Einrichten der SSL-Verschlüsselung
Um Ihre RaptorXML Server-Datenübertragungen über das SSL-Protokoll zu verschlüsseln, sind folgende Schritte erforderlich:
•Generieren eines SSL Privat Key und Erstellen einer SS Public Key-Zertifikatdatei
•Konfigurieren von RaptorXML Server für die SSL-Kommunikation
Im Folgenden sind die Schritte im Einzelnen beschrieben.
Zur Verwaltung der SSL-Verschlüsselung wird der Open Source OpenSSL Toolkit verwendet. Die unten aufgelisteten Schritte müssen daher auf einem Computer durchgeführt werden, auf dem OpenSSL zur Verfügung steht. OpenSSL ist im Allgemeinen auf dem meisten Linux-Distributions und macOS-Rechnern vorinstalliert. Es kann auch auf Windows-Computern installiert werden. Download Links zu den Installations-Binärdateien finden Sie im OpenSSL Wiki.
Um einen Private Key zu generieren und ein Zertifikat von einer Zertifizierungsstelle zu erhalten, gehen Sie folgendermaßen vor:
1.Generieren eines Private Key
Für SSL muss auf RaptorXML Server ein Private Key installiert werden. Mit Hilfe dieses Private Key werden alle an RaptorXML Server gesendeten Daten verschlüsselt. Verwenden Sie zum Erstellen des Private Key den folgenden OpenSSL-Befehl: openssl genrsa -out private.key 2048
Dadurch wird eine Datei namens private.key generiert, die Ihren Private Key enthält. Merken Sie sich, wo Sie die Datei speichern. Anhand des Private Key wird der (i) Certificate Signing Request (CSR) generiert und der Private Key (ii) wird auf RaptorXML Server installiert (siehe Schritt 8 weiter unten).
|
2.Certificate Signing Requests (CSRs)
Ein Certificate Signing Request (CSR) wird an eine Zertifizierungsstelle (Certificate Authority = CA) wie z.B. VeriSign oder Thawte gesendet, um ein Public Key-Zertifikat anzufordern. Der CSR basiert auf Ihrem Private Key und enthält Informationen über Ihr Unternehmen. Mit dem folgenden OpenSSL-Befehl (der die in Schritt 1 erstellte Private Key-Datei private.key als einen seiner Parameter enthält) wird ein CSR erstellt: openssl req -new -nodes -key private.key -out my.csr
Während der Generierung des CSR müssen Sie die unten angeführten Informationen über Ihr Unternehmen angeben. Anhand dieser Informationen überprüft die Zertifizierungsstelle die Identität Ihres Unternehmens.
•Country (Land) •Locality (Ort) (die Stadt, in dem Ihr Unternehmen seinen Firmensitz hat) •Organization (Unternehmen) (Ihr Firmenname). Verwenden Sie keine Sonderzeichen, da sonst kein gültiges Zertifikat erstellt werden kann •Common Name (der DNS-Name Ihres Servers). Dieser Name muss mit dem offiziellen Namen Ihres Servers, d.h. dem DNS-Namen, über den Client Apps eine Verbindung zum Server herstellen, genau übereinstimmen. •Ein "Challenge Password". Dieser Eintrag muss leer bleiben!
|
3.Erwerben eines SSL-Zertifikats
Erwerben Sie von einer anerkannten Zertifizierungsstelle (CA), wie z.B. VeriSign oder Thawte ein SSL-Zertifikat. In der restlichen Anleitung gehen wir nach dem VeriSign-Verfahren vor. Bei anderen CAs ist der Ablauf ähnlich.
