Wenn Sie SSL für einen ZfD Middle Tier-Server auf einem Windows 2000-Computer einrichten, wird die gesamte Verwaltung über den Internet Services Manager (Internetdienste-Manager) und ConsoleOne® vorgenommen. Das Hauptverfahren bei der Einrichtung beinhaltet Folgendes:
So erstellen Sie eine Zertifikatsanfrage auf einem ZfD Middle Tier-Server, der auf einem Windows 2000-Server installiert ist:
Um das Fenster für die Internet-Informationsdienste zu öffnen, klicken Sie auf dem Server-Desktop auf "Programme" > "Verwaltung" > "Internetdienste-Manager" > "Internet-Informationsdienste".
Klicken Sie auf das Pluszeichen ("+") neben dem Symbol für den ZfD Middle Tier-Server, um die Hierarchie zu erweitern.
Klicken Sie mit der rechten Maustaste auf "Default Web Site" (Standardwebsite) > klicken Sie auf "Properties" (Eigenschaften), um das Dialogfeld für die Eigenschaften der Standardwebsite zu öffnen.
Wenn bisher noch kein SSL-Zertifikat konfiguriert wurde, ist das Feld für den SSL-Anschluss abgeblendet.
Klicken Sie auf die Option "Directory Security" (Verzeichnissicherheit), um die entsprechende Seite zu öffnen.
Klicken Sie auf "Server Certificate" (Serverzertifikat), um den entsprechenden Assistenten für das Zertifikat der Webservices zu starten.
Klicken Sie auf der ersten Seite des Assistenten auf "Next" (Weiter), um die Seite "Server Certificate" (Serverzertifikat) aufzurufen.
Wählen Sie auf der Seite "Server Certificate" (Serverzertifikat) die Option "Create a New Certificate" (Neues Zertifikat erstellen) > klicken Sie auf "Next" (Weiter).
Wählen Sie auf der Seite "Delayed oder Immediate" (Verzögert oder sofort) des Assistenten die Option "Prepare the Request Now, But Send it Later" (Anfrage jetzt vorbereiten und später senden) > klicken Sie auf "Next" (Weiter).
Geben Sie auf der Seite "Name and Security Setting" (Namens- und Sicherheitseinstellung) einen Zertifikatsnamen ein, beispielsweise DaveMiddleTier-Website > legen Sie die Bit-Länge 1024 fest > klicken Sie auf "Next" (Weiter).
Geben Sie auf der Seite "Organization Information" (Organisationsinformationen) des Assistenten die Namen Ihrer Organisation und der organisatorischen Einheit in die entsprechenden Felder ein > klicken Sie auf "Next" (Weiter).
Geben Sie auf der Seite "Your Site's Common Name" (Eigenname Ihrer Site) des Assistenten Ihren vollständigen DNS-Namen ein. Wenn Sie sich in DNS-Tabellen befinden, können Sie beispielsweise zztop1.zenworks.provo.novell.com eingeben > klicken Sie auf "Next" (Weiter).
Sie können auch Ihre IP-Adresse eingeben, wenn diese statisch ist und alle Zugriffe über IP-Adressen erfolgen.
Wenn sich Ihre Server hinter einer Firewall befinden, geben Sie die DNS-Namen ein, unter denen die Server nach außen bekannt sind.
Geben Sie auf der Seite "Geographical Information" (Ortsangaben) des Assistenten die entsprechenden Informationen zu Ihrem Standort in die Felder "Country" (Land), "State" (Bundesland) und "City" (Ort) ein > klicken Sie auf "Next" (Weiter).
Speichern Sie auf der Seite "Certificate Request File Name" (Name der Zertifikatsanfragedatei) des Assistenten die Zertifikatsanfrage in einem verfügbaren Standort > klicken Sie auf "Next" (Weiter).
Bei dieser Anfrage handelt es sich um eine Datei, die zum Signieren an eine verbürgte Zertifizierungsstelle gesendet wird.
Überprüfen Sie Ihre Angaben auf der Seite "Request File Summary" (Zusammenfassung der Anfragedatei) des Assistenten. Verwenden Sie gegebenenfalls die Schaltfläche "Back" (Zurück), um Änderungen auf den entsprechenden Seiten vorzunehmen. Klicken Sie auf "Weiter".
Klicken Sie auf der letzten Seite des Assistenten auf "Finish" (Fertig stellen).
Senden Sie die Zertifikatsanfrage an eine entsprechende verbürgte CA (Certificate Authority, Zertifizierungsstelle). Wenn die verbürgte Zertifizierungsstelle das Zertifikat erteilt, fahren Sie mit den in Verarbeiten einer ausstehenden Zertifikatsanfrage auf IIS beschriebenen Schritten fort.
Die Stamm-Zertifizierungsstelle von eDirectory kann verwendet werden, um ein Zertifikat für eine gültige CSR (Certificate Signing Request, Anfrage zum Signieren eines Zertifikats) zu erteilen. Wenn Sie diese Methode verwenden, ist der Stamm nicht verbürgt. Weitere Informationen hierzu finden Sie unter Schritt 4.
Auf diesem Computer müssen Novell Client 4.83 oder höher, ConsoleOne 1.3.3 oder höher und NICI-Client 2.4.0 (Novell International Cryptographic Infrastructure) oder höher installiert sein.
Starten Sie ConsoleOne auf dem Desktop des Servers.
Wählen Sie den Container in dem Baum, in dem sich die Serverobjekte befinden.
Wählen Sie "Tools" > "Issue Certificate" (Zertifikat ausstellen), um den "Issue Certificate Wizard" (Assistent für das Ausstellen von Zertifikaten) zu starten.
