Ab Release 26.1 können Administratoren lokale Zertifikate über die REST-API per HTTP hinzufügen und widerrufen. Sie können lokale Zertifikate auch herunterladen. Der Download nutzt einen eigenen Endpunkt. Ein lokales Zertifikat enthält den öffentlichen und den privaten Schlüssel. Damit unterscheidet es sich vom Partnerzertifikat. Das Partnerzertifikat enthält nur den öffentlichen Schlüssel.
Dieser Endpunkt ist standardmäßig deaktiviert. Sie müssen ihn vor der Nutzung ausdrücklich aktivieren.
Das Verhalten entspricht dem Endpunkt Partnerzertifikate (REST API). Der JSON-Body unterscheidet sich in diesen Punkten:
relation: wird bei lokalen Zertifikaten nie verwendet.id: entfällt beim Hinzufügen. Der Server erzeugt die ID und gibt sie zurück. Beim Widerrufen ist die ID Pflicht.passwordundnote: kommen als neue Felder hinzu.
Achtung
Dieser Endpunkt überträgt den privaten Schlüssel eines lokalen Zertifikats an den Integration Server. Der übertragene Schlüssel ist nicht Ende-zu-Ende-verschlüsselt. Wenn Sie diesen Endpunkt aktivieren, tolerieren Sie das daraus entstehende Sicherheitsrisiko. Lobster deaktiviert ihn aus diesem Grund standardmäßig. Aktivieren Sie ihn nur, wenn Ihre Sicherheitsrichtlinie die Übertragung solcher privater Schlüssel ausdrücklich erlaubt.
Endpunkt aktivieren
Sie setzen diese Eigenschaft in der Admin-Konsole.
Öffnen Sie Tools > JVM Umgebung. Sie sehen die Properties-Liste.
Fügen Sie die folgende JVM-Property hinzu. Setzen Sie den Wert auf
true:
hub.datawizard.allowLocalCert=true
Solange die Eigenschaft nicht gesetzt oder false ist, bleibt der Endpunkt deaktiviert.
Lokales Zertifikat hinzufügen
URL (HTTP POST mit JSON):
http(s)://<IP oder URL des Integration Servers>/dw/auth/v1/localcertificate
Der Request-Body verwendet diese Parameter:
Parameter | Pflicht | Beschreibung |
|---|---|---|
| Ja | Die auszuführende Aktion. Verwenden Sie |
| Ja | Der Common Name (CN) des Zertifikats. |
| Ja | Die Zertifikatsdaten, Base64-kodiert. Siehe Zertifikat kodieren weiter unten. |
| Nein | Das Passwort des Zertifikats. Erforderlich bei passwortgeschützten Dateien, zum Beispiel PKCS12. |
| Nein | Eine Freitext-Notiz, die mit dem Zertifikat gespeichert wird. |
Beispiel-Request:
{
"operation": "add",
"commonName": "myserver.example.com",
"certificate": "MIIWrwIBAzCCFmUGCSqGSIb3DQEH...<Base64-Daten>...",
"password": "certificate-password",
"note": "local-cert-chain"
}Beispiel-Response:
{
"response": {
"status": "ok",
"id": "1768285182284753"
}
}Die id in der Response ist die ID des importierten lokalen Zertifikats. Sie benötigen diese ID, um das Zertifikat später zu widerrufen.
Zertifikat kodieren
Der Parameter certificate akzeptiert diese Formate: DER, PEM, PKCS12. Sie müssen den Dateiinhalt zuvor Base64-kodieren.
Unter Linux verwenden Sie das Terminal:
base64 full-cert-pkcs12.p12 > full-cert-base64.txtUnter Windows verwenden Sie die Eingabeaufforderung:
certutil -encode full-cert-pkcs12.p12 full-cert-base64.txtKopieren Sie den kodierten Inhalt aus der Ausgabedatei. Fügen Sie ihn als Wert von certificate ein.
Hinweis
Fügen Sie die PEM-Markierungen
-----BEGIN CERTIFICATE-----und-----END CERTIFICATE-----nicht ein. Kodieren Sie die gesamte Datei wie oben gezeigt. Eine vollständige Zertifikatskette (End-Entity, Intermediate, Root) importieren Sie auf dieselbe Weise.
Lokales Zertifikat widerrufen
Das Widerrufen eines lokalen Zertifikats funktioniert wie das Widerrufen eines Partnerzertifikats. Das Feld relation entfällt.
URL (HTTP POST mit JSON):
http(s)://<IP or URL of Integration Server>/dw/auth/v1/localcertificate
Beispiel-Abfrage:
{
"operation": "revoke",
"id": 1768285182284753
}Lokales Zertifikat herunterladen
Sie laden lokale Zertifikate über denselben Endpunkt herunter wie Partnerzertifikate. Das ist der Endpunkt exportcertificate.
URL (HTTP GET):
http(s)://<IP oder URL des Integration Servers>/dw/auth/v1/exportcertificate?id=<id>&format=<format>
Setzen Sie <id> auf die Zertifikats-ID. Setzen Sie <format> auf das Exportformat.
Erlaubte Werte: DER, PEM, OPENSSH, PKCS12, PKCS7, PUTTY oder INFO.
Unbekannte Formate fallen auf DER zurück. Der Wert INFO liefert nur Metadaten, nicht das Zertifikat.
Weitere Details finden Sie unter Partnerzertifikate (REST API).
Logs
Die Logs für diese Anfragen finden Sie im Server Logging. Öffnen Sie Administration > Server logging. Die relevante Datei ist internal/message.log. Sie liegt auch unter ./logs/services/message.log.