Zertifikate

Ein Zertifikat wird verwendet, um die Verbindung zum Server abzusichern. Es bestätigt die Herkunft der empfangenen Daten und trägt den öffentlichen Schlüssel zur Verschlüsselung der Daten mit sich.

Status der Zertifikate

Ein Zertifikat läuft nach einer gewissen Zeit aus. Antcas Control erneuert diese daher vor dem Ablaufen. Der aktuelle Status wird unten rechts im Editor angezeigt. Wenn ein Zertifikat nur noch 7 Tage oder weniger gültig ist, wird auch eine Warnmeldung in der Visualisierung angezeigt.

Funktionsweise und Beispiel

Das Zertifikat wird stets auf einen FQDN (Fully Qualified Domain Name oder vollständiger Name einer Domain) aufgelöst. Zu diesem Zweck ist es notwendig, dass die IP vom Antcas Server über einen DNS-Server aufgelöst werden muss. Dies kann entweder im eigenen Netzwerk erfolgen oder auch über eine öffentliche Adresse. Siehe DNS und Portweiterleitung.

  1. Adresse https://home.my.antcas.com:8000/ wird abgerufen
  2. Der FQDN home.my.antcas.com wird an den DNS-Server des Hosts übermittelt. Die Server werden i.d.R. vom DHCP-Server im Netzwerk übermittelt. Können aber auch manuell konfiguriert werden.
  3. Die Adresse wurde auf dem DNS-Server hinterlegt:
    1. Die konfigurierte interne IP-Adresse wird zurückgegeben
  4. Die Adresse ist nicht bekannt:
    1. Es wird auf dem nächsten öffentlichen DNS-Server (auch Nameserver genannt) nach dem FQDN gesucht
    2. Die Anfrage geht via öffentlicher DNS-Server auf my.antcas.com, dieser gibt dann die letzte bekannte öffentliche IP-Adresse zurück. Handelt es sich um eine andere Domain als antcas.com, so wird beim DynDNS oder DNS-Dienstanbieter nach dem FQDN gesucht.
  5. Nachdem die IP an den Browser übermittelt wurde, wird eine verschlüsselte TLS-Verbindung aufgebaut.
  6. Nach dem Handshake wird das Zertifikat und die Herkunft der Adresse geprüft. Der Herausgeber des Zertifikates muss mit dem eingegebenem FQDN übereinstimmen.

Hinweis: Die Adresse kann sowohl intern, als auch extern aufgelöst werden. D.h. bei einer lokalen Netzwerkverbindung wird die Verbindung direkt aufgebaut. Mit dieser Methode funktioniert die Kommunikation auch bei einem Internetunterbruch weiter.

Konfiguration

Alle Einstellungen finden Sie in der Infrastruktur. Ein Zertifikat lautet immer auf den FQDN. Dieser wird vom Server-Hostnamen und den einzelnen Netzwerkschnittstellen unter Erweitert konfiguriert.

Hinweis: Wird ein neues Zertifikat installiert, so muss ev. der Browser neu gestartet werden, um es korrekt anzuzeigen.

Cloud-Zertifikat

Endet der FQDN mit .my.antcas.com, wird das Zertifikat automatisch von Antcas Hub heruntergeladen. Bei dieser Methode ist keine spezifische Konfiguration des Routers notwendig. Der vorangehende Name kann dabei frei gewählt werden.

Hinweis: Falls ein DynDNS-Dienst verwendet wird, achten Sie darauf, dass der Hostname mit der Adresse des Dienstes übereinstimmt.

Externe Zertifikate

Um ein externes Zertifikat zu verwenden, kann dieses in der Infrastruktur unter Zertifikate im Ordner Extern hochgeladen werden. Ein eigenes Zertifikat hat vor allen anderen Methoden, eine höhere Priorität. Läuft dieses jedoch aus, so werden automatisch andere Methoden verwendet.

Das hochgeladene Zertifikat muss im Format PEM vorliegen und muss den privaten Schlüssel und das Zertifikat gleichzeitig beinhalten. Ist dies nicht der Fall, so kann dies mittels Texteditor zusammengeführt werden. Die Reihenfolge muss dafür nicht beachtet werden. Es muss darauf geachtet werden, dass ein Zeilenumbruch zwischen den Teilen stehen muss. Ausserdem ist es wichtig, dass die eine Domäne (CN) im Subjekt steht.

Zertifikat von Let's Encrypt oder ZeroSSL

Wird keine der oben beschriebenen Methoden verwendet und beinhaltet der Name eine TLD, so wird versucht ein Zertifikat zu beantragen. Dazu muss der eingegebene Name in einen öffentlichen DNS-Server eingetragen sein.

Ausserdem muss der Port 80 auf dem Server von aussen erreichbar sein. Verwenden mehrere Server diese Methode, so kann ein ACME-Relais eingerichtet werden. Dies wird weiter unten beschrieben.

Nach ca. 2 bis 5 Minuten müsste nun das gültige Zertifikat installiert worden sein. Tritt ein Fehler auf, so kann der Vorgang wiederholt werden, wenn im Zertifikat auf Erneuern gedrückt wird.

Hinweis: Zu viele Wiederholungen können zur vorübergehenden Sperre führen. Warten Sie einen Moment, bevor Sie den Vorgang wiederholen.

Kein Zertifikat

Gelingt es nicht ein Zertifikat zu erstellen, wird ein eigenes vom Server generiert. Dieses sollte aber auf keinen Fall für produktive Umgebungen eingesetzt werden.

ACME-Relais

Das ACME-Relais wird verwendet, um mehrere Server mit einem SSL-Zertifikat von Let's Encrypt oder ZeroSSL zu versorgen. Es wird dazu der TCP-Port 80 weitergeleitet.

Geben Sie dazu jede IP-Adresse oder den jeweiligen Hostnamen pro Zeile ein.

Achtung: Dies ist keine Proxy-Anwendung und sollte nur für die Zertifikate verwendet werden.