Sicherheitszertifikate für den ACL-Konnektor für Analytics Exchange installieren

Der ACL-Konnektor für Analytics Exchange unterstützt die SSL-Verschlüsselung (Secure Sockets Layer) für Verbindungen zwischen Client-Maschinen und AX Server. Wenn SSL aktiviert ist, verwendet der Konnektor OpenSSL zur Verschlüsselung aller Daten, die über Netzwerkverbindungen zwischen Client-Rechnern und AX Server übertragen werden.

Um SSL mit Zertifikaten zu konfigurieren, generieren Sie einen Satz SLL-Zertifikate auf dem Server-Rechner. Sie können eine der folgenden Zertifikattypen für die SSL-Verbindung generieren:

  • Selbstsignierte Zertifikate
  • CA-Zertifikat (Certificate Authority, engl. für Zertifizierungsstelle)

Vorbereitungen

Laden Sie OpenSSL herunter und installieren Sie es. Fügen Sie dann den Pfad zur Programmdatei openssl.exe der Umgebungsvariablen PATH hinzu.

Hinweis

Wie bei vielen Open-Source-Softwareprojekten wird vom Projekt auch der OpenSSL-Code nicht in binärer Form bereitgestellt. Stattdessen laden Sie den Projektquellcode herunter und erstellen die binären Dateien oder Sie wenden sich an einen Fremdanbieter, der eine binäre Version bereitgestellt.

Weitere Informationen finden Sie in der OpenSSL-Dokumentation.

SSL-Zertifikat für die Selbstsignierung generieren

Generieren Sie auf dem Server-Rechner mit OpenSSL eine Schlüsseldatei und eine Zertifikatdatei. Selbstsignierte Zertifikate sind während der Entwicklung oder der Testphase hilfreich, wenn es nicht erforderlich ist, ein kommerzielles Zertifikat zu erwerben.

  1. Öffnen Sie eine Befehlszeile, und erstellen Sie dann das Verzeichnis C:\newcerts.
md C:\newcerts
  1. Wechseln Sie in das neue Verzeichnis und generieren Sie eine Serverschlüsseldatei und eine Serverzertifikatsdatei.
cd C:\newcerts
openssl req -x509 -newkey rsa:4096 -keyout server-key.pem -out server-cert.pem -days 365 -nodes

Sie werden aufgefordert, Informationen einzugeben, die in das Zertifikat integriert werden, z.B. Land, Stadt, Unternehmensname usw. Notieren Sie die Informationen, die Sie eingegeben haben, da Sie zu einem späteren Zeitpunkt aufgefordert werden, diese Informationen wieder einzugeben.

Hinweis

Das -nodes-Argument entfernt den Kennwortschutz für den privaten Schlüssel, d.h. Sie müssen beim Neustart des Servers das Kennwort nicht eingeben.

Ergebnis Das selbstsignierte Zertifikat wird erstellt. Sie benötigen server-key.pem und server-cert.pem während der Installation von ACL-Konnektor für Analytics Exchange auf dem AX-Server-Rechner. Bei Verwendung dieser Option benötigen Client-Benutzer keine Zertifikatdatei.

SSL-Zertifikat mit einer Zertifizierungsstelle (CA) generieren

Wie selbstsignierte Zertifikate sorgen die Zertifikate einer Zertifizierungsstelle (CA) dafür, dass Dritte nicht ohne Weiteres auf die Verbindung zugreifen können. CA-Zertifikate bieten jedoch eine zusätzliche Vertrauensebene, da eine unabhängige, vertrauenswürdige Zertifizierungsstelle die Authentizität des Servers validiert.

