Zum Hauptinhalt springen

TLS-Zertifikat der Anwendung

Die IDIAL-APP wird selbst über HTTPS bereitgestellt. Beim Deployment wird dafür ein Zertifikat angelegt (anfangs selbstsigniert). Über diesen Bereich können Sie das TLS-Zertifikat der Anwendung einsehen und durch ein eigenes ersetzen — ohne Eingriff auf dem Server.

Aktuelles Zertifikat einsehen

Die IDIAL-APP zeigt das aktuell ausgelieferte Server-Zertifikat mit denselben Prüfschritten wie beim Container-Zertifikat an: eine Einzelauflistung, welche Prüfung bestanden wurde und welche nicht. Die Anforderungen sind dieselben wie unter TLS-Zertifikat eines Containers beschrieben — mit zwei Besonderheiten:

  • Adresse (SAN): Die Anwendung kennt ihren eigenen externen Namen/IP nicht von selbst. Die Adressprüfung erfolgt nur, wenn Sie in den Server-Einstellungen die öffentliche Adresse der Anwendung hinterlegt haben — sonst wird dieser Schritt übersprungen.
  • Vertrauenskette: Ob Ihr Browser dem Zertifikat vertraut, entscheidet der Browser anhand seines eigenen Vertrauensspeichers. Die Anwendung zeigt die Ketteninformation deshalb nur als Hinweis an, nicht als harte Anforderung.

Vor dem Hochladen prüfen

Wie beim Container können Sie ein neues Zertifikat (als PKCS#12-Datei mit Passwort) vorab prüfen lassen, ohne es zu installieren. Zusätzlich wird geprüft, dass der private Schlüssel zum Zertifikat passt — andernfalls würde die Anwendung nach dem Austausch nicht mehr erreichbar sein.

tipp

Nutzen Sie die Vorab-Prüfung immer. Erkennt sie z. B. „abgelaufen" oder „Schlüssel passt nicht zum Zertifikat", beheben Sie das vor dem Austausch.

Hochladen und automatischer Neustart

Nach erfolgreicher Prüfung wird das Zertifikat angewendet: Die Anwendung tauscht ihr Server-Zertifikat aus und lädt den TLS-Dienst im laufenden Betrieb neu — ohne Ausfallzeit. Sie müssen den Server nicht manuell neu starten.

Die Oberfläche zeigt anschließend „Zertifikat wird aktiviert…" und lädt die Seite automatisch neu, sobald das neue Zertifikat aktiv ist. Sie müssen also nichts klicken.

warnung

Wenn das neue Zertifikat von Ihrem Browser nicht als vertrauenswürdig eingestuft wird (z. B. ein neues selbstsigniertes Zertifikat oder eine dem Browser unbekannte CA), zeigt der Browser nach dem Neuladen eine Zertifikatswarnung. Das ist unvermeidbar und liegt am Browser, nicht an der Anwendung. Stellen Sie sicher, dass das Zertifikat von einer CA stammt, der Ihre Clients vertrauen.

info

Sollte ein versehentlich ungültiges Zertifikat eingespielt worden sein und die Oberfläche dadurch nicht mehr erreichbar sein: Das vorherige Zertifikat wird als Sicherung aufbewahrt. Wenden Sie sich an Ihren Administrator/Support — die Zertifikatsdateien lassen sich serverseitig wiederherstellen.

Server-Adresse

In den Server-Einstellungen hinterlegen Sie die öffentliche Adresse, unter der die IDIAL-APP erreichbar ist (Hostname oder IP, Port). Diese Adresse wird für zwei Dinge genutzt:

  1. die Adressprüfung des eigenen Server-Zertifikats (siehe oben), und
  2. als Standard-Rückrufadresse für neu hinzugefügte Container (damit das Bereitstellen von Sperrlisten von Anfang an funktioniert).

Bei einzelnen Containern lässt sich diese Adresse bei Bedarf überschreiben.

Verwandte Themen