Article No.3240SetupZertifikate für Client-Server-Kommunikation neu generieren
Description :
Bei der Installation wurden nicht alle Subject-Alternative-Names angegeben, die für das erstellte Zertifikat notwendig sind.
Solution :
Zertifikate neu generieren für REST-Schnittstellen

Für den Fall, dass die notwendigen Subject Alternative Names nicht bei der Installation angegeben wurden, erhält man im Manager durch einen Dialog, der beim Login angezeigt wird, die Option, die Host-Name-Verification zu deaktivieren. Bei einer Verbindung über HTTPS wird durch Java überprüft, ob die angegebene URL oder IP-Adresse, mit der sich das Programm verbinden soll, in dem Zertifikat des Kommunikationspartners hinterlegt ist. Dies geschieht, um Man-in-the-middle-Attacken zu verhindern. Durch die Deaktivierung der Host-Name-Verification wird diese Überprüfung nicht mehr durchgeführt. Daher sollte die Deaktivierung der Host-Name-Verification nur eine kurzzeitige, temporäre Lösung darstellen. Sobald ein Fehler innerhalb der Zertifikate festgestellt wurde, können diese automatisch durch das Ausführen eines mit Intrexxx ausgelieferten Skriptes ausgetauscht werden. Dabei wird durch das Skript ein neues, selbst signiertes Zertifikat generiert. Das Skript befindet sich im Verzeichnis <Installationsverzeichnis>/bin/<Betriebssystem>/createcertificate.

Das Skript kann mit folgenden Parametern aufgerufen werden:
-h, --help: Öffnet einen Hilfetext in der Konsole
-p, --portal: Falls für ein Portal ein Zertifikat ausgetauscht werden soll, muss das Portalverzeichnis hier angegeben werden.
-s, --supervisor: Falls für den Server das Zertifikat ausgetauscht werden soll, muss dieses Flag gesetzt sein.
-a, --san: Hier müssen die Subject Alternative Names angegeben werden. Dabei müssen die Subject Alternative Names entweder das Prefix "ip:" oder "dns:" besitzen.

Ein Beispielaufruf des Skriptes für das Austauschen des Supervisor-Zertifikats könnte so aussehen:
createcertificate.sh -s --san dns:www.example.org ip:127.0.0.1

Ein Beispielaufruf des Skriptes für das Austauschen eines Portal-Zertifikats könnte so aussehen:
createcertificate.sh -p /opt/intrexx/org/portal --san dns:www.example.org ip:127.0.0.1
Operationsystemunspecific
CategorySetup
Databaseunspecific
Found in version:
  • 19.03
Attachments
modified14/05/2019