Knowledge Base3240Zertifikate für Client-Server-Kommunikation neu generieren
Bei der Installation wurden nicht alle Subject-Alternative-Names angegeben, die für das erstellte Zertifikat notwendig sind.

Für den Fall, dass die notwendigen Subject Alternative Names nicht bei der Installation angegeben wurden, erhält man im Manager durch einen Dialog, der beim Login angezeigt wird, die Option, die Host-Name-Verification zu deaktivieren. Bei einer Verbindung über HTTPS wird durch Java überprüft, ob die angegebene URL oder IP-Adresse, mit der sich das Programm verbinden soll, in dem Zertifikat des Kommunikationspartners hinterlegt ist. Dies geschieht, um Man-in-the-middle-Attacken zu verhindern. Durch die Deaktivierung der Host-Name-Verification wird diese Überprüfung nicht mehr durchgeführt. Daher sollte die Deaktivierung der Host-Name-Verification nur eine kurzzeitige, temporäre Lösung darstellen. Sobald ein Fehler innerhalb der Zertifikate festgestellt wurde, können diese automatisch durch das Ausführen eines mit Intrexxx ausgelieferten Skriptes ausgetauscht werden. Dabei wird durch das Skript ein neues, selbst signiertes Zertifikat generiert. Das Skript befindet sich im Verzeichnis <Installationsverzeichnis>/bin/<Betriebssystem>/createcertificate.bat

Gültig für alle Intrexx-Versionen ab Intrexx 19.03


Manager Meldung:
Das Zertifikat des ausgewählten Servers enthält nicht die von
Ihnen angegebene IP-Adresse oder den Host-Namen.
Dies kann auf ein Problem mit dem Zertifikat des Servers hindeuten.
Bitte informieren Sie den für dieses Portal zuständigen Administrator.
Sie können nun die Host-Name-Verifikation deaktivieren.
Das Deaktivieren der Host-Name-Verifikation kann die Sicherheit
Ihrer Kommunikation mit dem Server beeinträchtigen, deaktivieren
Sie diese also nur, wenn Sie dem Server vertrauen.

Host-Name-Verifikation deaktivieren?


ERROR:
Login nicht erfolgreich
de.uplanet.lucy.client.remote.SessionException: Login nicht erfolgreich
at de.uplanet.lucy.client.lucymanager.LoginCertificateImporterMessage.createAnonymousSupervisorSession(Unknown Source)
Zertifikate neu generieren für REST-Schnittstellen

Das Skript <Installationsverzeichnis>/bin/<Betriebssystem>/createcertificate.bat kann mit folgenden Parametern aufgerufen werden:
-h, --help: Öffnet einen Hilfetext in der Konsole
-p, --portal: Falls für ein Portal ein Zertifikat ausgetauscht werden soll, muss das Portalverzeichnis hier angegeben werden.
-s, --supervisor: Falls für den Server das Zertifikat ausgetauscht werden soll, muss dieses Flag gesetzt sein.
-a, --san: Hier müssen die Subject Alternative Names angegeben werden. Dabei müssen die Subject Alternative Names entweder das Prefix "ip:" oder "dns:" besitzen.

Wichtig ist, dass je nach Verbindung (direkt zum Portal oder über den Supervisor) zum einen das Zertifikat des Supervisor als auch das Zertifikat der Portale angepasst werden müssen. Daher empfehlen wir Ihnen immer beide Zertifikate aktuell zu halten. Im Zertifikat selbst, müssen Sie alle Varianten der genutzten Servernamen angegeben, die zur Verbindung genutzt werden sollen. Wir empfehlen im Zertifikat den FQDN des Servers zu verwenden und zusätzlich können Sie die IP-Adresse als auch den einfachen Servernamen des Intrexx-Servers hinterlegen. Da oft das Portal auch lokal aufgerufen wird, macht es Sinn zudem den localhost aufzunehmen.

ACHTUNG!
1. Um die Einträge setzten zu können, werden Sie nach einem Passwort gefragt, dieses lautet für die cacerts im Default: changeit
2. Im Nachgang muss der Supervisor-Dienst (Windowsdienste) neu gestartet werden.

Beispiel Supervisor-Zertifikat:
createcertificate.bat -s --san dns:www.example.org dns:example.org dns:localhost ip:<SERVER-IP> ip:127.0.0.1

Beispiel Portal-Zertifikat:
createcertificate.bat -p C:\intrexx\org\portal --san dns:example.org dns:www.example.org ip:<SERVER-IP> ip:127.0.0.1

ACHTUNG:
Bitte achten Sie darauf, dass der Pfad zum Portal mit Anführungszeichen am Anfang und am Ende angegeben werden muss, sofern im Pfad ein Leerzeichen enthalten ist.
createcertificate.bat -p "C:\intrexx 2103\org\portal" --san dns:example.org dns:www.example.org ip:<SERVER-IP> ip:127.0.0.1


Beispiel (siehe auch Bild eingabeaufforderung.png):

1) öffnen Sie die Eingabeaufforderung (CMD) mit Rechtsklick "als Administrator ausführen"
2) wechseln Sie in das Installationsverzeichnis von Intrexx -> cd c:\<Intrexx>\bin\windows
3) generieren Sie die Einträge -> createcertificate.bat -s --san dns:www.example.org dns:example.org dns:localhost ip:127.0.0.1
4) geben Sie das Passwort ein, Default: changeit
5) ein neues Schlüssel-Kennwort muss nicht vergeben werden, bestätigen Sie dies einfach mit Return
6) im Nachgang muss der Supervisor-Dienst (Windowsdienste) neu gestartet werden
Anhang:

Intrexx Version:

  • 21.03
  • 19.03
Details:

Kategorie:Setup
Betriebssystem:unspecific
Datenbank:unspecific
Stand von:30-08-2021