Zum Hauptinhalt springen

Anwendungs-Initialisierung

Diese Anleitung führt durch die vollständige Erstkonfiguration einer frisch installierten IDIAL-APP — vom ersten Start bis zur betriebsbereiten Anwendung. Folgen Sie den Schritten der Reihe nach. Alle hier beschriebenen Schritte müssen nur einmalig durchgeführt werden.

Was Sie für die Einrichtung benötigen:

  • Einen sicheren Generator und Ablage für das recovery-admin Passwort
  • Eine gültige IDIAL-APP-Lizenzdatei (.lic)
  • Ein TLS-Serverzertifikat für die IDIAL-APP als PKCS12-Datei (.p12 / .pfx) samt Passwort
  • Das Root-CA-Zertifikat und ggf. Intermediate-CA-Zertifikate Ihrer internen PKI, um das IDIAL-APP TLS Zertifikat zu laden und erfolgreich zu validieren
  • Den öffentlichen DNS-Namen, unter dem die IDIAL-APP erreichbar sein soll

Schritt 1 — Recovery-Admin-Passwort festlegen

Wenn Sie die IDIAL-APP-URL zum ersten Mal im Browser öffnen, werden Sie automatisch auf den Einrichtungsbildschirm weitergeleitet. Die Anwendung erzwingt diesen Schritt — ein normaler Betrieb ist vorher nicht möglich.

Anwendungs-Einrichtung

Auf dem Bildschirm Anwendungs-Einrichtung müssen Sie ein Passwort für den Benutzer recovery-admin vergeben. Geben Sie das gewünschte Passwort in das Feld Recovery-Admin-Passwort ein und wiederholen Sie es im Feld Neues Passwort bestätigen.

Das Passwort muss folgende Anforderungen erfüllen (unter dem Feld angezeigt):

  • Mindestens 8 Zeichen, maximal 128 Zeichen
  • Mindestens ein Großbuchstabe und ein Kleinbuchstabe
  • Mindestens eine Ziffer

Klicken Sie auf Anwendung initialisieren. Die Anwendung richtet sich ein und leitet Sie danach automatisch auf den Login-Bildschirm weiter.

Was ist der Recovery-Admin?

Der recovery-admin ist ein fest eingebauter Systembenutzer mit vollen Rechten auf die gesamte Anwendung. Seine Berechtigungen können nicht eingeschränkt und der Benutzer nicht gelöscht werden. Er dient als Notfall-Fallback für folgende Situationen:

  • Alle anderen Administratoren wurden versehentlich gelöscht oder gesperrt
  • Notfallzugriff bei Konfigurationsproblemen oder bei Nicht-Verfügbarkeit sonstiger Authentisierungsdienste
  • Erstverwaltung direkt nach der Installation
warnung

Das Recovery-Admin-Passwort muss komplex gewählt und sicher verwahrt werden — zum Beispiel in einem Passwort-Manager oder einem physisch gesicherten Tresor. Wer dieses Passwort kennt, hat unbeschränkten Zugriff auf die gesamte Anwendung. Für den täglichen Betrieb sollten Sie den Recovery-Admin nicht verwenden, sondern einen separaten Administrator-Benutzer anlegen (siehe Schritt 4).


Schritt 2 — Erste Anmeldung

Nach der Initialisierung erscheint der reguläre Login-Bildschirm.

Login-Bildschirm

Geben Sie im Feld Benutzername recovery-admin ein und im Feld Passwort das soeben festgelegte Passwort. Klicken Sie auf Anmelden.


Schritt 3 — Lizenz hochladen

Nach der ersten Anmeldung zeigt die Übersicht den Hinweis Lizenz erforderlich. Ohne eine gültige Lizenz sind die Kernfunktionen der Anwendung gesperrt.

Übersicht ohne Lizenz

info

Sie sehen links unten im Navigationsbereich ebenfalls jederzeit Ihre aktuell geladene Lizenz. Im diesem Fall ist keine Lizenz vorhanden, was durch eine rote Fehlermeldung angezeit wird.

Klicken Sie auf die Schaltfläche Lizenzen verwalten, um in die Lizenzverwaltung zu wechseln. Alternativ erreichen Sie die Lizenzverwaltung jederzeit über den Menüpunkt in der linken Navigation.

Klicken Sie oben rechts auf Lizenz hochladen, wählen Sie die .lic-Datei aus Ihrem Dateisystem und bestätigen Sie. Die Lizenz wird automatisch geprüft und freigeschaltet.

