Documentation Index

Fetch the complete documentation index at: https://docs.lobster-world.com/llms.txt

Use this file to discover all available pages before exploring further.

Lokale Zertifikate (REST API)

Prev Next

Ab Release 26.1 können Administratoren lokale Zertifikate über die REST-API per HTTP hinzufügen und widerrufen. Sie können lokale Zertifikate auch herunterladen. Der Download nutzt einen eigenen Endpunkt. Ein lokales Zertifikat enthält den öffentlichen und den privaten Schlüssel. Damit unterscheidet es sich vom Partnerzertifikat. Das Partnerzertifikat enthält nur den öffentlichen Schlüssel.

Dieser Endpunkt ist standardmäßig deaktiviert. Sie müssen ihn vor der Nutzung ausdrücklich aktivieren.

Das Verhalten entspricht dem Endpunkt Partnerzertifikate (REST API). Der JSON-Body unterscheidet sich in diesen Punkten:

  • relation: wird bei lokalen Zertifikaten nie verwendet.

  • id: entfällt beim Hinzufügen. Der Server erzeugt die ID und gibt sie zurück. Beim Widerrufen ist die ID Pflicht.

  • password und note: kommen als neue Felder hinzu.

Achtung

Dieser Endpunkt überträgt den privaten Schlüssel eines lokalen Zertifikats an den Integration Server. Der übertragene Schlüssel ist nicht Ende-zu-Ende-verschlüsselt. Wenn Sie diesen Endpunkt aktivieren, tolerieren Sie das daraus entstehende Sicherheitsrisiko. Lobster deaktiviert ihn aus diesem Grund standardmäßig. Aktivieren Sie ihn nur, wenn Ihre Sicherheitsrichtlinie die Übertragung solcher privater Schlüssel ausdrücklich erlaubt.

Endpunkt aktivieren

Sie setzen diese Eigenschaft in der Admin-Konsole.

  1. Öffnen Sie Tools > JVM Umgebung. Sie sehen die Properties-Liste.

  2. Fügen Sie die folgende JVM-Property hinzu. Setzen Sie den Wert auf true:

hub.datawizard.allowLocalCert=true

JVM-Systemeigenschaft hub.datawizard.allowLocalCert in der Admin-KonsoleSolange die Eigenschaft nicht gesetzt oder false ist, bleibt der Endpunkt deaktiviert.

Lokales Zertifikat hinzufügen

URL (HTTP POST mit JSON):

http(s)://<IP oder URL des Integration Servers>/dw/auth/v1/localcertificate

Der Request-Body verwendet diese Parameter:

Parameter

Pflicht

Beschreibung

operation

Ja

Die auszuführende Aktion. Verwenden Sie add, um ein Zertifikat zu importieren.

commonName

Ja

Der Common Name (CN) des Zertifikats.

certificate

Ja

Die Zertifikatsdaten, Base64-kodiert. Siehe Zertifikat kodieren weiter unten.

password

Nein

Das Passwort des Zertifikats. Erforderlich bei passwortgeschützten Dateien, zum Beispiel PKCS12.

note

Nein

Eine Freitext-Notiz, die mit dem Zertifikat gespeichert wird.

Beispiel-Request:

{
    "operation": "add",
    "commonName": "myserver.example.com",
    "certificate": "MIIWrwIBAzCCFmUGCSqGSIb3DQEH...<Base64-Daten>...",
    "password": "certificate-password",
    "note": "local-cert-chain"
}

Beispiel-Response:

{
    "response": {
        "status": "ok",
        "id": "1768285182284753"
    }
}

Die id in der Response ist die ID des importierten lokalen Zertifikats. Sie benötigen diese ID, um das Zertifikat später zu widerrufen.

Zertifikat kodieren

Der Parameter certificate akzeptiert diese Formate: DER, PEM, PKCS12. Sie müssen den Dateiinhalt zuvor Base64-kodieren.

Unter Linux verwenden Sie das Terminal:

base64 full-cert-pkcs12.p12 > full-cert-base64.txt

Unter Windows verwenden Sie die Eingabeaufforderung:

certutil -encode full-cert-pkcs12.p12 full-cert-base64.txt

Kopieren Sie den kodierten Inhalt aus der Ausgabedatei. Fügen Sie ihn als Wert von certificate ein.

Hinweis

Fügen Sie die PEM-Markierungen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- nicht ein. Kodieren Sie die gesamte Datei wie oben gezeigt. Eine vollständige Zertifikatskette (End-Entity, Intermediate, Root) importieren Sie auf dieselbe Weise.

Lokales Zertifikat widerrufen

Das Widerrufen eines lokalen Zertifikats funktioniert wie das Widerrufen eines Partnerzertifikats. Das Feld relation entfällt.

URL (HTTP POST mit JSON):

http(s)://<IP or URL of Integration Server>/dw/auth/v1/localcertificate

Beispiel-Abfrage:

{
    "operation": "revoke",
    "id": 1768285182284753
}

Lokales Zertifikat herunterladen

Sie laden lokale Zertifikate über denselben Endpunkt herunter wie Partnerzertifikate. Das ist der Endpunkt exportcertificate.

URL (HTTP GET):

http(s)://<IP oder URL des Integration Servers>/dw/auth/v1/exportcertificate?id=<id>&format=<format>

Setzen Sie <id> auf die Zertifikats-ID. Setzen Sie <format> auf das Exportformat.

Erlaubte Werte: DER, PEM, OPENSSH, PKCS12, PKCS7, PUTTY oder INFO.

Unbekannte Formate fallen auf DER zurück. Der Wert INFO liefert nur Metadaten, nicht das Zertifikat.

Weitere Details finden Sie unter Partnerzertifikate (REST API).

Logs

Die Logs für diese Anfragen finden Sie im Server Logging. Öffnen Sie Administration > Server logging. Die relevante Datei ist internal/message.log. Sie liegt auch unter ./logs/services/message.log.

Siehe auch