Cortado Support

Meine Tickets Besuche www.cortado.com
Willkommen
Anmelden
  1. Cortado Support
  2. Lösungsstartseite
  3. Weitere Optionen bei Cortado Server
  4. Verschlüsselung

Client-Zertifikate einrichten (optional)

Cortado Support
Geändert am: Fr, 14 Okt, 2022 um 11:05 VORMITTAGS
Hinweis! Der Client-Zertifikat-Modus steht für Cortado Server 11.0 nicht länger zur Verfügung.

Zertifikate erstellen bzw. hochladen

Zertifikate verteilen

Zertifikate erneuern

Zertifikate erstellen bzw. hochladen

  • Wählen Sie in der Cortado-Managementkonsole: Control Panel→ Certifica­tes→ Certificate Mode (linker Pfeil im Bild) und anschließend Change Certificate Mode (rechter Pfeil im Bild).

Client-Zertifikat-Modus ändern

Hinweis! Bitte beachten Sie bei der Nutzung neuerer IIS-Versionen (ab Ver­sion IIS 8.0, Windows Server 2012):
Wenn Sie Client-Zertifikate verwenden möchten, muss folgender Registry-Ein­trag:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProvi­ders\SCHANNEL:ClientAuthTrustMode
auf 2 (DWORD) geändert werden.

  • Sie können entweder neue Client-Zertifikate generieren (Create Certificate) oder auf vorhandene zurückgreifen (Use Certificate).

Client-Zertifikate generieren oder auswählen

Create Certificate

Sie können hier selber Client-Zertifikate erzeugen, sofern Sie dazu als Basis das mit dem Cortado-Server oder mit einer eigenen Zertifizierungsstelle selbstgenerierte Root-Zertifikat verwenden möchten. Nutzen Sie anderenfalls die Option Use Certifi­cate. Dabei stehen Ihnen drei Client-Zertifikat-Modi zur Verfügung:

Create Certificate: Zertifikat-Modus 1 wählen (Beispiel)

  • entweder je ein Zertifikat pro User (= für alle Endgeräte eines Users): Wählen Sie hierzu One certificate for each user will be created. Klicken Sie anschließend auf OK. Dies entspricht dem Zertifikat-Modus 1.
  • oder je ein Zertifikat pro Endgerät: Wählen Sie hierzu One certificate for each user device will be created. Klicken Sie anschließend auf OK. Dies entspricht dem Zertifikat-Modus 2.
  • oder ein globales Zertifikat für alle Endgeräte aller User: Wählen Sie hierzu One certificate for all users will be created. Klicken Sie anschließend auf OK. Dies entspricht dem Zertifikat-Modus 3.

Sie können ein eigenes Passwort für Nutzer/-innen/Geräte festlegen  (Set client certificate password). Wird kein Zertifikat-Passwort festgelegt, generiert der Cortado-Server automatisch ein Passwort pro Nutzer/-in/Gerät. Dieses finden Sie unter Control Panel→ Users→ Certificates (Pfeil im Bild). Übermitteln Sie es persönlich oder per Telefon an die Nutzer/-innen.

Zertifikat-Passwort eines Gerätes ablesen unter Control Panel→ Users→ Certificates

Sie können es auch per E-Mail versenden (Sicherheitsrisiko). Für eine automati­scher Verteilung stehen Ihnen die E-Mail-Vorlagen unter Global Settings→ Mail→ E-mail Settings zur Verfügung. Mit dem Platzhalter $ClientCertPwd können Sie das Passwort des Client-Zertifikats an die Benutzer/-innen schicken. Dieser Platzhalter kann in jeden der drei E-Mail-Vorlagen eingefügt werden. Beim Versenden der E-Mail wird dann automatisch das entsprechende Passwort hinterlegt.

Sie können den Zertifi­kat-Modus in der Zertifikat-Übersicht unter Control Panel→ Certificates→ Certificate Mode ablesen (Pfeil im Bild).

Anzeige des Zertifikat-Modus (Beispiel)

Use Certificate

Sie können hier vorhandene Client-Zertifikate verwenden, also bei einer offiziellen Zertifizierungsstelle gekaufte oder selbst-erstellte Zertifikate von einer eigenen Zerti­fizierungsstelle (.pfx-Dateien). Dabei stehen Ihnen zwei Client-Zertifikat-Modi zur Verfügung.

