Die Kommunikation zwischen der Unit-Assistant-Rolle und der Certificate-Signing-Rolle sichern - Security Center 5.11

Security Center – Administratorhandbuch 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.11

Um die Kommunikation zwischen der Unit-Assistant-Rolle und der Certificate-Signing-Rolle zu sichern, müssen Sie für den localhost ein vertrauenswürdiges Zertifikat erstellen.

Was Sie noch wissen sollten

Die Unit-Assistant-Rolle verbindet sich mit der Certificate-Signing-Rolle mithilfe einer URL im Format https://hostname:port/management, wobei hostname die IP-Adresse oder der Hostname des Servers ist, der die Certificate-Signing-Rolle hostet. Um eine einfache und robuste Failover-Konfiguration zu haben, müssen die zwei Rollen auf dem gleichen Server gehostet werden. Auf diese Weise erfolgt ein Failover beider Rollen auf den gleichen Server. Dadurch können wir localhost anstatt des Hostnamens in der Verbindungs-URL verwenden. Aus diesem Grund muss das Zertifikat, das zum Sichern der Kommunikation zwischen den zweien verwendet wird, als localhost identifiziert werden.
BEMERKUNG: Eine Folge dieses Ansatzes ist, dass nur das Config Tool, das auf dem Server ausgeführt wird, der die Certificate-Signing-Rolle hostet, zur vollständigen Konfiguration der Unit-Assistant-Rolle verwendet werden kann.

Prozedur

  1. Erstellen Sie das Zertifikat zum Sichern der Kommunikation zwischen diesen zwei Rollen.
    1. Klicken Sie in der Windows-Taskleiste auf und geben Sie PowerShell ein.
    2. Klicken Sie im Suchergebnis mit der rechten Maustaste auf Windows PowerShell und klicken Sie auf Als Administrator ausführen.
      Das Fenster Windows PowerShell wird geöffnet.
    3. Geben Sie den Befehl $PSVersionTable ein, um herauszufinden, welche Version Sie verwenden.
      WICHTIG: Die Version von Windows PowerShell muss 5.1.17763.2931 oder neuer sein. Wenn Ihre Version zu alt ist, müssen Sie PowerShell auf einem Server ausführen, auf dem eine unterstützte Version installiert wird. Erstellen und exportieren Sie das Zertifikat und importieren Sie es auf dem Server, der Ihre zwei Rollen hostet.
    4. Geben Sie den folgenden Befehl ein, um ein selbstsigniertes Zertifikat zu erstellen.
      New-SelfSignedCertificate -Type Custom -Subject "CN=SigningPluginSSL, O=Genetec Inc., OU=SigningPluginSSL, C = CA" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.1", "2.5.29.17={text}DNS=localhost") -KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My"
      BEMERKUNG: Um diesen Befehl auszuführen, kopieren Sie zunächst die vorherige Zeichenfolge in den Text-Editor, entfernen Sie die Zeilenumbrüche und fügen Sie die Zeichenfolge dann ohne Zeilenumbrüche in das Fenster Windows PowerShell ein.

      In unserem Beispielbefehl verwenden wir SigningPluginSSL als Zertifikatsnamen. Wenn Sie einen anderen Namen bevorzugen, ersetzen Sie einfach SigningPluginSSL, an zwei Stellen gefunden, mit dem Namen Ihrer Wahl.

    5. Schließen Sie das Fenster Windows PowerShell.
  2. Öffnen Sie die Microsoft Management Console.
    • Führen Sie Folgendes auf Windows Server aus:
      1. Klicken Sie in der Windows-Taskleiste auf und geben Sie mmc ein.
      2. Klicken Sie im Fenster, das geöffnet wird, auf Datei > Snap-In hinzufügen/entfernen.
      3. Klicken Sie im Fenster Snap-Ins hinzufügen oder entfernen, das geöffnet wird, auf Zertifikate > Hinzufügen.
        Microsoft Management Console – Zertifikats-Snap-In hinzufügen.
      4. Klicken Sie im Dialogfeld Zertifikats-Snap-In auf Computer-Konto > Weiter.
        Dialogfeld, das die Auswahl von „Computerkonto“ für das Snap-In zeigt.
      5. Klicken Sie auf Fertigstellen > OK.

        Das Zertifikatsverwaltungs-Snap-In wird hinzugefügt.

    • Führen Sie auf Windows 10 Folgendes aus:
      1. Klicken Sie in der Windows-Taskleiste auf und geben Sie Zertifikate ein.
      2. Klicken Sie in den Suchergebnissen auf Computerzertifikate verwalten.
  3. Erweitern Sie im linken Bereich des Fensters Microsoft Management Console Persönlich und klicken Sie auf Zertifikate.
  4. Klicken Sie im rechten Bereich des Fensters mit der rechten Maustaste auf das Zertifikat, das Sie erstellt haben (SigningPluginSSL) und klicken Sie auf Kopieren.
    Microsoft Management Console – persönliche Zertifikate SigningPluginSSL werden kopiert.
  5. Erweitern Sie im linken Bereich des Fensters Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie auf Zertifikate.
  6. Klicken Sie mit der rechten Maustaste auf Zertifikate und dann auf Einfügen.
    Microsoft Management Console – ein persönliches Zertifikat wird in die vertrauenswürdigen Stammzertifizierungsstellen eingefügt.
  7. Öffnen Sie Server Admin und klicken Sie im linken Bereich auf den Namen Ihres Servers.
  8. Klicken Sie im Abschnitt Sichere Kommunikation auf Zertifikat auswählen.
  9. Klicken Sie im Dialogfenster, das geöffnet wird, auf das zuvor erstellte Zertifikat (SigningPluginSSL) und klicken Sie auf Auswählen.
    Das Server-Admin-Fenster, das die Reihenfolge der Schritte zum Auswählen einens Zertifikats zeigt.
  10. Klicken Sie auf Speichern > Ja und schließen Sie Server Admin.
  11. Wenn der Unit-Assistant-Rolle mehr als ein Server zugewiesen ist, wiederholen sie den gleichen Vorgang auf den anderen Servern.

Nach Durchführen dieser Schritte

Erstellen Sie die Certificate-Signing-Rolle.