Privaten Schlüssel für den Server erstellen

  1. Öffnen Sie eine Befehlszeile, und erstellen Sie dann das Verzeichnis C:\newcerts.
md C:\newcerts
  1. Wechseln Sie in das neue Verzeichnis und erstellen Sie einen neuen Schlüssel.
cd C:\newcerts
openssl genrsa -out server-key-withPass.pem
  1. Erstellen Sie einen Zertifikatssignaturantrag.
openssl req -new -key Serverschlüssel-mit-Kennwort.pem -out Signaturantrag.csr

Sie werden aufgefordert, Informationen einzugeben, die in das Zertifikat integriert werden, z.B. Land, Stadt, Unternehmensname usw. Notieren Sie die Informationen, die Sie eingegeben haben, da Sie zu einem späteren Zeitpunkt aufgefordert werden, diese Informationen wieder einzugeben. Wenn Sie nach einer E-Mail-Adresse gefragt werden, geben Sie eine gültige E-Mail-Adresse ein, damit die Zertifizierungsstelle das Zertifikat an diese Adresse senden kann.

  1. Überprüfen Sie die Informationen in der Datei signingReq.csr und senden Sie die Datei dann als Anforderung an die Zertifizierungsstelle.

Ergebnis Bei einer erfolgreichen Anforderung sendet Ihnen die Zertifizierungsstelle ein Zertifikat an die E-Mail-Adresse, die Sie zusammen mit der Signierungsanforderung angegeben haben. Die E-Mail enthält ein verschlüsseltes CA-Zertifikat und einen Link auf ein verschlüsseltes CA-Zwischenzertifikat.

Kopieren Sie beide Zertifikate in eine Textdatei, das Zwischenzertifikat auf das CA-Zertifikat folgt. Speichern Sie die Datei anschließend als CA-cert.pem. Sie benötigen diese Datei im folgenden Abschnitt.

Server-Zertifikat erstellen und signieren

  1. Sammeln Sie die folgenden Dateien, die im vorherigen Abschnitt generiert wurden, und kopieren Sie die drei Dateien nach C:\newcerts:
    • server-key-withPass.pem
    • signingReq.csr
    • CA-cert.pem
  2. Öffnen Sie eine Befehlszeile, und wechseln Sie in das Verzeichnis C:\newcerts:
cd C:\newcerts
  1. Erstellen Sie das Serverzertifikat:
openssl CA -in Signaturantrag.csr -out Serverzertifikat.pem -keyfile Serverschlüssel-mit-Kennwort.pem -days 365 -cert ZS-Zertifikat.pem
  1. Entfernen Sie das Kennwort aus Serverschlüssel-mit-Kennwort.pem, damit Sie kein Kennwort beim Neustart des Servers eingeben müssen, und erstellen Sie die endgültige Serverschlüsseldatei (Serverschlüssel.pem).
openssl rsa -in Serverschlüssel-mit-Kennwort.pem -out Serverschlüssel.pem

Achtung

Sobald Sie die Kennwortanforderung entfernt haben, kann das Zertifikat kopiert und an anderer Stelle verwendet werden. Aus diesem Grund müssen Sie für andere Vorsichtsmaßnahmen beim Speichern der Datei sorgen, wenn Sie die Kennwortanforderung entfernen. Vergewissern Sie sich, dass die Berechtigungen so festgelegt wurden, dass nur Benutzer zugreifen können, die dies auch müssen.

Ergebnis Das Server-Zertifikat wird erstellt und signiert.

SSL-Zertifikate verteilen

Sobald Sie ein selbstsigniertes oder ein CA-Zertifkat generiert haben, verfügen Sie über einen vollständigen SSL-Zertifikatesatz, den Sie verteilen können:

  • Die Datei CA-cert.pem ist für alle Clients erforderlich, die eine Verbindung mit dem ACL-Konnektor für Analytics Exchange über SSL unter Verwendung eines Zertifikats einer Zertifizierungsstelle aufbauen
  • Die Serverschlüsseldatei (server-key.pem) und die Server-Zertifikatdatei (server-cert.pem) sind erforderlich, wenn Sie das Installationsprogramm von „ACL-Konnektor für Analytics Exchange“ auf AX Server ausführen und SSL aktivieren möchten.