Wir haben in letzter Zeit zahlreiche Fragen zu SSL-Zertifikaten und zur Installation der Zertifikate bekommen. Außerdem wurden Fragen zu diesem Thema eingereicht: Konfigurieren von Alteryx Server, um diese Zertifikate zu benutzen. Im Alteryx Server Installations- und Konfigurationshandbuch wird zwar beschrieben, wie Sie SSL für Alteryx Server aktivieren, allerdings gibt es keine Anleitung zum Abrufen und Installieren von Zertifikaten für den Server.
Sie können eine Vielzahl von Tools und Methoden verwenden, um ein SSL-Zertifikat für Alteryx Server zu erhalten. In diesem Artikel verwenden wir OpenSSL, um eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu erstellen und an eine Zertifizierungsstelle (Certificate Authority, CA) zu senden, ein selbstsigniertes Zertifikat zu generieren, das Zertifikat zu installieren und Alteryx Server für die Verwendung des Zertifikats zu konfigurieren.
Hinweis: Falls OpenSSL nicht auf Ihrem Server installiert ist, können Sie unter https://slproweb.com/products/Win32OpenSSL.html eine vorkompilierte Win32- oder Win64-Binärdatei herunterladen. Beachten Sie, dass OpenSSL nicht von Alteryx entwickelt und gewartet wird. Wir stehen in keinerlei Verbindung zum OpenSSL-Projekt oder dem Anbieter dieser vorkompilierten Binärdatei. Verwenden Sie eine beliebige Open-SSL-Implementierung, mit der Sie vertraut sind.
Erstellen einer Zertifikatsignieranforderung mit OpenSSL:
Um eine CSR zu generieren, öffnen Sie eine Administratoreingabeaufforderung auf Ihrem Server und navigieren Sie zum Verzeichnis, das die Datei OpenSSL.exe und Ihre Konfigurationsdatei enthält. Führen Sie dort den folgenden Befehl aus:
openssl.exe req -config openssl.cfg -out ServerName.csr -new -newkey rsa:2048 -nodes -keyout ServerName.key
Daraufhin werden Sie aufgefordert, verschiedene Fragen zu Ihrem Unternehmen und zum Server zu beantworten. Sie können den angehängten Screenshot zwar als Referenz verwenden, allerdings sollten Sie die Fragen mit Angaben zu Ihrem Unternehmen und Ihrem Server beantworten.
Dieser Befehl erstellt zwei Dateien im gleichen Verzeichnis mit den Endungen .csr und .key. Diese Dateien müssen bei der Zertifizierungsstelle vorgelegt werden, um ein Zertifikat erstellen zu können. Sie können entweder eine interne ZS oder eine öffentliche ZS wie etwa Verisign, GeoTrust, DigiCert, Entrust, StartCom usw. verwenden. Von der ZS erhalten Sie ein signiertes Zertifikat als Datei mit einer der Endungen .crt, .cer, .pem oder .pfx.
Erstellen eines selbstsignierten Zertifikats mit OpenSSL:
Mit OpenSSL können Sie ein selbstsigniertes Zertifikat erstellen. Diese Zertifikate werden zwar nicht für Produktionsumgebungen empfohlen, können jedoch in anderen Situationen hilfreich sein. Mögliche Einsatzbereiche sind Entwicklungs- und Laborumgebungen oder Tests von Funktionen vor dem Kauf eines Zertifikats von einer öffentlichen ZS. Gehen Sie unabhängig vom geplanten Einsatz des Zertifikats wie folgt vor:
Öffnen Sie eine Administratoreingabeaufforderung auf Ihrem Server und navigieren Sie zu Ihrem OpenSSL-Verzeichnis. Führen Sie dort die folgenden Befehle aus:
openssl.exe req -config openssl.cfg -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout ServerName.key -out ServerName.crt
openssl.exe pkcs12 -export -out ServerName.pfx -inkey ServerName.key -in ServerName.crt
Der erste Befehl generiert ein signiertes Zertifikat (.crt-Datei) und einen privaten Schlüssel (.key-Datei). Der zweite Befehl erstellt ein kombiniertes Zertifikat und eine Schlüsseldatei im .pfx-Format aus dem Zertifikat und dem Schlüssel, die Sie generiert haben. Bei diesem Vorgang werden Ihnen dieselben oder ähnliche Fragen gestellt wie beim Generieren einer Zertifikatsignieranforderung. Beachten Sie die folgenden Screenshots:
Hinweis: Wie bereits erwähnt raten wir davon ab, selbstsignierte Zertifikate in Produktionsumgebungen einzusetzen.
