Nutzerdaten bei der Übertragung verschlüsseln

251 views 0

Personal Printing bietet die Möglichkeit, folgende Verbindungen per https zu ver­schlüsseln:

  • vom Webbrowser zum Webinterface der Release Station
  • von der Release Station oder einem anderen Authentifizierungsgerät (wie Dru­cker oder Smartphone) zum Personal-Printing-Server; diese Verschlüsselung kann verwendet werden für:
    • den Aufruf des JobViewers
    • die Authentifizierung am Drucker
      (Hierbei werden Daten wie Nutzer-ID und Passwort von den Authentifizie­rungsgeräten zum Personal-Printing-Server übermittelt.)

Webserverzertifikat für den Personal-Printing-Server generieren

Wenn Sie ein Server-Zertifikat für den Personal-Printing-Server nicht von einer öffent­lichen Zertifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Directory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzerti­fizierungsstelle auf alle Rechner verteilen, die per https auf den Personal-Printing-Ser­ver zugreifen sollen.

  • Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
  • Anschließend wechseln Sie auf den Personal-Printing-Server und öffnen dort die Zertifikatsverwaltung in der MMC.
  • Markieren Sie den Zertifikatspeicher Certificates (Local Computer)→ Perso­nal, und wählen Sie All Tasks→ Request New Certificate.

Personal-Printing-Server: Anforderung eines Webserverzertifikats für den lokalen Rechner starten

  • Im Menü Active Directory Enrollment Policy öffnen Sie die Eigenschaften des zu generierenden Web-Server-Zertifikats.

Personal-Printing-Server: Eigenschaften des Webserverzertifikats ändern

  • Bei älteren Zertifizierungsstellen kann es vorkommen, dass der Zertifikatstyp Web Server standardmäßig nicht angezeigt wird. In diesem Fall müssen Sie diesen erst auf der Zertifizierungsstelle aktivieren, indem Sie im Certifica­tion-Authority-Manager die Template-Verwaltung öffnen …

ältere Zertifizierungsstelle: Zertifikat-Templates verwalten

  • … und dort die Eigenschaften des Web-Server-Templates öffnen und im Reiter Security der Gruppe Authenticated Users das Recht Enroll gewähren.

ältere Zertifizierungsstelle: der Gruppe Authenticated Users das Recht Enroll gewähren

  • Zurück zum Personal-Printing-Server: In den Eigenschaften des zu generieren­den Web-Server-Zertifikats geben Sie im Reiter Subject den Common Name und den DNS-Namen an. Beide müssen dem Namen des Zertifikates und der Serveradresse entsprechen (dies ist eine Voraussetzung für Chrome-Browser). In der Regel ist das der FQDN des Webservers resp. des Personal-Printing-Ser­vers (aber auch Hostname oder IP-Adresse sind möglich).
Personal-Printing-Server: <span style="font-variant: small-caps;">Common Name</span> und DNS-Namen konfigurieren

Personal-Printing-Server: Common Name und DNS-Namen konfigurieren

  • Im Reiter Private Key können Sie den privaten Schlüssel des Zertifikates als exportierbar markieren (wenn Sie das Zertifikat nicht vom Zielserver aus anfor­dern oder, um es später erneut installieren zu können).

Personal-Printing-Server: optional den privaten Schlüssel als exportierbar markie­ren

  • Wenn Sie in Ihrem Active Directory mehrere Zertifizierungsstellen betreiben, wählen Sie im Reiter Certification Authority die Zertifizierungsstelle aus. Deren Stammzertifikat müssen Sie auf die Authentifizierungsgeräte verteilen (s. u.).

Personal-Printing-Server: ggf. eine bestimmte Zertifizierungsstelle wählen

  • Markieren Sie abschließend den Zertifikatstyp Web Server und klicken auf Enroll, um das Webserverzertifikat auf dem lokalen Rechner zu installieren. Dieses wird automatisch abgelegt im Zertifikatspeicher Zertifikate (Lokaler Computer)→ Eigene Zertifikate resp. Certificates (Local Computer)→ Per­sonal).

Personal-Printing-Server: Webserverzertifikats auf dem lokalen Rechner installie­ren

Webserverzertifikat dem Personal-Printing-Server zuweisen

Im Zertifikatspeicher Zertifikate (Lokaler Computer)→ Eigene Zertifikate resp. Certificates (Local Computer)→ Personal benötigen Sie ein auf die Adresse des Personal-Printing-Servers ausgestelltes Serverzertifikat (s. o.) .

Hinweis! Das Serverzertifikat muss denselben Namen wie der Personal-Prin­ting-Server haben (FQDN, Hostname oder IP-Adresse).

Beim Aufruf des JobViewers muss die Adresse im Browser dann so angegeben werden, wie in der Spalte Ausgestellt für resp. Issued By dargestellt (siehe Screenshot). Steht dort beispielsweise eine IP-Adresse, wird der JobViewer aufgerufen mit:

https://192.168.149.75/JobViewer (Beispiel)

In der Release Station und auf Lexmark-Druckern wird in diesem Fall die URL angegeben mit:

https://192.168.149.75 (Beispiel)

Auf Samsung- und Konica-Minolta-Druckern wird in diesem Fall lediglich die IP-Adresse angegeben.

