Wie werden selbstsignierte Zertifikate installiert?

Selbstsignierte (Internal CA) SSL-Zertifikate für ADSelfService Plus können in fünf Schritten angewendet werden. Diese sind:

Schritt 1: SSL in ADSelfService Plus aktivieren

  • Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an.
  • Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. [Siehe]
  • Aktivieren Sie das Kontrollkästchen zum SSL-Port (HTTPS)(„ADSelfService Plus Port [https]“).
  • Klicken Sie auf Speichern und starten Sie ADSelfService Plus neu.
  • Hinweis: Der Standard-Port für HTTPS-Verbindungen in unserer Applikation lautet 9251.

Schritt 2: CSR-Datei erzeugen

  • Starten Sie ADSelfService Plus und melden Sie sich als Administrator an.
  • Gehen Sie erneut zu Admin > Produkteinstellungen > Verbindung.
  • Klicken Sie auf „Bestätige SSL Zertifikat“ und wählen Sie oben „Generate Certificate“ aus.
  • Füllen Sie alle Pflichtfelder des nun geöffneten Formulars zur SSL-Zertifizierung aus. [siehe Abbildung]
  • Geben Sie bei Bedarf einen Wert für die Gültigkeit des Zertifikats in Tagen an (optional).
  • Ändern Sie den Wert bei „Public Key Length“ auf 2048 Bit (Empfehlung).
  • Klicken Sie auf Generate CSR.
  • Es werden zwei Dateien mit den Namen SelfService.csr und SelfService.keystore erstellt.
  • Hinweis: Die beiden Dateien werden an unterschiedlichen Speicherorten abgelegt:
    • SelfService.csr at <Installationsordner>webapps\adssp \Certficates\SelfService.csr
    • SelfService.keystore at <Installationsordner>jre\bin

Schritt 3: CSR an Ihre Zertifizierungsstelle senden

  • Melden Sie sich bei Microsoft Certificate Services (https:\\server-name\certsrv) an.
  • Klicken Sie auf Ein Zertifikat anfordern > Erweiterte Zertifikatanforderung. (siehe Abbildung)
  • Klicken Sie auf „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.“
  • Fügen Sie den Inhalt Ihrer SelfService.csr-Datei in das Feld „Gespeicherte Anforderungen“ ein. (siehe Abbildung)
  • Wir empfehlen grundsätzlich, die CSR-Datei an ihrem nativen Speicherort mit einem Text-Editor (nicht in einem Browser) zu öffnen.
  • Achten Sie beim Kopieren des Inhalts der SelfService.csr-Datei darauf, dass kein zusätzliches Leerzeichen am Ende der Datei mitkopiert wird.
  • Wählen Sie bei Zertifikatvorlage „Webserver“ aus, klicken Sie auf Einsenden.
  • Wählen Sie „DER-codiert“ auf der nun angezeigten „Zertifikat wurde ausgestellt“-Seite. (siehe Abbildung)
    • Klicken Sie zum Download des Zertifikats im CER-Format auf Download des Zertifikats.
    • Klicken Sie zum Download des Zertifikats im P7B-Format auf Download der Zertifikatkette.
  • Legen Sie die Zertifikatsdateien im Ordner <Installationsordner>\jre\bin ab.
  • Hinweis: Sie können Zertifikate vom CER- in das P7B-Format umwandeln.

Schritt 4: CA-signierte interne Zertifikate in den KeyStore importieren

  • Öffnen Sie eine Eingabeaufforderung mit erhöhten Zugangsberechtigungen und gehen Sie zum Ordner <Installationsordner>\jre\bin.
  • Erstellen Sie eine Sicherungskopie der Datei SelfService.keystore.
  • Führen Sie folgenden Befehl zum Importieren des internen Zertifikats als KeyStore-Datei aus:
    • Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
  • Führen Sie folgenden Befehl aus, um die Root-Datei Ihres internen CA zur Liste vertrauenswürdiger CA in der Datei Java cacerts hinzuzufügen:
    • keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
  • Hinweis: Verwenden Sie bei der Installation eines Kettenzertifikats „changeit“ als Passwort.

Schritt 5: Zertifikat mit ADSelfService Plus verbinden

  • Kopieren Sie die Datei SelfService.Keystore in das Verzeichnis <Installationsordner>\conf.
  • Erstellen Sie Sicherungskopien der Dateien server.xml und web.xml.
  • Bearbeiten Sie die Datei server.xml (Speicherort: <Installationsordner>\conf), indem Sie dabei die Werte folgender SSL-Connector-Tags ersetzen:
    • „keystoreFile“ ersetzen Sie mit „./conf/SelfService.keystore“.
    • „keystorePass“ ersetzen Sie mit dem Passwort, das Sie bei der CSR-Erstellung eingegeben haben.
    • Beispiel: <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore-kennwort" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"> <connector>
  • Starten Sie ADSelfService Plus neu und vergewissern Sie sich, dass das Zertifikat richtig installiert wurde.
 
Höhepunkte

Kennwort-SB-Service

Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.

Eine Identität mit Einmalanmeldung

Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!

Kennwort-/Konto-Ablaufbenachrichtigung

Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.

Kennwortsynchronisierung

Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.

Erzwingung von Kennwortrichtlinien

Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.

Verzeichnis-Selbstaktualisierung und Unternehmensweite Suche

Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.