Zum Hauptinhalt springen

TLS-Zertifikat eines Containers

Jeder IDIAL-Container kommuniziert ausschließlich über HTTPS. Damit die IDIAL-APP einem Container sicher vertrauen kann, prüft sie dessen TLS-Server-Zertifikat gegen einen festen Satz von Anforderungen. Das Ergebnis dieser Prüfung sehen Sie im TLS-Bereich eines Containers — mit einer Einzelauflistung, welche Prüfung bestanden wurde und welche nicht.

Dieser Leitfaden erklärt, was geprüft wird, warum, und was Sie tun, wenn eine Prüfung fehlschlägt.

Was die IDIAL-APP prüft

Die Prüfung läuft in mehreren Schritten. Jeder Schritt liefert ein eigenes Ergebnis (bestanden, fehlgeschlagen, Warnung oder nicht anwendbar). Das Gesamturteil ist nur dann „vertrauenswürdig", wenn keine der aktiven Prüfungen fehlschlägt.

AnforderungWas gefordert istWarumWenn es fehlschlägt
VertrauensketteDas Zertifikat muss sich bis zu einer Zertifizierungsstelle (CA) zurückverfolgen lassen, der Sie im Trust Store vertrauen.Nur so weiß die App, dass das Zertifikat von einer von Ihnen anerkannten Stelle stammt.Laden Sie die ausstellende CA (bzw. die Root-CA) in den Trust Store und markieren Sie sie als vertrauenswürdig.
GültigkeitDas Zertifikat darf weder abgelaufen noch erst in der Zukunft gültig sein.Abgelaufene Zertifikate gelten als unsicher.Stellen Sie ein gültiges Zertifikat aus. Bei „noch nicht gültig" prüfen Sie die Uhrzeit des ausstellenden Systems.
VerwendungszweckDas Zertifikat muss für die TLS-Server-Nutzung ausgewiesen sein (Signatur-Nutzung und „Server-Authentifizierung").Verhindert, dass z. B. ein reines Client- oder E-Mail-Zertifikat als Server-Zertifikat missbraucht wird.Stellen Sie ein Server-Zertifikat mit den korrekten Verwendungszwecken aus.
Adresse (SAN)Die Adresse, über die Sie den Container ansprechen, muss im Zertifikat hinterlegt sein. Verbinden Sie über eine IP-Adresse, muss genau diese IP im Zertifikat stehen. Verbinden Sie über einen DNS-Namen, muss dieser Name im Zertifikat stehen.Stellt sicher, dass das Zertifikat wirklich für diesen Container ausgestellt wurde.Tragen Sie die verwendete Adresse als „Subject Alternative Name" in das Zertifikat ein — oder verbinden Sie über die Adresse, die bereits im Zertifikat steht (und hinterlegen Sie diese in den Verbindungseinstellungen).
CA-EigenschaftenAusstellende CAs müssen als CA gekennzeichnet sein; das Server-Zertifikat selbst darf keine CA sein.Verhindert fehlerhaft aufgebaute Zertifikatsketten.Lassen Sie die Kette von Ihrer PKI korrekt ausstellen.
StärkeKeine veralteten Verfahren (z. B. MD5/SHA-1) und keine zu kurzen Schlüssel (RSA unter 2048 Bit).Schwache Verfahren gelten als unsicher.Stellen Sie das Zertifikat mit zeitgemäßen Verfahren und ausreichender Schlüssellänge neu aus.
SperrprüfungSofern aktiviert: das Zertifikat (und seine Kette) darf nicht widerrufen sein.Ein widerrufenes Zertifikat darf nicht mehr akzeptiert werden.Siehe Abschnitt Sperrprüfung.

Zusätzlich prüft die App, ob das auf der Leitung präsentierte Zertifikat mit dem übereinstimmt, das der Container meldet. Eine Abweichung wird als Warnung angezeigt (möglicher Hinweis auf eine Fehlkonfiguration) und blockiert die Verbindung nicht.

Das Ergebnis verstehen

  • Vertrauenswürdig (grün): Alle Prüfungen bestanden. Es ist keine weitere Aktion nötig.
  • Nicht vertrauenswürdig (rot): Mindestens eine Prüfung ist fehlgeschlagen. Die App zeigt Ihnen, welche — mit Begründung. Anhand dieser Liste entscheiden Sie, ob Sie die Ursache beheben (z. B. CA hinzufügen, Zertifikat tauschen) oder die Verbindung bewusst trotzdem zulassen.
  • Warnung (gelb): Ein Hinweis, der die Verbindung nicht blockiert (z. B. fehlende Sperrinformationen im Modus „soft").