Installieren des Zertifikats:
Sobald wir das signierte Zertifikat von der ZS erhalten oder ein selbstsigniertes Zertifikat generiert haben, müssen wir es installieren. Um das Zertifikat zu installieren, müssen wir eine Microsoft Management Console (MMC) öffnen und das Zertifikat-Snap-In aufrufen. Gehen Sie dazu wie folgt vor:
Klicken Sie auf „Start“ und dann auf „Ausführen“.
Geben Sie in der Befehlszeile „MMC“ ein und klicken Sie auf OK.
Klicken Sie in der Microsoft Management Console (MMC) im Menü „Datei“ auf „Snap-In hinzufügen/entfernen“.
Klicken Sie im Dialogfeld „Snap-In hinzufügen/entfernen“ auf „Hinzufügen“.
Wählen Sie im Dialogfeld „Eigenständiges Snap-In hinzufügen“ die Option „Zertifikate“ aus und klicken Sie auf „Hinzufügen“.
Wählen Sie im Dialogfeld „Zertifikat-Snap-In“ das Optionsfeld „Computerkonto“ aus, um das Zertifikat für alle Benutzer verfügbar zu machen, und klicken Sie auf „Weiter“.
Belassen Sie im Dialogfeld „Computer auswählen“ die vorausgewählte Option „Lokaler Computer, auf dem diese Konsole ausgeführt wird“ und klicken Sie auf „Fertig stellen“.
Klicken Sie im Dialogfeld „Eigenständiges Snap-In hinzufügen“ auf „Schließen“.
Klicken Sie im Dialogfeld „Snap-In hinzufügen/entfernen“ auf OK.
Im nächsten Schritt werden wir das Zertifikat importieren. So wird es gemacht:
Erweitern Sie die Einträge „Zertifikate -> Persönlich“
Klicken Sie unter „Persönlich“ mit der rechten Maustaste auf „Zertifikate“.
Wählen Sie „Alle Aufgaben > Importieren“ aus.
Daraufhin wird der Zertifikatimport-Assistent geöffnet.
Klicken Sie auf Weiter.
Navigieren Sie zu der Zertifikatdatei, die Sie von Ihrer ZS erhalten haben, oder zur .pfx-Datei, die Sie mit der Anleitung für selbstsignierte Zertifikate erstellt haben.
Klicken Sie auf Weiter.
Falls Sie ein selbstsigniertes Zertifikat verwenden oder falls Ihre ZS ein Zertifikat mit einem privaten Schlüssel ausgestellt hat, werden Sie aufgefordert, Ihr Kennwort bzw. Ihre Passphrase einzugeben. Andernfalls überspringt der Importassistent diesen Schritt.
Geben Sie das Kennwort ein
Aktivieren Sie das Kontrollkästchen, um diesen Schlüssel als exportierbar zu markieren.
Klicken Sie auf Weiter.
Wählen Sie im nächsten Bildschirm aus, wo Sie das Zertifikat ablegen möchten. Dort sollte bereits der Zertifikatspeicher „Persönlich“ ausgewählt sein.
Wählen Sie ggf. den Zertifikatspeicher „Persönlich“ aus.
Klicken Sie auf „Weiter“.
Klicken Sie im nächsten Bildschirm auf „fertigstellen“.
