Installation Zertifikaten
Eine sichere Verbindung von Benutzern auf den Topal Server werden Zertifikate benötigt. Die Erstellung der Server- wie auch der Benutzerzertifikate kann durch eine offizielle Stelle (z.B. SwissSign), oder durch Sie selbst (Self Signed) erzeugt werden.
Topal wird standardmässig mit dem Root Zertifikat Topal Solution CA ausgeliefert. Wollen Sie aber Ihr Firmen eigenes Root-Zertifikat installieren (Abbildung 1) sind folgende Schritte zu vollziehen:
1. Importieren des Root Zertifikats: Öffnen Sie den Certifikatsmanager via Windows Suchfeld [MMC]. Öffnen Sie bitte das Directory [Vertrauenswürdige Stammzertifizierungsstellen | Zertifikate]. Die Details zum Aufruf finden Sie im Kapitel Zertifikatsmanager.
2. Bitte folgen Sie beim Import des Root Zertifikats den folgenden Schritten:
Abbildung 1: Installation des Root Zertifikats
Die Installation des Server Zertifikats erfolgt via Server Agent. Wie bereits erwähnt erlaubt Topal die Erstellung mehrerer Instanzen. Entsprechend müssen bei der Verwendung von Zertifikaten pro Serverinstanz das entsprechende Zertifikat installiert werden. Folgen Sie den unten aufgeführten Schritten.
1. Öffnen Sie im Server Agent zur Installation des Zertifikats den Menüpunkt [Netzwerk Einstellungen] (Abbildung 2) der entsprechende Instanz.
Abbildung 2: Installation von Server Zertifikaten im Server Agent - Netzwerk Einstellungen
2. Aktivieren Sie die Checkbox SSL Verbindung verwenden
3. Wählen Sie den Button [Zertifikat ändern] (Abbildung 3) zum importieren des Zertifikats und bestätigen Sie mit [OK].
Abbildung 3: Installation von Server Zertifikaten im Server Agent - Zertifikat ändern
4. Geben Sie das Passwort des Server Zertifikats ein.
5. Durchlaufen Sie die Schritte 1 - 4 für die Installation von weiteren Instanzen und deren Serverzertifikate.
Bemerkung:
Ein Login in Topal ist weiterhin auch ohne Zertifikate möglich. So besteht die Möglichkeit interne Benutzer ohne Zertifikate mit Topal arbeiten zu lassen und externe Zugriffe von Benutzern via Zertifikat zu sichern. Dies kann via der Checkbox "Verwenden von Zertifikaten für die Benutzer Authorisierung" gesteuert werden.
1. Erstellen Sie die neuen Benutzer oder verwenden Sie bereits existierende Benutzer.
2. Aktivieren der Zertifikatsanforderung der Benutzer. Wählen Sie den Benutzer und aktivieren Sie die Checkbox [SSL Zertifikat verwenden] (Abbildung 4). Der Zertifikatsdialog zum importieren des entsprechende Benutzer Zertifikats wird geöffnet. Wählen Sie das Zertifikat aus und bestätigen Sie mit [OK]. Mit der Aktivierung des Benutzerzertifikats wird der Benutzer gezwungen sein SSL Zertifikat zu verwenden. Ein Einloggen in Topal ist somit nur noch mit dem Benutzerzertifikat möglich. Diese Form der Client/Server Authentisierung wird 2-way SSL Kommunikation genannt.
Abbildung 4: Installation von Benutzer Zertifikaten im Server Agent - SSL Zertifikat verwenden
Das installierte Benutzer-Zertifikat kann via Menüknopf [Ansicht] jederzeit verifizieren.
3. Widerholen Sie die Schritte 1 und 2 für weitere Benutzer.
1. Starten Sie bitte den Topal Client. Im Login Dialog aktivieren Sie die Checkbox SSL Verwenden (Abbildung 5)
Abbildung 5: Installation von Benutzer Zertifikaten im Client - SSL verwenden
Mit der Aktivierung der SSL Checkbox erscheint ein neues Symbol (SSL Certificate) auf dem Login Dialog. Dieses Symbol ist als Button implementiert und dient dazu das Benutzerzertifikats zu importieren.
