TLS-verschlüsselte Verbindungen unter Windows einrichten

Innovator stellt die Möglichkeit einer TLS-verschlüsselten Kommunikation zwischen Server- und Client-Anwendungen zur Verfügung.
Dieses Hilfethema beschreibt die Einrichtung von TLS für Windows.
Unter TLS-verschlüsselte Verbindungen unter Linux einrichten finden Sie das Vorgehen für Linux.

Voraussetzungen

Grundlegende Kenntnisse in der Server- und Client-Administration sind vorhanden.
Vorhandene Windows-Installation nach Installation auf Windows-Systemen.

Schritt 1 von 4: Anpassung für TLS

Öffnen Sie im Administrationsprogramm die Backstage-Ansicht Umgebung oder den Dialog Optionen.

Die Umgebungsvariable INO_TLS_USE setzen

Fügen Sie den Umgebungsvariablen des Benutzers die Variable INO_TLS_USE mit dem Wert 1 hinzu.
Für den Betrieb von Server-Anwendungen die Umgebungsvariable INO_TLS_CONFIG_PATH setzen

Erstellen Sie die Konfigurationsdatei tlsConfig.json in einem dedizierten Verzeichnis (Wir empfehlen C:\Users\Public\Documents\Innovator\inocert) und passen Sie die Pfade und Passwörter an Ihre Systemumgebung an. (Sehen Sie hierfür: "Schritt 2 von 4: Erstellung der Konfigurationsdatei")

Fügen Sie die Umgebungsvariable INO_TLS_CONFIG_PATH mit vollem Pfadnamen zur Konfigurationsdatei tlsConfig.json als Wert hinzu.

Schritt 2 von 4: Erstellung der Konfigurationsdatei

Um eine Server-Anwendung für die TLS-Verschlüsselung vorzubereiten, muss eine Konfigurationsdatei angelegt und an die Systemumgebung angepasst werden.

Die Konfigurationsdatei (tlsConfig.json) muss dabei folgende Struktur haben:

Kopieren

Konfigurationsdatei "tlsConfig.json"

{
    "keyStore": {
        "path": "C:/Users/Public/Documents/Innovator/16.1/inocert/keystore.p12",
        "storeType": "PKCS12",
        "password": "changeit"
    },
    "certificate": {
        "pfx": {
            "path": "C:/Users/Public/Documents/Innovator/16.1/inocert/server.pfx",
            "password": "123456-"
        },
        "certPath": "C:/Users/Public/Documents/Innovator/16.1/inocert/server.crt",
        "privateKey": {
            "path": "C:/Users/Public/Documents/Innovator/16.1/inocert/server.key"
        }
    }
}

Erklärung zur Konfigurationsdatei:

keyStore:

Spezifiziert den zu verwendenden Keystore für Java-Anwendungen.

Path: Gibt den Pfad zur Datei an, die die Zertifikate des Servers enthält. Im Beispiel ist das: "C:/Users/Public/Documents/Innovator/16.1/inocert/keystore.p12".
storeType: PKCS12 ist ein verbreitetes Format für Zertifikatsdateien.
password: Passwort für den Zugriff auf den Keystore.

certificate:

Spezifiziert die zu verwendenden Zertifikatsdateien für C- und .NET-Anwendungen.

pfx: Ein .pfx-Dateiformat (PKCS#12) enthält sowohl das Zertifikat als auch den privaten Schlüssel.
path: Gibt den Pfad zur .pfx-Datei an.
password: Passwort für den Zugriff auf die .pfx-Datei.
certPath: Gibt den Pfad zu einer .CRT im PEM-Format an, die das Zertifikat enthält.
privateKey:

path: Gibt den Pfad zur Datei an, die den privaten Schlüssel enthält. (.KEY im PEM-Format)

Schritt 3 von 4 (optional): Hinzufügen von Zertifikaten für den Betrieb von Anwendungen

Sollte sich das Zertifikat des Serverrechners nicht in einer gültigen Zertifikatskette (Root, Intermediate) befinden, müssen Root- und Intermediate-Zertifikat noch als vertrauenswürdig eingestuft werden.

Schritt 4 von 4: Aktualisierung der Dienste

Falls Sie Dienste vor der Aktivierung der TLS-Verschlüsselung genutzt haben, richten Sie diese neu ein.
Eine Anleitung zur Einrichtung von Diensten finden Sie unter: Integrierte Diensteverwaltung unter Windows.

Starten Sie alle Innovator-Dienste und alle Client-Anwendungen neu.