Lizenz geladen

Im Bereich Lizenzierte Funktionen sehen Sie, welche Features durch die Lizenz aktiviert wurden. Im Bereich Lizenzen wird die hochgeladene Lizenz mit Status, Typ, Gültigkeitsdauer und lizenzierter Endpunktanzahl aufgeführt.

info

Falls Sie eine Evaluierungslizenz (Typ: Evaluierung) erhalten haben, darf diese nicht in einer Produktivumgebung eingesetzt werden. Alle Features sind jedoch zur Evaluierung vollständig verfügbar.


Schritt 4 — Administrator-Benutzer anlegen

Der Recovery-Admin sollte nicht für den täglichen Betrieb genutzt werden. Legen Sie jetzt einen eigenen Administrator-Benutzer an, mit dem Sie die Anwendung fortan verwalten.

Navigieren Sie zu Benutzerverwaltung in der linken Navigation und klicken Sie oben rechts auf + Benutzer erstellen.

Benutzer erstellen

Füllen Sie die Felder aus:

FeldEmpfehlung
BenutzernameWählen Sie einen eindeutigen Namen (z. B. admin) — 3–50 Zeichen, nur Buchstaben, Ziffern, Bindestrich, Unterstrich, Punkt
PasswortSicheres Passwort gemäß Policy (8–128 Zeichen, Groß-/Kleinbuchstaben, Ziffer)
NameIhr vollständiger Name oder eine Bezeichnung für dieses Konto
OrganisationseinheitOptional — z. B. Abteilung oder Standort
RollenWählen Sie Administrator aus der Liste aus

Klicken Sie auf Erstellen. Der neue Benutzer erscheint in der Liste.

Abmelden und mit neuem Administrator anmelden

Klicken Sie unten links im Navigationspanel auf das Abmelden-Symbol neben Ihrem Benutzernamen.

Benutzerliste mit Abmelden-Schaltfläche

Melden Sie sich nun mit dem soeben angelegten Administrator-Konto an. Ab diesem Punkt arbeiten Sie nicht mehr mit dem Recovery-Admin.


Schritt 5 — CA-Zertifikate in den Trust Store laden

Bevor Sie das TLS-Serverzertifikat hochladen können, müssen die ausstellenden CA-Zertifikate Ihrer PKI im Trust Store der IDIAL-APP hinterlegt sein. Der Trust Store erlaubt der Anwendung, die Vertrauenskette von Zertifikaten zu prüfen.

Navigieren Sie zu Trust Store in der linken Navigation. Bei einer frischen Installation ist der Trust Store noch leer.

Leerer Trust Store

Klicken Sie auf CA-Zertifikat hinzufügen oben rechts.

Trust Store Upload-Dialog

Fügen Sie im Dialog die PEM-kodierten Zertifikate in das Textfeld ein — Sie können mehrere Zertifikate (Root CA und Intermediate CA) direkt hintereinander einfügen. Klicken Sie auf Analysieren / Zur Liste hinzufügen. Die Anwendung prüft die Zertifikate und zeigt sie als Wartende Zertifikate mit Name, Subject DN, Aussteller und Gültigkeitsdauer an. Zertifikate mit grünem Haken sind gültig.

info

Die Anwendung validiert die Zertifikate, bevor sie in den Trust Store hochgeladen werden können. Fehlerhafte oder bereits vorhandene Einträge werden in der Wartende Zertifikate Liste als fehlerhaft angezeigt und müssen entfernt werden, bevor die gültigen Zertifikate hochgeladen werden können. Das sichert einen konsistenten Trust Store, der die Basis für eine sichere PKI ist.

Klicken Sie auf Hochladen, um alle geprüften Zertifikate in den Trust Store zu übernehmen.

info

Laden Sie sowohl das Root-CA-Zertifikat als auch alle Intermediate-CA-Zertifikate hoch, die in der Kette bis zu Ihrem TLS-Serverzertifikat benötigt werden. Die IDIAL-APP benötigt die vollständige Vertrauenskette.

tipp

Die im Trust Store hinterlegten CA-Zertifikate werden auch für die Validierung von Zertifikaten verwendet, die später auf IDIAL-Containern ausgerollt werden. Es lohnt sich, alle CA-Zertifikate Ihrer PKI direkt hier zu hinterlegen.


Schritt 6 — TLS-Serverzertifikat konfigurieren

Im Auslieferungszustand verwendet die IDIAL-APP ein selbstsigniertes Zertifikat, dem Browser und REST-Clients nicht vertrauen. Tauschen Sie es jetzt durch ein von Ihrer PKI ausgestelltes Zertifikat aus.

