Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Es ist möglich, Nuclos mit SSL-Verschlüsselung laufen zu lassen. Dafür benötigen Sie ein SSL-Zertikat, dass in einen Java-Keystore eingebunden ist. Sollte Ihnen das SSL-Zertifikat noch nicht in einem Java-Keystore vorliegen, lesen Sie bitte unten auf dieser Seite nach, wie Sie einen Keystore erzeugen können.

Info

Es ist unbedingt zu empfehlen, ein von einer offiziellen Stelle signiertes Zertifikat zu verwenden. Selbst signierte Zertifikate werden von Java als unzuverlässig und somit als Sicherheitsrisiko eingestuft.


Anker
Nuclos-Installation
Nuclos-Installation
Ausführen des Nuclos-Installers

Liegt Ihnen das SSL-Zertifikat bereits in einem Java-Keystore vor, so müssen Sie auf Ihrer Nuclos-Instanz nur einmal erneut den Nuclos-Installer, der derzeit im Einsatz befindlichen Nuclos-Version ausführen, um die SSL-Verschlüsselung zu aktivieren.




Im Schritt "Server Konfiguration" aktivieren Sie dafür bitte den "Https Port" (die Portnummer können Sie frei vergeben; 443 ist der SSL-Standardport) und wählen den Ihnen vorliegende Java-Keystore aus. Sie müssten dabei das Passwort des Keystores eintragen und einmal bestätigen.



Fertig! Nach Abschluss des Installers und einem Start des Nuclos-Dienstes läuft Ihre Nuclos-Instanz mit SSL-Verschlüsselung.





Info

Bitte verifizieren Sie Ihr Zertifkat, wie es auf dieser Seite im unteren Abschnitt beschrieben ist, sollte das Zertifikat beim Aufruf der Nuclos-Webstartadresse oder beim Ausführen des Desktop-Clients nicht erkannt werden (bzw. als unzuverlässig oder ungültig eingestuft werden).



Anker
Java-Keystore
Java-Keystore
Erzeugen eines Java-Keystores


Liegt Ihnen noch kein Java-Keystore vor, so müssen Sie diesen zunächst aus den SSL-Zertifikaten erzeugen. Im folgenden Beispiel besteht das SSL-Zertifikat aus

  • einem Root-Zerfikat root.crt,
  • zwei Intermediate-Zerfikaten chain1.crt und chain2.crt
  • sowie einem privaten Schlüssel private.key.


Codeblock
languagebash
themeConfluence
root.crt
chain1.crt
chain2.crt
private.key




Das Root-Zertifikat und die Intermediate-Zertifikate müssen zuerst zu einer Datei zusammengefügt werden. Das geht z.B. einfach über den Konkatenierbefehl cat auf der Kommandozeile. Es ist aber auch möglich, dies in einem Texteditor durchzuführen.

Sind in Ihrem Fall keine Intermediate-Zertifkate vorhanden, dann kann dieser Schritt übersprungen werden.


Codeblock
languagebash
cat root.crt chain1.crt chain2.crt > certificate.crt




Jetzt kann das zusammengefügte Zertifkat mit openssl verschlüsselt werden. Dabei können Sie über die Option "-name" einen Namen vergeben.

Nach dem Absetzen des Kommandos werden Sie dazu aufgefordert, ein Passwort für den Keystore zu vergeben und dieses einmal zu bestätigen.


Codeblock
languagebash
openssl pkcs12 -export -inkey private.key -in certificate.crt -name certificate_name -out keystore.p12





Info
  • Es kann notwendig sein, dass die Erzeugung des Keystores auf dem Server selbst durchgeführt werden muss (d.h. nicht auf einem anderen Rechner).




Anschließend wird der Keystore im p12-Format noch mit dem Java-Keytool in einen Java-Keystore exportiert.

Nach dem Absetzen müssen Sie das Passwort des p12-Keystores eingeben.

Schließlich werden Sie dazu aufgefordert, ein Passwort für den Java-Keystore zu vergeben und dieses einmal zu bestätigen.


Codeblock
languagebash
keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore keystore.jks




Anker
Self-signed-certificate
Self-signed-certificate
Erzeugen eines selbst signierten Zertifikats zur Verwendung im Launcher


Um ein selbst signiertes Zertifikat in Verbindung mit dem Nuclos-Launcher verwenden zu können, müssen folgende Bedingungen erfüllt sein:

  • Das Zertifikat muss mit einem passende "subject alternative name" erzeugt worden sein.
  • Das Zertifikat muss dem Truststore des Launchers manuell hinzugefügt werden


Codeblock
keytool -genkey -keyalg RSA -alias localhost -keystore keystore.jks -storepass password -keysize 2048 -ext SAN=dns:localhost,ip:127.0.0.1 -dname "CN=test, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"


Codeblock
keytool -export -alias localhost -file localhost.cer -keystore keystore.jks


Codeblock
keytool -import -v -trustcacerts -alias localhost -file localhost.cer -keystore "<path_to_launcher>\cacerts"


Anker
Verifizierung des Java-Keystores
Verifizierung des Java-Keystores
Verifizierung des Java-Keystores


Es ist möglich, den Java-Keystore über die Kommandozeile zu verifizieren.


Mit dem Java-Keytool können Sie sich die Inhalte des Keystores auf der Kommandozeile anzeigen lassen.


Codeblock
languagebash
keytool -v -list -keystore keystore.jks