Falls Sie ein selbstsigniertes Zertifikat verwenden, müssen wir diese Schritte wiederholen, um den lokalen Server als vertrauenswürdige Zertifizierungsstelle zu definieren. Wiederholen Sie dazu die oben beschriebenen Schritte, um das Zertifikat erneut zu installieren. Dieses mal installieren Sie es jedoch nicht in den Speicher „Persönlich“, sondern „Vertrauenswürdige Stammzertifizierungsstellen“. Erweitern Sie dazu den Eintrag „Vertrauenswürdige Stammzertifizierungsstellen“, klicken Sie mit der rechten Maustaste auf „Zertifikate“ und wählen Sie „Alle Aufgaben -> Importieren“ aus, oder ändern Sie den Zertifikatspeicher am Ende des Importassistenten.
Konfigurieren von Alteryx Server für die Verwendung des Zertifikats:
Ab diesem Punkt können Sie den ausführlichen Anweisungen im Alteryx Server Installations- und Konfigurationshandbuch folgen, um die Konfiguration abzuschließen. Als Alternative (und der Vollständigkeit halber) können Sie hier mit den vereinfachten Anweisungen fortfahren.
Zunächst benötigen Sie den Zertifikatfingerabdruck für das Zertifikat, das Sie zuvor installiert haben. Klicken Sie dazu unter „MMC > Zertifikate > Persönlich > Zertifikate“ mit der rechten Maustaste auf das installierte Zertifikat und wählen Sie „Öffnen“ aus. Daraufhin wird ein Zertifikatdialog für das installierte Zertifikat geöffnet. Wählen Sie dort die Registerkarte „Details“ aus und suchen Sie das Feld „Fingerabdruck“. Kopieren Sie den Wert und entfernen Sie alle Leerzeichen (z.B. 74d4ca722e2954cd225f9b4697d2fc7f6747194c).
Anschließend müssen Sie den HTTP Port 443 an das Zertifikat binden. Öffnen Sie dazu erneut Ihre Administratoreingabeaufforderung. Führen Sie dann den folgenden Befehl aus und ersetzen Sie den certhash durch den Fingerabdruckwert aus dem vorherigen Schritt:
netsh http add sslcert ipport=0.0.0.0:443 certhash=74d4ca722e2954cd225f9b4697d2fc7f6747194c appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Führen Sie den folgenden Befehl aus, um die Bindung zu überprüfen:
netsh http show sslcert
Hinweis: Wenn Sie ein abgelaufenes oder ablaufendes Zertifikat erneuern, müssen Sie die aktuelle Bindung löschen (netsh http delete sslcert ipport=0.0.0.0:443), den Fingerabdruck des neuen Zertifikats erfassen und das Zertifikat anschließend mit den obigen Anweisungen erneut binden.
Im letzten Schritt konfigurieren Sie den Gallery-Dienst für die Verwendung von SSL. Öffnen Sie dazu die Alteryx-Systemeinstellungen und klicken Sie auf „Weiter“, bis Sie zu „Gallery -> Allgemein“ gelangen. Suchen Sie dort den Abschnitt „Basisadresse“ und markieren Sie das Feld, um SSL zu aktivieren. Klicken Sie dann auf „Weiter“, „Fertigstellen“ oder „Fertig“, um die Änderungen an den Einstellungen zu übernehmen und den Alteryx-Dienst neu zu starten.
Hinweis: Die URL muss mit dem Namen übereinstimmen, für den das Zertifikat ausgestellt wurde. Wenn also das Zertifikat für den vollqualifizierten Domänennamen des Servers ausgestellt wurde (z. B. hostname.domain.tld), dann muss Ihre URL damit übereinstimmen und https://hostname.domain.tld/gallery/ lauten. Falls das Zertifikat nur für den Hostnamen ausgestellt wurde, müssen Sie https://hostname/gallery/ verwenden. Falls die URL nicht mit dem Zertifikat übereinstimmt, wird der Dienst nicht korrekt gestartet.
Gültig für Versionen: Alteryx Server 10.0 10.1
Danksagungen:
Vollständigen Artikel anzeigen