In folgenden Situationen sollten Sie sich ein SSL-Zertifikat besorgen:
•Wenn Sie über Android- oder iOS-Geräte verfügen, die Sie mit Avalanche verbinden möchten, benötigen Sie ein SSL-Zertifikat. Für das Verbinden von iOS-Geräten ist außerdem ein APNS-Zertifikat für iOS-Geräte erforderlich.
•Zum Schutz der Verbindung zwischen der Avalanche Console (einem Webbrowser) und dem Avalanche-Webserver. Dieser Schritt ist optional. Wenn Sie kein SSL-Zertifikat für den Webserver verwenden, stellt dieser die Verbindung zum Browser und zu den Geräten über das nicht verschlüsselte Hypertext Transfer Protocol (HTTP) her.
•Zum Schutz der Verbindung zwischen dem Avalanche Remotesteuerungsserver und dem Remote Control Viewer. Dieser Schritt ist optional. Die Verbindung zwischen dem Server und den Geräten ist dank vorinstalliertem Schlüssel (PSK, Pre-Shared Key) automatisch gesichert und erfordert kein SSL-Zertifikat.
Wenn Sie Avalanche mit einem SSL-Zertifikat für eine sichere Verbindung verwenden möchten, empfehlen wir Ihnen dringend, ein Zertifikat über eine externe Zertifizierungsstelle zu erwerben (z. B. Verisign). Wenn Sie den Avalanche-Webserver, Smart-Device-Server oder Remotesteuerungsserver auf unterschiedlichen Systemen installieren, benötigen Sie entweder ein Platzhalterzertifikat oder ein Zertifikat für jedes System, auf dem diese Avalanche-Komponenten installiert sind.
In den nachstehenden Anweisungen wird erläutert, wie Zertifikate mit OpenSSL bearbeitet werden. Ivanti bietet OpenSSL nicht zusammen mit Avalanche an. Die Installationsdateien können Sie von der OpenSSL-Website herunterladen. Wenn Sie ein anderes Tool verwenden möchten, lesen Sie im Benutzerhandbuch des betreffenden Tools nach, wie zur Erstellung einer Zertifikatanforderung oder eines selbstsignierten Zertifikats vorzugehen ist.
In den folgenden Abschnitten finden Sie Informationen zur Einrichtung von SSL-Zertifikaten für Avalanche:
Die nachstehenden Anweisungen erläutern, wie eine Zertifikatsignieranforderung mit OpenSSL generiert wird. Ivanti bietet OpenSSL nicht zusammen mit Avalanche an oder installiert OpenSSL. Eine unter Windows ausführbare Version von OpenSSL finden Sie auf der OpenSSL-Website.
Ivanti empfiehlt dringend, ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden. Wenn Sie eine Zertifizierungsstelle wie Verisign verwenden, teilen Sie damit Clients mit, dass Ihre Serverinformationen von einer vertrauenswürdigen Quelle verifiziert wurden und authentisch sind.
Ivanti rät dazu, sämtliche Zertifizierungsdateien nach dem Implementieren des Zertifikats zu sichern.
So generieren Sie einen privaten Schlüssel für das Zertifikat:
1.Navigieren Sie von einer Befehlszeile aus zum folgenden Verzeichnis:
[OpenSSL-Installationsverzeichnis]\bin
2.Verwenden Sie folgenden Befehl:
openssl genrsa -des3 -out privateKey.key 2048
3.Geben Sie bei der Eingabeaufforderung Enter pass phrase for privateKey.key (Passphrase für privateKey.key eingeben) eine Passphrase ein. Geben Sie die Passphrase zur Bestätigung erneut ein. Die Passphrase ist beliebig, sollte aber für zukünftige Referenzzwecke festgehalten werden.
Falls Sie die Warnmeldung "WARNING: can't open config file: /usr/local/ssl/openssl.cfg" erhalten, die darauf hinweist, dass die genannte Konfigurationsdatei nicht geöffnet werden kann, müssen Sie den Speicherort der Konfigurationsdatei angeben. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: set OPENSSL_CONF=[OpenSSL installation directory]\bin\openssl.cfg
Falls OpenSSL die Datei privateKey.key trotzdem erstellt hat, löschen Sie diese. Wiederholen Sie dann die Schritte 2 und 3.
5.Geben Sie bei den Aufforderungen die angeforderten Informationen ein. Geben Sie für Common Name (Allgemeiner Name) den vollqualifizierten Domänennamen des Computers ein, auf dem Sie das Zertifikat installieren werden. Der von Ihnen hier eingegebene Domänenname sollte ein Name sein, der Ihrem Unternehmen gehört. Fügen Sie einen DNS-Eintrag hinzu, falls dies zur Auflösung dieses Computers erforderlich ist.
Beispiel für die Erstellung einer Zertifikatsignieranforderung (CSR, Certificate Signing Request):
Country Name (2 letter code) [GB]:DE State or Province Name (full name) [Some-State]:Hessen Locality Name (eg, city) [Newbury]:Frankfurt Organization Name (eg, company) [My Company Ltd]:Unternehmen GmbH Organizational Unit Name (eg, section) []:Informationstechnologie Common Name (eg, your name or your server's hostname) []:itadmin.meinunternehmen.de Email Address []:[email protected] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: avalanche An optional company name []: Wavelink Corporation
Nächste Schritte
Wenn Sie bei einer Zertifizierungsstelle ein SSL-Webserverzertifikat anfordern, müssen Sie die von diesem Prozess generierte CACert.csr-Datei einreichen.
