Zertifikate verteilen

268 views 0

Auf den Hubs können Zertifikate für verschiedene Verschlüsselungsaufgaben installiert werden:

  1. von einer Workstation aus:
    Zugriff mit Internetbrowser auf die Webkonsole eines Hubs per https
  2. von einem Hub aus:
    IEEE-802.1X-Authentifizierung für die Anmel­dung eines Hubs an anderen Geräten (in der Regel in Verbindung mit einem Radius-Server)
  3. von einer ThinPrint Engine aus:
    Senden von Druckdaten zum ThinPrint Client eines Hubs
  4. von einem Hub (Release Station) aus:
    Authentifizierung von Nutzer/innen mit Hilfe einer Release Station am Personal-Printing-Server per https

Alle Zertifikate müssen zuerst in das NoTouch Center hochgeladen werden. Dann können sie von dort auf die Hubs verteilt werden.

Zertifikate bereitstellen

Verschlüsselungsaufgaben

Für die oben beschriebenen Verschlüsselungsaufgaben benötigen Sie folgende Zertifikate:

  1. Webserver-Zertifikat für die Konfigurationskonsole des Hubs
    Der Name des – individuellen – Zertifikats muss mit dem Namen oder der IP-Adresse des jeweiligen Hubs übereinstimmen.
  2. Zertifikat eines technischen Nutzers
    Der/die Hub/s melden sich mit diesem – globalen – Zertifikat am Authentifizierungsserver an.
  3. Zertifikat für den ThinPrint Client
    Mit diesem Server-Zertifikat (!) authentifiziert sich der ThinPrint Client (des Hubs) an der ThinPrint Engine. Das Zertifikat kann – global – für alle ThinPrint Clients gelten oder – individuell – für den jeweiligen ThinPrint Hub.
  4. Ausstellerzertifikat für die Authentifizierung am Personal-Printing-Server
    Mit dem Aufbau der Verbindung zum Personal-Printing-Server per https schickt dieser sein Webserver-Zertifikat, das der Hub mit einem dazugehörigen Ausstellerzertifikat auf Gültigkeit prüfen muss. Das Ausstellerzertifikat kann sowohl ein Stamm- als auch ein Zwischenzertifikat einer Zertifizierungsstelle sein.

Die oben beschriebenen Zertifikate können Sie entweder bei einem Anbieter von Zertifikaten (wie thawte.de, digicert.com, letsencrypt.org oder bundesdruckerei.de) erwerben oder mit Hilfe einer Zertifizierungsstelle selbst generieren. Punkt 4. entfällt bei Verwendung von gekauften Zertifikaten solcher Anbieter, weil dann die dazugehörigen Ausstellerzertifikate bereits im Betriebssystem der beteiligten Rechner bzw. Hubs vorhanden sind.

Tipp: Die in 1. beschriebenen Webserver-Zertifikate dienen ausschließlich der Verbindung zur Webkonsole der Hubs per https. Um hierbei Zertifikatfehlermeldungen des verwendeten Browsers zu vermeiden, beachten Sie bitte:

  • Pflegen Sie die Hostnamen oder FQDNs der Hubs in das Domain Name SystemDNS – Ihres Active Directorys ein.
  • Geben Sie zum Aufruf der Webkonsole eines Hubs den Hostnamen bzw. den FQDN in der Adresszeile des Browsers an, z. B.:
    https://TPHub-d2067e
  • Bei selbst generierten Zertifikaten installieren Sie als erstes das Austellerzertifikat (Stamm- bzw. Zwischenzertifikat) Ihrer Zertifizierungsstelle auf der Workstation, von der aus Sie die Webkonsole der Hubs öffnen wollen.
  • Bei Verwendung von Firefox muss das Austellerzertifikat (Stamm- bzw. Zwischenzertifikat) in der Regel zusätzlich im Browser selbst als Zertifizierungsstelle importiert und für das Identifizieren von Webseiten aktiviert werden:

  • Bei Verwendung von Chrome oder eines chrombasierten Browsers (wie Brave, Opera oder Vivaldi) muss beim Generieren der Zertifikate der Hostname bzw. FQDN zusätzlich als Common name angegeben werden:

  • Bei Verwendung des Hostnamens oder FQDNs erhalten Sie bei Klick auf den NoTouch-Center-Button Device’s Web Interface eine Zertifikatfehlermeldung von Ihrem Browser, weil das NoTouch Center die Verbindung zum Hub mit seiner IP-Adresse herstellt, z. B.:
    https://192.168.149.61

Dateiformate ggf. konvertieren

Das NoTouch Center unterstützt folgende Dateiformate der Zertifikatsdateien:

  • .pem für die in Punkt 1 bis 3 genannten Zertifikatstypen
  • .crt für den in Punkt 4 genannten Zertifikatstyp

Falls Ihre Zertifikate nur in den Formaten .pfx und .cer vorliegen, müssen Sie diese zuvor konvertieren. Hierzu können Sie OpenSSL (für Linux oder Windows) verwenden.

