TLS-Zertifikat eines Containers
Jeder IDIAL-Container kommuniziert ausschließlich über HTTPS. Damit die IDIAL-APP einem Container sicher vertrauen kann, prüft sie dessen TLS-Server-Zertifikat gegen einen festen Satz von Anforderungen. Das Ergebnis dieser Prüfung sehen Sie im TLS-Bereich eines Containers — mit einer Einzelauflistung, welche Prüfung bestanden wurde und welche nicht.
Dieser Leitfaden erklärt, was geprüft wird, warum, und was Sie tun, wenn eine Prüfung fehlschlägt.
Was die IDIAL-APP prüft
Die Prüfung läuft in mehreren Schritten. Jeder Schritt liefert ein eigenes Ergebnis (bestanden, fehlgeschlagen, Warnung oder nicht anwendbar). Das Gesamturteil ist nur dann „vertrauenswürdig", wenn keine der aktiven Prüfungen fehlschlägt.
| Anforderung | Was gefordert ist | Warum | Wenn es fehlschlägt |
|---|---|---|---|
| Vertrauenskette | Das Zertifikat muss sich bis zu einer Zertifizierungsstelle (CA) zurückverfolgen lassen, der Sie im Trust Store vertrauen. | Nur so weiß die App, dass das Zertifikat von einer von Ihnen anerkannten Stelle stammt. | Laden Sie die ausstellende CA (bzw. die Root-CA) in den Trust Store und markieren Sie sie als vertrauenswürdig. |
| Gültigkeit | Das Zertifikat darf weder abgelaufen noch erst in der Zukunft gültig sein. | Abgelaufene Zertifikate gelten als unsicher. | Stellen Sie ein gültiges Zertifikat aus. Bei „noch nicht gültig" prüfen Sie die Uhrzeit des ausstellenden Systems. |
| Verwendungszweck | Das Zertifikat muss für die TLS-Server-Nutzung ausgewiesen sein (Signatur-Nutzung und „Server-Authentifizierung"). | Verhindert, dass z. B. ein reines Client- oder E-Mail-Zertifikat als Server-Zertifikat missbraucht wird. | Stellen Sie ein Server-Zertifikat mit den korrekten Verwendungszwecken aus. |
| Adresse (SAN) | Die Adresse, über die Sie den Container ansprechen, muss im Zertifikat hinterlegt sein. Verbinden Sie über eine IP-Adresse, muss genau diese IP im Zertifikat stehen. Verbinden Sie über einen DNS-Namen, muss dieser Name im Zertifikat stehen. | Stellt sicher, dass das Zertifikat wirklich für diesen Container ausgestellt wurde. | Tragen Sie die verwendete Adresse als „Subject Alternative Name" in das Zertifikat ein — oder verbinden Sie über die Adresse, die bereits im Zertifikat steht (und hinterlegen Sie diese in den Verbindungseinstellungen). |
| CA-Eigenschaften | Ausstellende CAs müssen als CA gekennzeichnet sein; das Server-Zertifikat selbst darf keine CA sein. | Verhindert fehlerhaft aufgebaute Zertifikatsketten. | Lassen Sie die Kette von Ihrer PKI korrekt ausstellen. |
| Stärke | Keine veralteten Verfahren (z. B. MD5/SHA-1) und keine zu kurzen Schlüssel (RSA unter 2048 Bit). | Schwache Verfahren gelten als unsicher. | Stellen Sie das Zertifikat mit zeitgemäßen Verfahren und ausreichender Schlüssellänge neu aus. |
| Sperrprüfung | Sofern aktiviert: das Zertifikat (und seine Kette) darf nicht widerrufen sein. | Ein widerrufenes Zertifikat darf nicht mehr akzeptiert werden. | Siehe Abschnitt Sperrprüfung. |
Zusätzlich prüft die App, ob das auf der Leitung präsentierte Zertifikat mit dem übereinstimmt, das der Container meldet. Eine Abweichung wird als Warnung angezeigt (möglicher Hinweis auf eine Fehlkonfiguration) und blockiert die Verbindung nicht.
Das Ergebnis verstehen
- Vertrauenswürdig (grün): Alle Prüfungen bestanden. Es ist keine weitere Aktion nötig.
- Nicht vertrauenswürdig (rot): Mindestens eine Prüfung ist fehlgeschlagen. Die App zeigt Ihnen, welche — mit Begründung. Anhand dieser Liste entscheiden Sie, ob Sie die Ursache beheben (z. B. CA hinzufügen, Zertifikat tauschen) oder die Verbindung bewusst trotzdem zulassen.