•Gehen Sie zur VeriSign Website. •Klicken Sie auf Buy SSL Certificates. •Es stehen unterschiedliche Arten von SSL-Zertifikaten zur Verfügung. Für RaptorXML Server genügen Secure Site- oder Secure Site Pro-Zertifikate. Eine EV (Extended Verification) ist nicht nötig, da Benutzern keine "grüne Adressleiste" angezeigt wird. •Erledigen Sie die Anmeldung und füllen Sie die erforderlichen Informationen für Ihre Bestellung aus. •Wenn Sie nach dem (in Schritt 2 erstellten) CSR gefragt werden, kopieren Sie den Inhalt der Datei my.csr in das Bestellformular. •Bezahlen Sie das Zertifikat mit Ihrer Kreditkarte.
|
4.Zusendung des Public Key von der CA
Die Zertifizierungsstelle benötigt zwei bis drei Werktage für die Bearbeitung Ihrer Bestellung. Während dieser Zeit erhalten Sie eventuell E-Mails oder Telefonanrufe, in denen überprüft wird, ob Sie berechtigt sind, ein SSL-Zertifikat für Ihre DNS-Domain zu erhalten. Beantworten Sie bitte die Fragen der CA, um das Zertifikat zu erhalten.
Nach Abschluss des Überprüfungsverfahrens erhalten Sie eine E-Mail mit dem Public Key Ihres SSL-Zertifikats. Der Public Key wird entweder in Textform oder im Anhang in einer .cer-Datei gesendet.
|
5.Speichern des Public Key in einer Datei
Um den Public Key mit RaptorXML Server verwenden zu können, muss er in einer .cer-Datei gespeichert werden. Wenn der Public Key in Textform gesendet wurde, kopieren Sie bitte alle Zeilen ab
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
in eine Textdatei, z.B. in mycertificate.cer.
|
6.Speichern der Zwischenzertifikats der CA in einer Datei
Zur Fertigstellung Ihres SSL-Zertifikats benötigen Sie zwei zusätzliche Zertifikate: das primäre und das sekundäre Zwischenzertifikat. Ihre Zertifizierungsstelle (CA) listet den Inhalt von Zwischenzertifikaten auf ihrer Website auf.
•Die Zwischenzertifikate von Verisign: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Die Zwischenzertifikate von Verisign für sein Secure Site-Produkt: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Kopieren Sie die beiden Zwischenzertifikate (das primäre und das sekundäre) in separate Textdateien und speichern Sie diese auf Ihrem Rechner.
|
7.Optionales Kombinieren der Zertifikate zu einer Public Key-Zertifikatdatei
Sie haben nun drei Zertifikatdateien:
•Public Key (mycertificate.cer) •Sekundäres Zwischenzertifikat •Primäres Zwischenzertifikat
Sie können Ihre Zwischenzertifikate in Ihr Public Key-Zertifikat integrieren, wenn Sie möchten. Eine Anleitung dazu finden Sie unten. (Sie können den Pfad zu den Zwischenzertifikaten alternativ dazu auch mit Hilfe der https.certificate-chain Konfigurationsdateieinstellung definieren.)
Jede enthält Textblöcke innerhalb der folgenden Zeilen: --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
Kopieren Sie nun alle drei Zertifikate der Reihe nach in eine Datei. Die richtige Reihenfolge ist wichtig: (i) Public Key, (ii) sekundäres Zwischenzertifikat, (iii) primäres Zwischenzertifikat. Stellen Sie sicher, dass sich keine Zeilen zwischen den Zertifikaten befinden. --BEGIN CERTIFICATE-- Public Key aus mycertificate.cer (siehe Schritt 5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- Sekundäres Zwischenzertifikat (siehe Schritt 6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- Primäres Zwischenzertifikat (siehe Schritt 6) --END CERTIFICATE--
Speichern Sie den kombinierten Zertifikattext in einer Datei namens publickey.cer . Dies ist die Public Key-Zertifikatdatei Ihres SSL-Zertifikats. Sie enthält Ihr Public Key-Zertifikat sowie die gesamte Kette der Zwischenzertifikate, mit denen die CA Ihr Zertifikat signiert hat. Die Public Key-Zertifikatdatei wird zusammen mit dem Private Key (siehe Schritt 8) auf RaptorXML Server installiert.
|