Beispiel für die Konvertierung eines Server-Zertifikats von .pfx nach .pem (Punkte 1 und 3) mit OpenSSL für Windows:

pkcs12 -in D:\certificates\ReleaseStation-03.pfx -passin pass:12345 -out D:\certificates\ReleaseStation-03.pem -passout pass:12345 -nodes

Beispiel für die Konvertierung des Zertifikats eines technischen Nutzers von .pfx nach .pem (Punk 2) mit OpenSSL für Windows:

pkcs12 -in D:\certificates\HubService.pfx -passin pass:12345 -out D:\certificates\HubService.pem -passout pass:12345 -nodes

Beispiel für die Konvertierung eines Stammzertifikats von .cer nach .crt (Punkt 4) mit OpenSSL für Windows:

x509 -inform DER -in D:\certificates\certsrv05-CA.cer -out D:\certificates\certsrv05-CA.crt

Zertifikate hochladen

  • Zum Hochladen von Zertifikaten wählen Sie Resources→ Certificates.

  • Alternativ können Sie Manage→ Certificates verwenden.

1. Webserver-Zertifikate der Hubs

  • Wechseln Sie auf die Seite Assignable Certificates (siehe Cursor).

  • Ziehen Sie die Webserver-Zertifikate der Hubs in das Feld Drop Files Here.
  • Klicken Sie den Button Upload All, um die Zertifkate auf das NoTouch Center hochzuladen.

Anschließend erscheinen die Hub-Zertifikate in der Liste der Zertifikate, die einzelnen Hubs zugewiesen werden können (Assignable Certificates).

2. Zertifikat eines technischen Nutzers

  • Bleiben Sie auf der Seite Global Certificates, oder wechseln Sie dorthin (siehe Cursor).

  • Ziehen Sie das Zertifikat des technischen Nutzers für die Anmeldung an einem Authentifizierungsserver in das Feld Drop Files Here.
  • Klicken Sie den Button Upload All, um das Zertifkat auf das NoTouch Center hochzuladen.

Anschließend erscheint das Zertifikat des technischen Nutzers in der Liste der Zertifikate, die allen Hubs zugewiesen werden (Global Certificates).

3. Server-Zertifikat der ThinPrint Clients

  • Bleiben Sie auf der Seite Global Certificates, oder wechseln Sie dorthin (siehe Cursor).

  • Ziehen Sie das Zertifikat des ThinPrint Clients für den Empfang verschlüsselter Druckaufträge in das Feld Drop Files Here.
  • Klicken Sie den Button Upload All, um das Zertifkat auf das NoTouch Center hochzuladen.

Anschließend erscheint das Zertifikat des ThinPrint Clients in der Liste der Zertifikate, die allen Hubs zugewiesen werden (Global Certificates).

Alternativ ist es möglich, jedem ThinPrint Client ein eigenen Zertifikat zuzuweisen. In diesem Fall verfahren Sie wie oben im Abschnitt 1. Webserver-Zertifikate der Hubs.

4. Ausstellerzertifikat für Personal-Printing-Authentifizierung

Diese Option benötigen Sie nur, wenn Sie selbst generierte Zertifikate Ihrer eigenen Zertifizierungsstelle für Personal Printing verwenden wollen.

  • Bleiben Sie auf der Seite Global Certificates, oder wechseln Sie dorthin (siehe Cursor).

  • Ziehen Sie das Stamm- oder Zwischenzertifikat Ihrer Zertifizierungsstelle in das Feld Drop Files Here.
  • Klicken Sie den Button Upload All, um das Zertifkat auf das NoTouch Center hochzuladen.

Anschließend erscheint das Stamm- oder Zwischenzertifikat in der Liste der Zertifikate, die allen Hubs zugewiesen werden (Global Certificates).

Zertifikate auf die Hubs verteilen

Globale Zertifikate

  • Alle globalen Zertifikate (siehe oben Zertifikate hochladen) werden mit jedem Aufruf der Funktion Announce oder nach Ablauf des Management Announce Intervals auf alle zugewiesenen Hubs verteilt. Lediglich die im Container Unassigned befindlichen Hubs sind nicht betroffen.

Zertifikate, die einzelnen Hubs zugewiesen werden können

  • Alle als Assignable Certificates hochgeladenen Zertifikate (siehe oben Zertifikate hochladen) werden nur dann auf Hubs verteilt, wenn diese zuvor einem Hub oder einer Gruppe zugewiesen wurden, hier: TPHub-d2067e.pem und ThinPrint Client.pem.
  • Markieren Sie hierzu den gewünschten Hub (hier: TPHub-d2068e) oder die Group Settings seiner Gruppe, und wählen Sie dort den Reiter Certificates.
  • Wählen Sie mit dem Drop-down-Menü die Zertifikate aus und aktivieren Sie sie jeweils mit dem Schieben des betreffenden Schalters auf On. Bestätigen Sie mit dem Save-Button.

  • Die Verteilung dieser Zertifikate erfolgt ebenfalls mit jedem Aufruf der Funktion Announce oder nach Ablauf des Management Announce Intervals auf alle zugewiesenen Hubs. Lediglich die im Container Unassigned befindlichen Hubs sind nicht betroffen.

 

Previous Page
Next Page

War dies hilfreich?