Öffnen Sie über das Zahnrad-Symbol in der Navigation die Einstellungen und klicken Sie auf die Kachel Server-Einstellungen.

Server-Einstellungen

Öffentlichen Hostnamen und Port eintragen

Tragen Sie im Feld Öffentlicher Hostname den DNS-Namen ein, unter dem die IDIAL-APP von Clients erreichbar ist. Dieser Name muss mit dem Common Name bzw. einem Subject Alternative Name (SAN) im TLS-Zertifikat übereinstimmen. Im Feld Öffentlicher Port tragen Sie den HTTPS-Port ein (Standard: 443).

Klicken Sie auf Speichern, bevor Sie das Zertifikat hochladen.

TLS-Zertifikat hochladen

Unter dem Bereich Aktives Server-Zertifikat sehen Sie das aktuell verwendete Zertifikat (im Auslieferungszustand ein selbstsigniertes Zertifikat mit Warnhinweis). Laden Sie im Bereich Neues TLS-Zertifikat hochladen Ihre PKCS12-Datei hoch:

  1. Klicken Sie auf das Dateifeld unter PKCS12 Datei und wählen Sie Ihre .p12- oder .pfx-Datei
  2. Geben Sie im Feld PKCS12 Passwort das Passwort der PKCS12-Datei ein
  3. Klicken Sie auf Prüfen — die Anwendung analysiert das Zertifikat und zeigt das Prüfergebnis

PKCS12 Datei und Passwort eingegeben, Prüfergebnis

Wenn alle Validierungen erfolgreich sind, klicken Sie auf Anwenden. Der Server startet TLS neu und verwendet ab sofort das neue Zertifikat.

TLS-Zertifikat angewendet

Im Bereich Aktives Server-Zertifikat erscheint nun der Hinweis App vertraut diesem Zertifikat und alle Prüfungen sind grün markiert.

warnung

Nachdem das Zertifikat angewendet wurde, startet der TLS-Server der Anwendung neu (ca. 5 Sekunden). Stellen Sie sicher, dass Sie die Seite danach über den konfigurierten DNS-Namen aufrufen — nicht über die IP-Adresse, da das neue Zertifikat sonst als ungültig erscheint.

info

Die CA-Zertifikate aus dem Trust Store werden auch bei Ihren Benutzern im Browser benötigt. Verteilen Sie die Root-CA-Zertifikate in Ihrer Organisation über die üblichen Verteilungsmechanismen (z. B. Group Policy), damit Browser der IDIAL-APP vertrauen.


Schritt 7 — Protokollierung einstellen

Öffnen Sie die Einstellungen und klicken Sie auf die Kachel Protokollierung.

Protokollierung

Im Auslieferungszustand ist das Datei-Log-Level auf DEBUG gesetzt — das erzeugt sehr detaillierte und große Log-Dateien. Ändern Sie das Datei-Log-Level für den Produktivbetrieb auf INFO. Verfügbare Stufen (von detailliert bis knapp): TRACE, DEBUG, INFO, WARN, ERROR.

Stellen Sie auch das Konsolen-Log-Level auf INFO ein, sofern Sie keine Debug-Ausgaben auf der Konsole benötigen.

Das Request/Response-Logging sollte im Normalbetrieb deaktiviert bleiben — es protokolliert die gesamte REST-API-Kommunikation und kann die Log-Dateigröße erheblich erhöhen.

Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

tipp

Die Einstellung IDIAL-Container-Kommunikation in den Einstellungen ermöglicht die Anpassung der Timeout-Werte für die Kommunikation mit angebundenen IDIAL-Containern. Die Standardwerte sind für die meisten Umgebungen geeignet. Passen Sie diese nur an, wenn Container-Anfragen regelmäßig in Timeouts laufen.


Erstkonfiguration abgeschlossen

Die Basiseinrichtung der IDIAL-APP ist damit abgeschlossen. Die Anwendung ist nun betriebsbereit mit:

  • Einem sicheren Recovery-Admin-Passwort
  • Einer gültigen Lizenz
  • Einem eigenen Administrator-Benutzer für den täglichen Betrieb
  • Den CA-Zertifikaten Ihrer PKI im Trust Store
  • Einem gültigen TLS-Serverzertifikat
  • Angepassten Protokollierungseinstellungen
hinweis

Als nächste Schritte verbinden Sie Ihre IDIAL-Container mit der Anwendung und konfigurieren dort die Endpunkte und PKI-Systeme. Diese Schritte werden in den folgenden Anleitungen beschrieben.