- Warnung (gelb): Ein Hinweis, der die Verbindung nicht blockiert (z. B. fehlende Sperrinformationen im Modus „soft").
Vor dem Hochladen prüfen
Bevor Sie ein neues Server-Zertifikat auf einen Container ausrollen, können Sie es vorab validieren lassen, ohne es zu installieren. Sie geben das Zertifikat (als PKCS#12-Datei mit Passwort) an, und die IDIAL-APP führt dieselbe Prüfung durch wie oben beschrieben — und zeigt das Ergebnis an.
Nutzen Sie die Vorab-Prüfung, um typische Stolperfallen vor dem Ausrollen zu erkennen — etwa „die verwendete IP-Adresse fehlt im Zertifikat" oder „die ausstellende CA ist noch nicht im Trust Store". So vermeiden Sie, dass die Verbindung nach dem Hochladen abbricht.
Erst wenn die Vorab-Prüfung in Ordnung ist (oder Sie sich bewusst für „unsicher zulassen" entscheiden), rollen Sie das Zertifikat aus. Nach dem Hochladen muss der IDIAL-Container neu gestartet werden, damit das neue Zertifikat aktiv wird.
Unsicheres TLS bewusst zulassen
Wenn ein Container-Zertifikat eine der Prüfungen nicht besteht, Sie sich aber dennoch verbinden möchten (typisch in Testumgebungen oder bei frisch aufgesetzten Containern mit selbstsigniertem Zertifikat), aktivieren Sie in den Verbindungseinstellungen des Containers die Option Unsicheres SSL erlauben.
Unsicheres SSL erlauben umgeht das Prüfergebnis und verbindet sich auch mit einem nicht vertrauenswürdigen Zertifikat. Verwenden Sie diese Option nur bewusst und vorzugsweise nur temporär. Die langfristig saubere Lösung ist fast immer, die Ursache zu beheben (CA in den Trust Store aufnehmen oder ein passendes Zertifikat ausstellen).
Sperrprüfung (CRL)
Die IDIAL-APP kann prüfen, ob ein Zertifikat zwischenzeitlich widerrufen wurde. Wie streng dabei mit fehlenden Sperrinformationen umgegangen wird, legen Sie pro Container fest:
| Modus | Verhalten |
|---|---|
| soft (Standard) | Es wird geprüft. Liegen keine aktuellen Sperrinformationen vor, wird trotzdem verbunden und ein Hinweis angezeigt. |
| strict | Für jedes Glied der Kette müssen gültige Sperrinformationen vorliegen. Fehlen sie, gilt das Zertifikat als nicht vertrauenswürdig. |
| aus | Es findet keine Sperrprüfung statt. |
Ein als widerrufen erkanntes Zertifikat wird immer abgelehnt, unabhängig vom Modus. Ohne abweichende Einstellung am Container gilt der globale Standard aus den Systemeinstellungen.
In Umgebungen ohne durchgehende Internetanbindung (z. B. abgeschottete Anlagennetze) ist „soft" oft die passende Wahl, weil aktuelle Sperrlisten dort nicht immer abrufbar sind.
Häufige Fälle und Behebung
| Anzeige / Symptom | Wahrscheinliche Ursache | Behebung |
|---|---|---|
| „Adresse nicht im Zertifikat" | Sie verbinden über eine IP/einen Namen, der nicht im Zertifikat steht. | IP/Namen ins Zertifikat aufnehmen oder über die im Zertifikat hinterlegte Adresse verbinden. |
| „Kette nicht vertrauenswürdig" / „CA fehlt" | Die ausstellende CA oder Root ist nicht (als vertrauenswürdig) im Trust Store. | CA in den Trust Store aufnehmen und als vertrauenswürdig markieren. |
| „Abgelaufen" / „Noch nicht gültig" | Zeitraum des Zertifikats passt nicht zur aktuellen Zeit. | Gültiges Zertifikat ausstellen; bei „noch nicht gültig" Systemuhr prüfen. |
| „Keine Sperrinformationen" (im Modus strict) | Für eine CA der Kette liegt keine gültige Sperrliste vor. | Sperrliste bereitstellen, oder den Modus für diesen Container auf „soft" stellen. |
| Verbindung wird mit „nicht vertrauenswürdig" abgewiesen | Eine Prüfung schlägt fehl und „Unsicheres SSL erlauben" ist aus. | Ursache laut Prüfliste beheben — oder, falls bewusst gewollt, „Unsicheres SSL erlauben" aktivieren. |
Verwandte Themen
- Trust Store — CA-Zertifikate zentral verwalten
- IDIAL Container hinzufügen — neuen Container in der IDIAL-APP registrieren