SSL/TLS Zertifikat

Hintergründe und Informationen über Zertifikate und deren Anwendung.

Ein Zertifikat ist eine kleine Datendatei, die einen kryptografischen Schlüssel digital an die Details einer Organisation oder einer Person bindet. Ein gültiges Zertifikat ist die Voraussetzung für eine sichere Kommunikation. Diese erfolgt dann verschlüsselt zwischen den Teilnehmern und kann nicht mehr ohne weiteres von Dritter Seite "mitgehört" oder gar manipuliert werden.

Selbst bei reinen Inhouse-Anwendungen, wo das Risiko möglicherweise gering ist, ist die Einrichtung einer sicheren https Website mittels eines SSL Zertifikates notwendig, da alle aktuellen Browser mittlerweile den Funktionsumfang unsicherer Seiten einschränken. Vor allem die Interaktion mit externen Services, beispielsweise dem Dashboard-Designer oder der automatischen Lizenzierung wird dann verhindert. Zertifikate kann im Grunde jeder erstellen. Damit ein Zertifikat vom jeweiligen Prozess oder Client jedoch als gültig anerkannt wird, muss es vertrauenswürdig sein. Es muss eindeutig auf eine vertrauenswürdige Stelle zurückgeführt werden können. Bei Unternehmensanwendungen im lokalen Netzwerk sind die Administratoren oder die IT Abteilung diese vertrauenswürdige Stelle. Wenden Sie sich also zuerst an diese Zertifizierungsstelle.

Wichtig:

Damit ein Zertifikat vom System als gültig akzeptiert wird, müssen eine ganze Reihe von Zertifikatseigenschaften korrekt definiert und vom jeweils prüfenden System verifizierbar sein. Diese sind unter anderem

Zweck/Typ: Server
Ausgestellt für: IP Adresse oder URL
Gültigkeitszeitraum (Gültig ab...bis)
Sperrliste/CRL (für MSMQ Kommunikation zwingend)
...

Die Ausstellung eines gültigen Zertifikats und die Verteilung an die entsprechenden Computer erfolgt in der Regel durch die verantwortlichen IT-Administratoren des Netzwerkes.

Zertifizierungsstelle

Zertifikate können von unterschiedlichen Zertifizierungsstellen bereitgestellt werden. Für Inhouse-Anwendungen wie das beim visual energy Energiedatenmanagement der Fall ist, ist stellt die Organsiation sich in der Regel selbst Zertifikate bereit. Zertifikate von externen Zertifizierungsstellen werden normalerweise nur für öffentliche Internet-Anwendungen benötigt. Bei selbst erstellten und damit selbst signierten Zertifikaten, muss natürlich ebenfalls sichergestellt werden, dass der jeweils prüfende Dienst (z.B. ein Browser), Signierungen selbst auf eine vertrauenswürdige Stamm-Zertifizierungsstelle (CA) zurückführen kann (Zertifizierungspfad).

Netzwerkverantwortliche, die den (internen) Netzwerkverkehr SSL/TLS verschlüsselt absichern müssen, haben dazu typischerweise eine interne Zertifizierunsstelle eingerichtet. Das ist ein Dienst / Programm um Zertifikate zu erstellen, zu verteilen und um beispielsweise Sperrlisten zu pflegen und bereitzustellen. Man spricht hier von einer PKI Infrastruktur, die administrativ bereitgestellt wird. Wenden Sie sich bitte immer zuerst an diese Administratoren, wenn ein Zertifikat benötigt wird. Ebenso sind diese Stellen verantwortlich für die Sicherstellung der Gültigkeit.

Wichtig:

Bitte bedenken Sie, dass auch die Kommunikation zwischen Busmaster und visual energy über http / https Protokolle abgewickelt wird. Ist ein SSL Zertifikat nicht gültig bzw. dessen Prüfung schlägt fehl, so kann auch der Busmaster nicht mehr mit dem visual energy Web kommunizieren. Falls Energiedaten nicht mehr ausgetauscht werden können, kann dies also auch an der fehlgeschlagenen Prüfung von Zertifikaten liegen.

Zertifikatsspeicher

Bereits mit der Installtion wird beim IIS ein automatisch erzeugtes (selbst-signiertes) Zertifikat im Zertifikatsspeicher abgelegt. Wird beim Setup von visual energy die Option https-Bindung ausgewählt (Standard), dann wird automatisch das erste vorhandene Zertifikat aus dem Zertifikatsspeicher verwendet.

Die Bindungs-Zuordnung kann mit nachfolgender Beschreibung jederzeit in den Einstellungen des IIS geändert werden, falls dies erforderlich werden sollte.

Der Zertifikatsspeicher ist in der IIS Root Konfiguration zu finden:

In diesem Zertifikatsspeicher sind alle verfügbaren Zertifikate enthalten. Hier können weitere Zertifikate importiert, oder neue selbst signierte Zertifikate erstellt werden:

Hier können Sie auch das Zertifikat exportieren, um es anschließend an die Anwender zu verteilen.

Zertifikat zuordnen

Die Zuordnung eines Zertifikates zu einer Website erfolgt über "Bindings" bzw. "Bindungen" bei der entsprechenden Website. Jede Website benötigt eine eigene Bindung an ein Zertifikat.

Achtung:

Bitte denken Sie daran, dass selbst-signierte Zertifikate von den Browsern der Anwender solange als unsicher betrachtet und mit entsprechenden Hinweisen dargestellt werden, solange das exportierte Zertifikat nicht an diese verteilt und im lokalen Zertifikatsspeicher importiert wurde.