2. Drücken Sie den [OK] Button um Topal zu starten. Geben Sie Ihren Benutzernamen ein. Wurde mit diesem Benutzer das erste mal eingeloggt wird ein Dialog angezeigt, der das Serverzertifikat reflektiert. Entspricht das Zertifikat dem gewünschten Serverzertifikat akzeptieren Sie dies. Sollte es sich um das falsche Zertifikat handeln, lehnen Sie dieses ab. Sollte beim Verbindungsaufbau des Benutzers zum Server die Zertikatsverifikation gemäss Abbildung 6 rechts mit einem "Policy Error" erscheinen, liegt es daran, dass das von Ihnen verwendete Rootzertifikat auf dem Clientrechner nicht installiert worden ist. Um dies zu installieren, führen Sie bitte die Schritte unter Installation des Root Zertifikats durch.
Abbildung 6: Topal Server Zertifikat akzeptieren/ablehnen
3. Zum momentanen Zeitpunkt wurde erst das Serverzertifikat bestätigt. Drücken Sie den [OK] Button um Topal zu starten. Die folgende Meldung (Abbildung 7) erscheint, da das Benutzerzertifikat für diesen Benutzer noch nicht eingerichtet worden ist. Bestätigen Sie die Meldung mit [OK]
Abbildung 7: fehlender SSL Benutzer Zertifikat
4. Drücken Sie das Symbol [SSL Zertifikat] im Topal Logindialog. Sollte das Zertifikat nicht verfügbar sein, importieren Sie dieses via [Import] Button. Da es sich bei dieser Art der Kommunikation um eine 2-way SSL Kommunikation handelt müssen Sie die Checkbox "Benutzer Zertifikat verwenden (2-way SSL)" (siehe folgende Abbildung 8).
Abbildung 8: Checkbox "Benutzer Zertifikat verwenden (2-way SSL)" aktivieren
Wählen Sie das entsprechende Zertifikat aus und bestätigen Sie mit [OK]. Das Benutzerzertifikat ist somit für diesen Benutzer installiert.
5. Starten Sie nun Topal nochmals und drücken Sie den [OK] Button. Nun wird Topal in angestammter Weise gestartet.
Im Abschnitt Installation von Benutzer Zertifikaten im Server Agent wurde die Zuweisung von einzelnen Benutzern beschrieben. Es liegt in der Natur des Menschen, dass auch gewisse Konfigurationen (z.B. das forcieren von Zertifikaten für einzelne Benutzer) vergessen gehen können. Topal hat aus diesem Grund eine zusätzliche Funktion eingebaut, die die Verwendung von Zertifikaten für alle Benutzer zu forciert. Die Einstellung kann via [Topal Server Administration | Instanzname | Netzwereinstellungen] vorgenommen werden. Es ist jedoch zwischen einer 1-way und einer 2-way SSL Kommunikation zu unterscheiden. Das forcieren von SSL Verbindungen via "Nur SSL Verbindungen erlauben" handelt es sich um eine 1-way SSL Kommunikation. Dabei wird der Benutzer gezwungen SSL zu aktivieren. Geschieht dies, wird die Datenkommunikation verschlüsselt. Der Benutzer weiss nun, dass er mit dem Topal Server kommuniziert, da er das Zertifikat des Servers erhalten hat. Der Server hingegen weiss nicht, ob der Client ein legitimierter Client ist, da kein Zertifikat vom Benutzerrechner (Client) an den Server zur Authentisierung gesendet wurde. Soll der Benutzerrechner vom Topal Server authentisiert werden, muss ein Benutzer Zertifikat auf dem entsprechenden Rechener installiert werden (2-way SSL Kommunikation). Die Konfiguration einer 2-way SSL Kommunikation ist im Kapitel Installation von Benutzer Zertifikaten im Server Agent beschrieben.
Abbildung 9: Netzwerk Einstellungen - Verwendung von Zertifikaten forcieren
Wird die Checkbox "Nur SSL Verbindungen erlauben" aktiviert, muss gezwungenermassen auch die Verbindung mit dem Topal Server Agent mit einem Zertifikat hinterlegt werden. Entsprechend ist für den System Benutzer (Abbildung 10) ein Zertifikat zu erstellen und zu installieren.
Abbildung 10: SSL Server Zertifikat verwenden
Die Erstellung des Systembenutzer - Zertifikat's wir in der selben Weise wie die Erstellung von Benutzerzertifikate erreicht. Der Import des Zertifikats wird bei der Aktivierung der Checkbox gestartet.