Nachdem Sie das Zertifikat von der Zertifizierungsstelle zurück erhalten haben, importieren Sie den privaten Schlüssel in die Zertifikatdatei und exportieren Sie diese als PKCS #12-Datei.
Damit ein SSL-Zertifikat für die Avalanche Console, für die Remotesteuerung (Remote Control) oder den Smart-Device-Server verwendet werden kann, muss das Zertifikat im PKCS #12-Format vorliegen und den privaten Schlüssel enthalten. Selbst wenn Ihnen die Zertifizierungsstelle eine .p12--Datei gegeben hat, müssen Sie den privaten Schlüssel in die .p12-Datei importieren, bevor Sie sie mit Avalanche verwenden können.
So exportieren Sie ein Zertifikat in das PKCS #12-Format:
1.Navigieren Sie von einer Befehlszeile aus zum folgenden Verzeichnis:
Wobei privateKey.key dem Namen des Schlüssels entspricht, der von Ihnen vor der Erstellung der Zertifikatsignieranforderung (CSR) bzw. bei der Generierung eines selbstsignierten Zertifikats erstellt wurde, und ca.pem den Namen des Zertifikats angibt, das Sie konvertieren.
Wenn Sie eine Zertifikatsignieranforderung bei einer Zertifizierungsstelle eingereicht haben und diese die Zertifikatkette getrennt vom Zertifikat zurückgeschickt hat, fügen Sie am Ende des Befehls -certfile intcert.crt hinzu, wobei intcert.crt dem Namen des Zwischenzertifikats entspricht.
3.Geben Sie die mit dem privaten Schlüssel verknüpfte Passphrase ein. Bei selbstsignierten Zertifikaten, die mit dem unter Erstellen eines selbstsignierten Zertifikats beschriebenen Befehl erstellt wurden, wird keine Passphrase verlangt.
4.Geben Sie ein Kennwort für den Export ein. Bestätigen Sie das Kennwort.
Die PKCS #12-Datei wird im Installationsverzeichnis von OpenSSL erstellt.
Wenn Sie Ihr SSL-Zertifikat erhalten haben, importieren Sie es über die Console in Avalanche, damit der Smart-Device-Server darauf zugreifen kann.
Das Zertifikat muss im PKCS #12-Format vorliegen. Falls das Zertifikat ein anderes Format aufweist, konvertieren Sie es zuerst in das PKCS #12-Format.
So schließen Sie das Setup ab:
1.Navigieren Sie von der Avalanche Console aus zu Tools > Systemeinstellungen.
2.Klicken Sie im Bereich HTTPS-Konfiguration auf Hinzufügen.
3.Machen Sie die Datei certificate.p12 ausfindig und klicken Sie auf Öffnen.
4.Geben Sie die mit dem Zertifikat verknüpfte Passphrase ein. Bei korrekter Eingabe der Passphrase wird im Textfeld Öffentliche Adresse von SDS der allgemeine Name (Common Name) angezeigt.
5.Sollte es sich bei dem Zertifikat um ein Platzhalterzertifikat handeln (mit einem * im Common Name), geben Sie die Serveradresse in das Textfeld Öffentliche Adresse von SDS ein.
6.Klicken Sie oben rechts auf der Seite auf Speichern.
7.Nehmen Sie eine Bereitstellung über Mein Unternehmen vor.
Nach der Einrichtung des APNS-Zertifikats, des GCM-Schlüssels und dem SSL-Zertifikat können Smart-Devices und der Smart-Device-Server miteinander kommunizieren und Sie können mit den Registrieren von Geräten beginnen. Bevor Sie versuchen, Geräte zu verbinden, sollten Sie Ihre Lizenzen importieren. Informationen zur Lizenzierung finden Sie unter Lizenzierung. Informationen dazu, wie Sie Geräte verbinden, finden Sie unter Verbinden von Geräten mit dem Avalanche-Server.
Sobald ein PKCS #12-Zertifikat vorliegt, können Sie den Avalanche-Webserver Tomcat so konfigurieren, dass der Datenverkehr zwischen der Console und dem Avalanche-Server verschlüsselt wird. Sie müssen hierzu die Datei server.xml modifizieren und anschließend den Tomcat-Server neu starten.
Wobei keystoreFile-Wert den Pfad zum Zertifikat angibt und der keystorePass-Wert dem Kennwort entspricht, das Sie bei der Erstellung des Zertifikats eingegeben haben. Verwenden Sie bei der Angabe des Pfads Schrägstriche.
5.Speichern Sie alle in der Datei vorgenommenen Änderungen.
6.Starten Sie den Tomcat-Dienst neu.
Sobald Sie ein Zertifikat generiert, SSL für Tomcat aktiviert und den Tomcat-Server neu gestartet haben, können Sie über eine HTTPS-Verbindung auf die Web Console zugreifen.
So greifen Sie über eine sichere Verbindung auf die Web Console zu:
•Geben Sie in das Adressfeld Ihres Browser Folgendes ein:
https://[DNS-Name oder IP-Adresse von Avalanche]:8443/AvalancheWeb
Wenn Sie zur Einrichtung einer Demo-Umgebung selbstsignierte Zertifikate verwenden wollen, finden Sie unter Erstellen eines selbstsignierten Zertifikats weitere Informationen zu selbstsignierten Zertifikaten. Ivanti empfiehlt dringend, für Produktionsumgebungen ein Zertifikat einer Zertifizierungsstelle zu verwenden.