user.json”-Datei muss bei “URLs” der Wert angepasst werden zu: “https://ipadresse:port


1.2. URL- und Zertifikatsbindungen

  • Mit den folgenden Befehlen prüfen Sie auf vorhandene URL- und Zertifikatsbindungen:

Befehl: “netsh http show url”

Befehl: netsh http show ssl


1.2.1. Löschen der URL-Bindung

  • Löschen Sie die falsche URL-Bindung - z.B. falls eine andere URL oder ein anderer Port genutzt werden soll - mit dem Befehl:

CODE
netsh http delete urlacl url="https:ipadresse:port/"

oder:

CODE
netsh http delete urlacl url="https:servername:port/"

Beispiel für das Löschen einer falschen URL-Bindung


1.2.2. Löschen der Zertifikatsbindung

  • Löschen Sie eine falsche Zertifikatsbindung mit dem folgenden Befehl:

CODE
netsh http delete sslcert ipport=ipadresse:port

oder:

CODE
netsh http delete sslcert hostnameport=servername:port

Beispiel für das Löschen einer falschen Zertifikatsbindung


1.2.3. Richtige URL-Bindung hinzufügen

Das Hinzufügen der richtigen URL-Bindung erfolgt mit dem Befehl:

CODE
netsh http add urlacl url=”https://ipadresse:port/” user=”domäne\user”

Beispiel für das Hinzufügen einer URL-Bindung


1.2.4. Richtige Zertifikatsbindung hinzufügen

  • Den Zertifikatshash und die Applikations-ID finden Sie mit dem Befehl:

CODE
netsh http show ssl
  • Falls bisher kein Zertifikat installiert ist, kann die folgende Applikations-ID aus dem Screenshot verwendet werden: “{ff24d6a6-90cd-4eef-9a47-7ca8f0c74177}”

CODE
netsh http add sslcert ipport=ipadresse:port certhash=certificate_hash appid=application_id certstorename=my

Beispiel für den vollständigen Befehl mit Zertifikatshash und Applikations-ID

Überprüfung des Zertifikats

In der Datei “appsettings.user.json” muss bei HTTPS-Installationen die IP-Adresse der Servers eingegeben werden, in der URL im Browser wird dann aber der Rechner mit Domänenendung aufgerufen.


2. Die HTTPS-Konfiguration zeigt Fehler, lässt keine Anmeldung zu oder soll externe Anmeldung zulassen

2.1 Anmeldung wird (scheinbar) nicht akzeptiert?

Sobald die Server-URL über die Zertifikat gesetzt wird (eine neue FQDN für den Server) kann es passieren, dass OCT auf dem Server selbst nicht mehr aufgerufen werden kann (das Login erscheint, aber wird nicht akzeptiert) - von anderen Rechnern funktionert es aber. Es ist ein Sicherheitsfeature, welches verhindert, dass Windows-Authentifizierung verwendet wird, falls bei einem Rechner FQDN <> Hostname ist.
Loopback-Attacken werden wie folgt verhindert:

https://web.archive.org/web/20140212102642/http://support.microsoft.com/kb/896861

  1. Click Start, click Run, type regedit, and then click OK.

  2. In Registry Editor, locate and then click the following registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

  3. Right-click MSV1_0, point to New, and then click Multi-String Value.

  4. Type BackConnectionHostNames, and then press ENTER.

  5. Right-click BackConnectionHostNames, and then click Modify.

  6. In the Value data box, type the host name or the host names for the sites that are on the local computer, and then click OK.

  • Um die Erreichbarkeit zu gewährleisten muss ein Registry Eintrag gesetzt werden. Dies muss mit dem Admin abgestimmt werden, insbesondere falls der Rechner im Internet erreichbar sein soll.


2.2 Die OCT-Instanz im Internet verfügbar machen

Nutzen Sie lieber unser Cloud Hosting hierfür, oder hosten Sie die Applikation selbst auf Azure als Webapp. Falls Sie denoch OCT lokal installieren und im Internet verfügbar machen wollen,
halten Sie folgende Mindestsicherheitsregeln ein:

  • Ihr SQL-Server darf nur Windows-Authentifizierung unterstützten.

  • OCT-Service darf auf keinen Fall Administratorrechte haben und muss ein eingeschränkter Benutzer sein.

  • OCT-Service darf auf keinen Fall “Sysadmin” der Datenbank sein.

  • Hardening-Script für die OCT-Datenbank ausführen. Dieses wird gemeinsam entworfen und deaktivert bestimmte Systemprozeduren & Funktionen.

  • Deaktivieren Sie alle Powershell-Funktionen von OCT.

  • TLS-Hardening ausführen https://www.nartac.com/Products/IISCrypto/

Vollständiges Hardening blockiert ggf. auch interne Windows Werkzeuge (z.B. Powershell)

  • Die Applikation ggf. intern auf HTTP und mit anderem Port laufen lassen - nur extern über HTTPS mit Hardening.

  • Regelmäßige Vulnerability-Scans durch die Kunden-IT z.B. https://www.ssllabs.com/ssltest/ oder http://ssl-checker.online-domain-tools.com/.

  • Vollständige Windows-Updates.

  • IP-Whitelistings falls möglich - Zugriff nur von bestimmten IPs oder Ranges aus gestatten.

  • Planen Sie regelmäßige OCT-Updates ein.


3. Die generische URL ist nicht aufrufbar?

Die folgenden Punkte dienen zur Identifikation der Ursache:

  • FAQ - Einrichtung von OCT (allgemein) | 1.-Wo-finde-ich-Informationen-bei-Problemen

  • Unter “Dienste” prüfen ob der OCT-Dienst läuft und der korrekte OCT-Dienstbenutzer hinterlegt ist.

  • In der Firewall muss der Port OCT freigeschaltet sein bzw. wenn nicht, eine Regel für eingehende TCP-Verbindung auf OCT-Port erlauben.

  • In das “cmd” den Befehl “netstat -an” eingeben - es prüft ob OCT auf dem konfigurierten Port lauscht. Dieser muss bei den TCP-Einträgen aufgeführt sein:

  • Im cmd den Befehl “netsh http show urlacl” eingeben - es prüft ob URL-/SSL-Bind existieren:

Die hier angezeigte URL:Port muss in allen *.json-Files identisch sein und der angezeigte Benutzer zusätzlich mit dem hinterlegten Benutzer unter “Dienste - Benutzer” identisch sein.

  • Im cmd den Befehl “netsh http show ssl” eingeben.

  • Die hier angezeigte URL:Port muss in allen *.json-Files identisch sein.

  • Zum angezeigten SSL-Zert-Fingerprint muss ein Zertifikat mit gleichem Fingerprint im Windows-Zertifikatespeicher existieren.

  • Erfüllt das SSL-Zertifikat folgende Anforderungen:

    • Es ist auf den gleichen FQDN oder Hostnamen ausgestellt, der auch in den URL/SSL-Binds und den *.json-Files hinterlegt ist.

    • Es ist gültig, d.H. noch nicht zeitlich abgelaufen.

    • Es muss vom Typ ein “normales“ WebServerzertifikat für Serverauthentifizierung sein.

    • Ein Artikel zum Austausch eines Zertifikats finden Sie hier: 4.3. Austausch eines SSL-Zertifikats

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.