STAGE™
STAGE™
Breadcrumbs

Certificates in a STAGE Deployment

Eine laufende STAGE-Installation stellt drei Zertifikate bereit:

  • Management-Zertifikat

  • HTTPS-Zertifikat

  • User Directory-Zertifikat

Management-Zertifikat

Das Management-Zertifikat wird während der Cluster-Einrichtung erstellt und dient zur Verschlüsselung des Datenverkehrs zwischen dem Riedel Software Manager und dem Cluster.

Failed to load the diagram preview image.

Authentication Required

Page ID: 895189634


Wenn RSM eine Verbindung zu einem STAGE-Cluster herstellen möchte, muss der Benutzer das Management Certificate bereitstellen.

Benutzer müssen das Management-Zertifikat während der Cluster-Erstellung oder bei bestehender Verbindung zu einem Cluster herunterladen.

image-20240820-175524.png


Um eine Verbindung zu einem Cluster herzustellen, muss die URL/IP bekannt sein und das zuvor heruntergeladene Management-Zertifikat muss in RSM hochgeladen werden.

image-20240820-175627.png


Das Management-Zertifikat ist eine RSM-spezifische Datei, die sowohl das Zertifikat als auch den Schlüssel enthält und die Erweiterung .management-certificate hat, um Verwechslungen mit anderen Dateitypen zu vermeiden.

Welche Installationen müssen dies tun?

  • Jede Installation

Wann?

  • Wiederherstellung der Verbindung zu einem laufenden oder ausgefallenen Cluster für die Clusterwartung:

    • Fehlerbehebung

    • Updates

    • Überwachung

    • Sicherung/Wiederherstellung

HTTPS-Zertifikat

Das HTTPS-Zertifikat wird bei der Erstellung des Clusters erstellt und nach der Bereitstellung der STAGE Suite verwendet. Es dient zur Verschlüsselung der Daten zwischen dem STAGE-Webserver und dem PC, auf dem der Browser und die VSP-Verbindungen ausgeführt werden. In Zukunft könnten weitere Anwendungsfälle hinzukommen.

Failed to load the diagram preview image.

Authentication Required

Page ID: 895189634


Verwendung des selbstsignierten Zertifikats

STAGE verwendet bei der Erstbereitstellung ein selbstsigniertes Zertifikat, das zwar die Verschlüsselung gewährleistet, aber potenziell Man-in-the-Middle-Angriffe ermöglicht, da das Zertifikat weder vom Browser noch vom Telefon validiert werden kann. Dies führt zu bekannten Sicherheitswarnungen.

grafik-20250116-090346.png



Um Sicherheitswarnungen zu vermeiden, kann das selbstsignierte HTTPS-Zertifikat von RSM heruntergeladen und in den Browser/VSP importiert werden.

image-20240820-175703.png

Der Import in Browser/Telefone variiert je nach Browser und Betriebssystem.

Die über RSM heruntergeladene Datei ist eine .crt-Datei, die das öffentliche Zertifikat vom Webserver enthält.

Welche Installationen müssen dies tun?

  • Installationen, die kein offizielles Zertifikat haben und keine Sicherheitswarnungen in Browsern sehen möchten.

  • VSP-Benutzer, die kein offizielles Zertifikat besitzen.

Wann?

  • Jeder neue Browser, der verwendet wird.

  • Jedes neue VSP, das verwendet wird.

Muss ich nach einem Update etwas tun?

  • Nein, wenn der Cluster unverändert ist, müssen Sie nicht alle Exporte erneut durchführen.


Ausstellung eines offiziellen Zertifikats

Größere Kunden haben möglicherweise eine ordnungsgemäße Zertifikatskette von offiziellen Anbietern erworben. In diesem Fall ist es möglich, das HTTP-Zertifikat in STAGE durch ein für diese Installation ausgestelltes Zertifikat zu ersetzen. In der Regel werden Zertifikate für Hostnamen ausgestellt, entweder explizit oder mit einem Platzhalter. IP-Adressen sind ebenfalls möglich, werden jedoch nicht empfohlen.

  • stage.riedel.net

  • *.riedel.net (nicht empfohlen)

  • 192.168.1.1 (nicht empfohlen)

Kunden können dann das HTTPS-Zertifikat in einer laufenden Bereitstellung über den Riedel Software Manager ersetzen, um Sicherheitswarnungen zu beseitigen, ohne das Zertifikat in alle Browser importieren zu müssen.

image-20240820-180237.png

Da das Zertifikat vertrauenswürdig ist, können Browser und VSP die Signatur validieren.

Die hochzuladende Datei ist eine .pem-Zertifikatskette, die in dieser Reihenfolge den privaten Schlüssel, das Serverzertifikat, die Zwischenzertifikate und das Stammzertifikat enthält.

Welche Installationen müssen dies tun?

  • Installationen, die über ein offizielles Zertifikat verfügen, sollten dies tun.

  • Es handelt sich um eine einmalige Aktion, die den Aufwand für das Importieren von Zertifikaten in Browser/VSPs überflüssig macht.

Wann?

  • Nach der Cluster-Erstellung

Muss ich nach einem Update etwas tun?

  • Nein, wenn der Cluster unverändert ist, müssen Sie nicht alle Exporte erneut durchführen.

User Directory-Zertifikat

Das Benutzerverzeichniszertifikat wird verwendet, um den Datenverkehr zwischen einem externen Active Directory und STAGE zu verschlüsseln.

Failed to load the diagram preview image.

Authentication Required

Page ID: 895189634


STAGE erlaubt nur verschlüsselte Verbindungen zu externen Active Directories.

Wenn ein Kunde ein Active Directory verwendet, das ein selbstsigniertes Zertifikat und kein offizielles Zertifikat verwendet, muss STAGE so konfiguriert werden, dass es diesem Zertifikat vertraut, indem es in die Bereitstellung importiert wird. Nach dem Import können Verbindungen zum Active Directory auf der Grundlage dieses Vertrauens verschlüsselt werden.

image-20240820-181122.png


Kunden, die ein offizielles Zertifikat in ihrem Active Directory verwenden, müssen dieses nicht an STAGE übermitteln, da STAGE das Zertifikat standardmäßig validieren kann.

Welche Installationen müssen dies tun?

  • Installationen, die ein externes Active Directory verwenden möchten.

  • Das Active Directory verwendet kein vertrauenswürdiges Zertifikat.

Wann?

  • Nach der Suite-Bereitstellung, vor dem Verbinden mit einem Active Directory.

  • Nach jedem Update, das ein Update des Keycloak-Dienstes beinhaltet.

Muss ich nach einem Update etwas tun?

  • Ja, wenn der Keycloak-Dienst aktualisiert wird, muss das Zertifikat erneut importiert werden.