  • entweder je ein Zertifikat pro User (= für alle Endgeräte eines Users): Wählen Sie den Modus One certificate for each user will be used. Geben Sie anschließend den Pfad zu dem Ordner an, in dem sich die Client-Zertifikate befinden. Dies entspricht dem Zertifikat-Modus 1.

Use Certificate: Zertifikat-Modus 1 wählen (Beispiel)

  • oder ein globales Zertifikat für alle Endgeräte aller User: Wählen Sie den Modus One certificate for all users will be used. Wählen Sie anschließend den Pfad zum Client-Zertifikat (.pfx-Datei) und geben Sie das Zertifikat-Pass­wort ein. Dies entspricht dem Zertifikat-Modus 3.

Zertifikate verteilen

Das Client-Zertifikat (mit dem passwortgeschützten, privaten Schlüssel) wird in der Konfigurationsdatei (.tpm) für die Cortado-App gespeichert.

Die Nutzer/-innen müssen anschließend:

  1. den First Steps Wizard im User Self Service Portal ausführen (weil darin das Client-Zertifikat enthalten ist).
  2. danach das Zertifikat-Passwort eingeben (Pfeil im Bild).

Hinweis! Wurde die Cortado-App bereits von den Nutzer/-innen konfiguriert und soll nun nachträglich mit einem Client-Zertifikat gesichert werden, müssen sich die Nutzer/-innen eine Konfigurationsdatei (Basic Configuration) in der das Client-Zertifikat enthalten ist, im User Self Service Portal herunterladen (siehe auch Abschnitt Zertifikate erneuern).

Abfrage des Zertifikat-Passworts

Zertifikate erneuern

Client-Zertifikate sind ein Jahr gültig und müssen dementsprechend erneuert werden. Abhängig davon, ob Sie vom Cortado-Server generierte oder mit einer eigenen Zerti­fizierungsstelle erzeugte (bzw. gekaufte) Client-Zertifikate verwenden, müssen fol­gende Arbeitsschritte vollzogen werden:

  • Server-generierte Zertifikate: Sollten Sie Zertifikate verwenden, die vom Cortado-Server generiert wurden (siehe Abschnitt Create Certificate) ist keine Interaktion notwendig. Die Zertifikate werden kurz vor Ablauf automatisch vom Cortado-Server verlängert. Die neuen Client-Zerti­fikate (mit dem passwortgeschützten, privaten Schlüssel) werden anschließend in einer neu erzeugten Konfigurationsdatei (.tpm) gespeichert. Die Nutzer/-innen erhalten auto­matisch eine E-Mail mit der Aufforderung die neue Konfigurationsdatei im User Self Service Portal herunterzuladen (siehe auch Abschnitt E-mail Settings).
  • Eigene Nutzer-Zer­tifikate: Sollten Sie Client-Zertifikate verwenden, die Sie mit einer eigenen Zertifizierungsstelle erzeugt haben oder die von Ihnen gekauft wurden, müssen Sie diese kurz vor Ablauf der Gültigkeit ebenfalls erneuern.
    • Legen Sie dafür die neuen Client-Zertifikate (.pfx-Dateien) an den gleichen Spei­cherort wie die alten Zertifikate (siehe Abschnitt Use Certificate).
    • Um die neuen Zertifikate an die Nutzer/-innen zu verteilen, müssen neue Konfigurati­onsdateien (.tpm) erstellt werden. Wählen Sie dafür Control Panel→ Certifi­cates→ Certificate Mode→ Renew Configuration Files.
    • Bestätigen Sie die folgende Warnmeldung.

Konfigurationsdateien erneuern

  • Die neuen Client-Zerti­fikate (mit dem passwortgeschützten, privaten Schlüssel) werden anschließend in einer neu erzeugten Konfigurationsdatei (.tpm) gespeichert. Die Nutzer/-innen erhalten auto­matisch eine E-Mail mit der Aufforderung die neue Konfigurationsdatei (Basic Configuration) im User Self Service Portalherunterzuladen (siehe Bild).


    Basic Configuration unter Setup→ Devices→ Basic Configuration herunterladen und in Cortado öffnen

War diese Antwort hilfreich? Ja Nein

Feedback senden
Leider konnten wir nicht helfen. Helfen Sie uns mit Ihrem Feedback, diesen Artikel zu verbessern.

Related Articles