Geben Sie im Feld "Filename" (Dateiname) den Namen der Datei ein, die die Zertifikatsanfrage enthält > klicken Sie auf "Next" (Weiter).
Klicken Sie auf der Seite "Organizational Certificate Authority" (Organisatorische Zertifizierungsstelle) auf "Next" (Weiter).
Klicken Sie auf der Seite für SSL oder TLS auf "Next" (Weiter).
Bestätigen Sie auf der nächsten Seite des Assistenten die Standardeinstellungen, indem Sie auf "Next" (Weiter) klicken.
Speichern Sie auf der Seite "Save Certificate" (Zertifikat speichern) die Datei im Standardformat .der.
Exportieren Sie das selbstsignierte Zertifikat von der Zertifizierungsstelle.
Da der Stamm nicht verbürgt ist, müssen Sie das selbstsignierte Zertifikat der Stamm-Zertifizierungsstelle in alle Arbeitsstationen importieren, die sich mit dem ZfD Middle Tier-Server verbinden. Wenn dieses selbstsignierte Zertifikat nicht importiert wurde, kann die Überprüfung des Zertifikats für alle von dieser Zertifizierungsstelle erteilten Zertifikate nicht erfolgreich ausgeführt werden.
Navigieren Sie in ConsoleOne zum Container "Security" (Sicherheit) im Baum. Der Container "Security" (Sicherheit) ist mit einem Vorhängeschloss-Symbol gekennzeichnet.
Klicken Sie mit der rechten Maustaste auf den Befehl "Server Name Organizational CA" (Servername der organisatorischen Zertifizierungsstelle) > wählen Sie "Properties" (Eigenschaften).
Klicken Sie auf "Certificates" (Zertifikate) > wählen Sie "Self Signed Certificate" (Selbstsigniertes Zertifikat).
Klicken Sie auf "Export".
Bestätigen Sie die Standardeinstellungen auf den nachfolgenden Seiten, bis Sie an einem Standort speichern müssen.
Wenn eine nicht verbürgte Zertifizierungsstelle (beispielsweise die Stamm-Zertifizierungsstelle von eDirectory) die Zertifikatsanfrage signiert, müssen Sie außerdem das selbstsignierte Zertifikat von der Zertifizierungsstelle auf dem ZfD Middle Tier-Server installieren:
Doppelklicken Sie auf die Datei, die das selbstsignierte Zertifikat von der Zertifizierungsstelle enthält.
Klicken Sie auf der Seite "Certificate" (Zertifikat) auf "Install Certificate" (Zertifikat installieren), um den Assistenten zu starten.
Klicken Sie auf der ersten Seite des Assistenten auf "Next" (Weiter).
Wenn auf der zweiten Seite des Assistenten die Meldung "Automatically select the certificate store..." (Zertifikatspeicher automatisch wählen) angezeigt wird, klicken Sie auf "Next" (Weiter).
Klicken Sie auf der dritten Seite des Assistenten auf "Finish" (Fertig stellen).
Wählen Sie im Feld "Root Certificate Store" (Stammzertifikats-Speicher) die Option "Yes" (Ja).
Klicken Sie im Dialogfeld "Successful Import" (Import erfolgreich) auf "OK".
Es wird die Meldung "The import was successful" (Der Import war erfolgreich) angezeigt.
Wenn eine verbürgte Zertifizierungsstelle ein Zertifikat ausgestellt hat, können Sie den Internetdienste-Manager verwenden, um diese Anfrage zu verarbeiten.
Um das Fenster für die Internet-Informationsdienste zu öffnen, klicken Sie auf dem Server-Desktop auf "Programme" > "Verwaltung" > "Internetdienste-Manager" > "Internet-Informationsdienste".
Klicken Sie auf das Pluszeichen ("+") neben dem Symbol für den ZfD Middle Tier-Server, um die Hierarchie zu erweitern.
Klicken Sie mit der rechten Maustaste auf "Default Web Site" (Standardwebsite) > klicken Sie auf "Properties" (Eigenschaften), um das Dialogfeld für die Eigenschaften der Standardwebsite zu öffnen.
Klicken Sie auf die Option "Directory Security" (Verzeichnissicherheit), um die entsprechende Seite zu öffnen.
Klicken Sie auf "Server Certificate" (Serverzertifikat), um den entsprechenden Assistenten für das Zertifikat der Webservices zu starten.
Verwenden Sie den Assistenten für das Zertifikat der Webservices, um die Zertifikatsanfrage zu verarbeiten:
Klicken Sie auf der ersten Seite auf "Next" (Weiter).
Wählen Sie auf der Seite "Server Certificate" (Server-Zertifikat) die Option "Process the Pending Request and Install the Certificate" (Ausstehende Anfrage verarbeiten und Zertifikat installieren) > klicken Sie auf "Next" (Weiter).
Geben Sie auf der nächsten Seite den vollständigen Pfad des signierten Zertifikats ein, das Sie von der Zertifizierungsstelle erhalten haben.
Hierbei kann es sich um eine .der- oder .cer-Datei bzw. um eine Datei mit einer anderen Erweiterung handeln, abhängig von der jeweiligen Benennungskonvention der Zertifizierungsstelle.
Klicken Sie auf der nächsten Seite des Assistenten auf "Next" (Weiter).
Klicken Sie auf der letzten Seite des Assistenten auf "Finish" (Fertig stellen).
Schließen Sie die Eigenschaftsseite.
Klicken Sie in dem Baum mit der rechten Maustaste auf das Symbol für den Server > wählen Sie "Restart IIS" (IIS neu starten).
Wenn IIS neu gestartet wird, öffnen Sie die Eigenschaften der Standardwebsite, um zu überprüfen, ob der SSL-Anschluss verfügbar ist.