Sicherheitszertifikate für den ACL-Konnektor für Analytics Exchange installieren

Der ACL-Konnektor für Analytics Exchange unterstützt die SSL-Verschlüsselung (Secure Sockets Layer) für Verbindungen zwischen Client-Maschinen und AX Server. Wenn SSL aktiviert ist, verwendet der Konnektor OpenSSL zur Verschlüsselung aller Daten, die über Netzwerkverbindungen zwischen Client-Rechnern und AX Server übertragen werden.

Um SSL mit Zertifikaten zu konfigurieren, generieren Sie einen Satz SLL-Zertifikate auf dem Server-Rechner. Sie können eine der folgenden Zertifikattypen für die SSL-Verbindung generieren:

Vorbereitungen

Laden Sie OpenSSL herunter und installieren Sie es. Fügen Sie dann den Pfad zur Programmdatei openssl.exe der Umgebungsvariablen PATH hinzu.

Hinweis

Wie bei vielen Open-Source-Softwareprojekten wird vom Projekt auch der OpenSSL-Code nicht in binärer Form bereitgestellt. Stattdessen laden Sie den Projektquellcode herunter und erstellen die binären Dateien oder Sie wenden sich an einen Fremdanbieter, der eine binäre Version bereitgestellt.

Weitere Informationen finden Sie in der OpenSSL-Dokumentation.

SSL-Zertifikat für die Selbstsignierung generieren

Generieren Sie auf dem Server-Rechner mit OpenSSL eine Schlüsseldatei und eine Zertifikatdatei. Selbstsignierte Zertifikate sind während der Entwicklung oder der Testphase hilfreich, wenn es nicht erforderlich ist, ein kommerzielles Zertifikat zu erwerben.

ClosedZeigen wie das geht
  1. Öffnen Sie eine Befehlszeile und erstellen Sie dann das Verzeichnis C:\newcerts.
    md C:\newcerts
  2. Wechseln Sie in das neue Verzeichnis und generieren Sie eine Server-Schlüsseldatei und eine Server-Zertifikatdatei.
    cd C:\newcerts openssl req -x509 -newkey rsa:4096 -keyout server-key.pem -out server-cert.pem -days 365 -nodes

    Sie werden aufgefordert, Informationen einzugeben, die in das Zertifikat integriert werden, z. B. Land, Stadt, Unternehmensnamen usw. Notieren Sie die Informationen, die Sie eingegeben haben, da Sie zu einem späteren Zeitpunkt aufgefordert werden, diese Informationen wieder einzugeben.

    Hinweis

    Das -nodes-Argument entfernt den Kennwortschutz für den privaten Schlüssel, d.h., Sie müssen beim Neustart des Servers das Kennwort nicht eingeben.

Ergebnis Das selbstsignierte Zertifikat wird erstellt. Sie benötigen server-key.pem und server-cert.pem während der Installation von ACL-Konnektor für Analytics Exchange auf dem AX-Server-Rechner. Bei Verwendung dieser Option benötigen Client-Benutzer keine Zertifikatdatei.

SSL-Zertifikat mit einer Zertifizierungsstelle (CA) generieren

Wie selbstsignierte Zertifikate sorgen die Zertifikate einer Zertifizierungsstelle (CA) dafür, dass Dritte nicht ohne Weiteres auf die Verbindung zugreifen können. CA-Zertifikate bieten jedoch eine zusätzliche Vertrauensebene, da eine unabhängige, vertrauenswürdige Zertifizierungsstelle die Authentizität des Servers validiert.

ClosedZeigen wie das geht

Privaten Schlüssel für den Server erstellen

  1. Öffnen Sie eine Befehlszeile und erstellen Sie dann das Verzeichnis C:\newcerts.
     md C:\newcerts
  2. Wechseln Sie in das neue Verzeichnis und generieren Sie einen neuen Schlüssel.
    cd C:\newcerts openssl genrsa -out server-key-withPass.pem
  3. Generieren Sie eine Signierungsanforderung für ein Zertifikat.
    openssl req -new -key server-key-withPass.pem -out signingReq.csr

    Sie werden aufgefordert, Informationen einzugeben, die in das Zertifikat integriert werden, z. B. Land, Stadt, Unternehmensnamen usw. Notieren Sie die Informationen, die Sie eingegeben haben, da Sie zu einem späteren Zeitpunkt aufgefordert werden, diese Informationen wieder einzugeben. Wenn Sie nach einer E-Mail-Adresse gefragt werden, geben Sie eine gültige E-Mail-Adresse ein, damit die Zertifizierungsstelle das Zertifikat an diese Adresse senden kann.

  4. Überprüfen Sie die Informationen in der Datei signingReq.csr und senden Sie die Datei dann als Anforderung an die Zertifizierungsstelle.

Ergebnis Bei einer erfolgreichen Anforderung sendet Ihnen die Zertifizierungsstelle ein Zertifikat an die E-Mail-Adresse, die Sie zusammen mit der Signierungsanforderung angegeben haben. Die E-Mail enthält ein verschlüsseltes CA-Zertifikat und einen Link auf ein verschlüsseltes CA-Zwischenzertifikat.

Kopieren Sie beide Zertifikate in eine Textdatei, das Zwischenzertifikat auf das CA-Zertifikat folgt. Speichern Sie die Datei anschließend als CA-cert.pem. Sie benötigen diese Datei im folgenden Abschnitt.

Server-Zertifikat erstellen und signieren

  1. Sammeln Sie die folgenden Dateien, die im vorherigen Abschnitt generiert wurden und kopieren Sie die drei Dateien nach C:\newcerts:
    • server-key-withPass.pem
    • signingReq.csr
    • CA-cert.pem
  2. Öffnen Sie eine Befehlszeile und wechseln Sie in das Verzeichnis C:\newcerts:
    cd C:\newcerts
  3. Erstellen Sie das Server-Zertifikat:
    openssl CA -in signingReq.csr -out server-cert.pem -keyfile server-key-withPass.pem -days 365 -cert CA-cert.pem
  4. Entfernen Sie das Kennwort aus server-key-withPass.pem, damit Sie kein Kennwort beim Neustart des Servers eingeben müssen, und generieren Sie die endgültige Server-Schlüsseldatei (server-key.pem).
    openssl rsa -in server-key-withPass.pem -out server-key.pem

    Achtung

    Sobald Sie die Kennwortanforderung entfernt haben, kann das Zertifikat kopiert und an anderer Stelle verwendet werden. Aus diesem Grund müssen Sie für andere Vorsichtsmaßnahmen beim Speichern der Datei sorgen, wenn Sie die Kennwortanforderung entfernen. Vergewissern Sie sich, dass die Berechtigungen so festgelegt wurden, dass nur Benutzer zugreifen können, die dies auch müssen.

Ergebnis Das Server-Zertifikat wird erstellt und signiert.

SSL-Zertifikate verteilen

Sobald Sie ein selbstsigniertes oder ein CA-Zertifkat generiert haben, verfügen Sie über einen vollständigen SSL-Zertifikatesatz, den Sie verteilen können: