SSL/TLS/HTTPS aktivieren - Zertifikate erneuern - Tutorial

Prev Next

Last Update: 21.05.2024

Voraussetzungen

  1. Es muss ein gültiges lokales Zertifikat im Menü Zertifikate → Eigene Zertifikate existieren.

  2. Ein HTTPS-Listener muss aktiv sein.

Zertifikat hochladen

Das Zertifikat kann über Zertifikate → Eigene Zertifikate über den Button links unten hochgeladen werden:

images/download/thumbnails/177898664/image-2024-5-21_10-10-3-version-1-modificationdate-1716279003245-api-v2.png

Zertifikat mittels ZIP-Datei importieren

Die einfachste Methode ein Zertifikat zu importieren, ist mittels ZIP-Datei.

Folgendes sollte für eine gültige Zertifikatskette enthalten sein:

  1. Zertifikat (.crt oder .pem).

  2. CA (.crt oder .pem).

  3. Private Key (nur bei eigenen Zertifikaten notwendig, erkennbar an der Dateiendung .key).

  4. Intermediate Zertifikat (.crt oder .pem, bei Bedarf).

Beispiel:

images/download/attachments/177898664/image-2024-5-21_10-23-43-version-1-modificationdate-1716279822691-api-v2.png

Hinweis: PKCS8- und PKCS1-Zertifikats-Container werden unterstützt.

Hinweis: PKCS12/PFX Zertifikats-Container werden auch unterstützt. Es kann aber Probleme beim Import geben (meist in Verbindung mit Windows-Tools). Mit einem Tool wie XCA, lassen sich PFX-Dateien importieren und die Zertifikate daraus einzeln exportieren. Anschließend wie oben vorgehen.

Hinweis: Ist die ZIP-Datei passwortgeschützt, das Passwort bitte vor dem Upload der Datei eingeben.

Alias/Notiz setzen

Wurde das Zertifikat erfolgreich importiert, erscheint es in der Übersicht.

Mit Rechtsklick auf das Zertifikat kann ein Alias/Notiz mit dem Inhalt mycertificate gesetzt werden. Dieser ist für den nächsten Schritt notwendig.

images/download/attachments/177898664/image-2024-5-21_10-50-20-version-1-modificationdate-1716281419814-api-v2.png

HTTPS-Listener aktivieren

Um einen HTTPS-Listener (HTTPS Endpoint) zu aktivieren, reicht es, den Teil in der hub.xml einzukommentieren (siehe Abschnitt Hinzufügen eines HTTPS-Listeners) und anschließend den Parameter serverCertSubjectName mit dem Kürzel ksnote:mycertificate zu setzen. Anschließend den Integration Server neu starten.

images/download/attachments/177898664/image-2024-5-21_10-54-17-version-1-modificationdate-1716281657464-api-v2.png

Um letztendlich zu prüfen, ob HTTPS aktiv ist, rufen Sie Ihre Browser-GUI mittels https:// auf.

Wichtiger Hinweis: Bei Neuinstallationen (nicht Updates) ab Version 4.6.9 gilt die Datei ./etc/hub.xml nur für die Lobster-Integration-Kommunikation (z. B. HTTP und AS2) und die Datei ./etc/admin.xml für die Admin-Konsole und die Lobster-Integration-GUI.

Bestehende Zertifikate erneuern

Bestehende Zertifikate können auf dem gleichen Weg, wie oben beschrieben, erneuert werden.

Let's Encrypt

Let's Encrypt automatisiert den Austausch von Zertifikaten und verringert somit den Aufwand, abgelaufene Zertifikate manuell austauschen zu müssen.

Eine Anleitung finden Sie im Abschnitt Let's Encrypt/ACME/Certbot.