Vor dem Hochladen prüfen

Bevor Sie ein neues Server-Zertifikat auf einen Container ausrollen, können Sie es vorab validieren lassen, ohne es zu installieren. Sie geben das Zertifikat (als PKCS#12-Datei mit Passwort) an, und die IDIAL-APP führt dieselbe Prüfung durch wie oben beschrieben — und zeigt das Ergebnis an.

tipp

Nutzen Sie die Vorab-Prüfung, um typische Stolperfallen vor dem Ausrollen zu erkennen — etwa „die verwendete IP-Adresse fehlt im Zertifikat" oder „die ausstellende CA ist noch nicht im Trust Store". So vermeiden Sie, dass die Verbindung nach dem Hochladen abbricht.

Erst wenn die Vorab-Prüfung in Ordnung ist (oder Sie sich bewusst für „unsicher zulassen" entscheiden), rollen Sie das Zertifikat aus. Nach dem Hochladen muss der IDIAL-Container neu gestartet werden, damit das neue Zertifikat aktiv wird.

Unsicheres TLS bewusst zulassen

Wenn ein Container-Zertifikat eine der Prüfungen nicht besteht, Sie sich aber dennoch verbinden möchten (typisch in Testumgebungen oder bei frisch aufgesetzten Containern mit selbstsigniertem Zertifikat), aktivieren Sie in den Verbindungseinstellungen des Containers die Option Unsicheres SSL erlauben.

warnung

Unsicheres SSL erlauben umgeht das Prüfergebnis und verbindet sich auch mit einem nicht vertrauenswürdigen Zertifikat. Verwenden Sie diese Option nur bewusst und vorzugsweise nur temporär. Die langfristig saubere Lösung ist fast immer, die Ursache zu beheben (CA in den Trust Store aufnehmen oder ein passendes Zertifikat ausstellen).

Sperrprüfung (CRL)

Die IDIAL-APP kann prüfen, ob ein Zertifikat zwischenzeitlich widerrufen wurde. Wie streng dabei mit fehlenden Sperrinformationen umgegangen wird, legen Sie pro Container fest:

ModusVerhalten
soft (Standard)Es wird geprüft. Liegen keine aktuellen Sperrinformationen vor, wird trotzdem verbunden und ein Hinweis angezeigt.
strictFür jedes Glied der Kette müssen gültige Sperrinformationen vorliegen. Fehlen sie, gilt das Zertifikat als nicht vertrauenswürdig.
ausEs findet keine Sperrprüfung statt.

Ein als widerrufen erkanntes Zertifikat wird immer abgelehnt, unabhängig vom Modus. Ohne abweichende Einstellung am Container gilt der globale Standard aus den Systemeinstellungen.

info

In Umgebungen ohne durchgehende Internetanbindung (z. B. abgeschottete Anlagennetze) ist „soft" oft die passende Wahl, weil aktuelle Sperrlisten dort nicht immer abrufbar sind.

Häufige Fälle und Behebung

Anzeige / SymptomWahrscheinliche UrsacheBehebung
„Adresse nicht im Zertifikat"Sie verbinden über eine IP/einen Namen, der nicht im Zertifikat steht.IP/Namen ins Zertifikat aufnehmen oder über die im Zertifikat hinterlegte Adresse verbinden.
„Kette nicht vertrauenswürdig" / „CA fehlt"Die ausstellende CA oder Root ist nicht (als vertrauenswürdig) im Trust Store.CA in den Trust Store aufnehmen und als vertrauenswürdig markieren.
„Abgelaufen" / „Noch nicht gültig"Zeitraum des Zertifikats passt nicht zur aktuellen Zeit.Gültiges Zertifikat ausstellen; bei „noch nicht gültig" Systemuhr prüfen.
„Keine Sperrinformationen" (im Modus strict)Für eine CA der Kette liegt keine gültige Sperrliste vor.Sperrliste bereitstellen, oder den Modus für diesen Container auf „soft" stellen.
Verbindung wird mit „nicht vertrauenswürdig" abgewiesenEine Prüfung schlägt fehl und „Unsicheres SSL erlauben" ist aus.Ursache laut Prüfliste beheben — oder, falls bewusst gewollt, „Unsicheres SSL erlauben" aktivieren.

Verwandte Themen