Sicherheitszertifikate

Analytics-Exchange-Installationen erfordern SSL-Sicherheitszertifikate. Standardmäßig wird ein selbstsigniertes Sicherheitszertifikat installiert. Sie können dieses Standardzertifikat jedoch durch eine unabhängige Zertifizierungsstelle (CA) ersetzen.

Funktionsweise

SSL-Zertifikate werden eingesetzt, um eine vertraute, sichere und verschlüsselte Verbindung zwischen Client-Anwendungen und dem AX Server herzustellen.

Sowohl selbstsignierte als auch von Zertifizierungsstellen ausgestellte Zertifikate stellen sicher, dass die zwischen AX Server und Client-Anwendungen übertragenen Daten durch Dritte nicht leicht abgegriffen werden können. Wenn Sie jedoch ein Zertifikat einer Zertifizierungsstelle erwerben, erhalten Sie zusätzliche Sicherheit, da die Echtheit des Servers durch eine unabhängige und vertrauenswürdige Zertifizierungsstelle validiert wird.

Selbstsignierte Zertifikate für den AX Server verwenden

Wenn Sie ein selbstsignierte Zertifikat nutzen möchten, wird jedem Benutzer bei dem Zugriff auf den Server eine Warnmeldung angezeigt, die darauf hinweist, dass das Sicherheitszertifikat nicht durch eine anerkannte Zertifizierungsstelle ausgestellt wurde. Um diese Warnung zu unterbinden, muss jeder Client-Benutzer wie folgt verifizieren, dass das Zertifikat von einer vertrauten Quelle ausgestellt wurde:

  • das selbstsignierte Zertifikat im Browser installieren, wenn die Verbindung zu dem AX Webclient aufgebaut wird
  • während der Installation oder aus dem Menü Extras im AX Client Selbstsignierten Zertifikaten vertrauen auswählen

Tipp

Die Zertifikatsinstallation ist in der Regel nicht nötig, wenn Sie das selbstsignierte Zertifikat mit einem Zertifikat ersetzen, das von einer Zertifizierungsstelle gekauft wurde, weil Internet Explorer Zertifikate der meisten Zertifizierungsstellen automatisch unterstützt. Die Verwendung eines CA-Zertifikats kann daher die Interaktion des Benutzers mit dem Server verbessern.

Das Zertifikat ersetzen

Um das selbstsignierte Standardzertifikat zu ersetzen, müssen Sie einen Keystore erstellen, das Zertifikat importieren und dann den TomEE Anwendungsservers so konfigurieren, dass dieser das Zertifikat verwendet. Weitere Informationen finden Sie unter Sicherheitszertifikate für AX Server installieren.

Hinweis

Falls sich der Allgemeine Name (Common Name, CN) im Sicherheitszertifikat ändert, wenn Sie das selbstsignierte Zertifikat ersetzen, müssen Sie die Eigenschaft axcas.securityContext.casServerHost in der Konfigurationsdatei aclCasClient.xml so ändern, dass diese dem aktualisierten CN-Wert auf jedem Server entspricht, auf dem Analytics-Exchange-Serverkomponenten installiert sind.

Wenn Sie die integrierte WIndows-Authentifizierung verwendet haben und sich der CN-Wert ändert, müssen Sie auch die Internet Explorer-Einstellungen auf jedem Client-Computer aktualisieren. Weitere Informationen finden Sie unter Integrierte Windows-Authentifizierung konfigurieren.

AX Engine-Knoten Zertifikate

Das auf jedem AX-Engine-Knoten konfigurierte Zertifikat wird verwendet, um die Kommunikation zwischen dem AX-Engine-Knoten und der Analytics-Exchange-Datenbank zu verschlüsseln.

Das selbstsignierte Zertifikat kann durch ein Zertifikat ersetzt werden, das von einer Zertifizierungsstelle (CA) erworben wurde. Da Endbenutzer jedoch nicht auf den AX Engine-Knoten zugreifen, ist das Ersetzen des Zertifikats in der Regel nicht notwendig.

PostgreSQL Verbindungen

Das für PostgreSQL konfigurierte Zertifikat wird verwendet, um die Kommunikation zwischen dem Datenbankserver und Analytics-Exchange-Servern, die eine Verbindung mit der Datenbank aufnehmen, zu verschlüsseln.

  • AX Server
  • AX-Engine-Knoten
  • AX Exception

Wann SSL für Datenbankverbindungen verwendet wird

Das Zertifikat wird nur verwendet, wenn für die Anwendungen, die eine Verbindung mit der Datenbank aufnehmen, SSL angeschaltet wurde. Da SSL die Performance beeinträchtigt, sollte es abgeschaltet werden, wenn es nicht benötigt wird. Wenn beispielsweise der AX Server und PostgreSQL auf demselben Rechner installiert sind, sollte SSL für die auf dem AX Server installierten Komponenten ausgeschaltet werden.

Das Zertifikat ersetzen

Das durch den PostgreSQL Setup-Assistenten während der Installation erstellte Sicherheitszertifikat ist ein selbstsigniertes Zertifikat. Das Serverzertifikat muss existieren, damit SSL-Verbindungen funktionieren. Die spezifischen Informationen des Zertifikats, wie z.B. der Servername, wurden jedoch nicht validiert. Aus diesem Grund ist es in der Regel nicht notwendig, das installierte selbstsignierte Zertifikat durch ein Zertifikat von einer Zertifizierungsstelle zu ersetzen.

Verbindungen von ACL-Konnektor für Analytics Exchange

Der ACL-Konnektor für Analytics Exchange erfordert keine SSL-Verbindung, unterstützt jedoch die SSL-Verschlüsselung, wenn Sie diese aktivieren möchten.

Der Konnektor arbeiten mit einer anderen Technologie und anderen Protokollen als AX Server. Deshalb wird nicht dieselbe Sicherheitszertifikatskonfiguration und nicht dasselbe Toolset verwendet, dass zur Verschlüsselung der anderen AX-Server-Kommunikation erforderlich ist.

Damit die SSL-Verschlüsselung unterstützt werden kann, müssen Sie mit OpenSSL einen Satz Sicherheitszertifikate generieren und auf dem AX-Server-Rechner installieren. Wenn SSL aktiviert ist, verwendet der Konnektor OpenSSL zur Verschlüsselung aller Daten, die über Netzwerkverbindungen übertragen werden.

Weitere Informationen finden Sie unter Sicherheitszertifikate für den ACL-Konnektor für Analytics Exchange installieren.