Serverzertifikat auf dem Personal-Printing-Server

Serverzertifikat auf dem Personal-Printing-Server

  • Öffnen Sie anschließend den IIS-Manager resp. Internet-Informations­dienste-Manager (IIS). Wählen Sie hier Sites→ Default Web Site→ Bin­dings.
Internetinformationsdienste-Manager: Bindungen

Internetinformationsdienste-Manager: Bindungen

  • Sollte (z. B. nach einem Update) noch keine Bindung vom Typ https existieren, fügen Sie eine neue Sitebindung durch Klick auf Add hinzu.
  • Hatten Sie bei der Installation von Personal Printing die Option Selbstsigniertes Zertifikat erstellen gewählt, dann tauschen Sie hier das automatisch generierte (selbstsignierte) Webserverzertifikat gegen Ihr Webserver-Zertifikat aus.

Wählen Sie im nächsten Fenster folgendes aus:

Type https
Port 443
SSL certificate Ihr Webserverzertifikat (s. o.)
Sitebindung: Protokoll https hinzufügen und Zertifikat auswählen (sie finden die neu eingerichtete Sitebindung anschließend in der Übersicht)

Sitebindung: Protokoll https hinzufügen und Zertifikat auswählen (sie finden die neu eingerichtete Sitebindung anschließend in der Übersicht)

  • Kontrollieren Sie zur Sicherheit, ob ausschließlich Authentifizierung mit Verschlüsselung zugelassen ist. Wählen Sie hierzu Sites→ Default Web Site→ SSL Settings.
Verschlüsselungseinstellungen

Verschlüsselungseinstellungen

  • Hier muss das Häkchen bei Require SSL gesetzt sein, wenn die Authentifizierung aus­schließlich über https erfolgen soll. (Ist Require SSL nicht aktiviert, funktioniert die Authentifizierung sowohl über http als auch über https.)

Kommunikationsprotokoll auf https beschränkt

  • Starten Sie abschließend den IIS-Dienst neu.
IIS-Dienst des Personal-Printing-Servers neu starten

IIS-Dienst des Personal-Printing-Servers neu starten

Webserverzertifikat für die Release Station generieren

Wenn Sie ein Server-Zertifikat für die Release Station nicht von einer öffentlichen Zer­tifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Direc­tory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzertifizierungs­stelle auf alle Rechner verteilen, die per https auf die Release Station zugreifen sollen.

  • Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
  • Anschließend öffnen Sie auf einem Member-Server (z. B. dem Personal-Prin­ting-Server) die Zertifikatsverwaltung in der MMC.
  • Markieren Sie den Zertifikatspeicher Certificates (Local Computer)→ Perso­nal, und wählen Sie All Tasks→ Advanced Operations→ Create Custom Request.

Member-Server: Anforderung eines Webserverzertifikats für die Release Station starten

  • Im Menü Custom Request wählen Sie das Template Web Server.

Member-Server: Template des Webserverzertifikats wählen

  • Bei älteren Zertifizierungsstellen kann es vorkommen, dass der Zertifikatstyp Web Server standardmäßig nicht angezeigt wird. In diesem Fall müssen Sie diesen erst auf der Zertifizierungsstelle aktivieren, indem Sie im Certifica­tion-Authority-Manager die Template-Verwaltung öffnen …

ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern

  • … dort die Eigenschaften des Web-Server-Templates öffnen und im Reiter Security der Gruppe Authenticated Users das Recht Enroll gewähren.

ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern

  • Zurück zum Member-Server: Im Menü Certificate Information wählen Sie Details und dann Properties.

Member-Server: Eigenschaften des Webserverzertifikats öffnen

  • In den Eigenschaften des zu generierenden Web-Server-Zertifikats geben Sie im Reiter Subject den Common Name und den DNS-Namen an. Beide müssen dem Namen des Zertifikates und der Rechneradresse entsprechen (dies ist eine Voraussetzung für Chrome-Browser). In der Regel ist das der FQDN des Web­servers resp. der Release Station (aber auch Hostname oder IP-Adresse sind möglich).

Member-Server: Common Name und DNS-Namen konfigurieren

  • Markieren Sie im Reiter Private Key den privaten Schlüssel des Zertifikates als exportierbar (um das Zertifikat später auf der Release Station installieren zu können). Bestätigen Sie mit OK, und fahren Sie im Menü Certification Infor­mation mit Next fort.

Member-Server: den privaten Schlüssel als exportierbar markieren

  • Speichern Sie die Zertifikatsanforderung als Textdatei (Dateityp .txt oder .req).

Member-Server: Zertifikatsanforderung als Textdatei speichern

  • Wechseln Sie zu Ihrer Zertifizierungsstelle, und öffnen Sie dort den Certifica­tion-Authority-Manager.
  • Dort markieren Sie Ihre Zertifizierungsstelle, und wählen All Tasks→ Submit new request.

Zertifizierungsstelle: Zertifikatsanforderung bearbeiten

  • Wählen Sie die eben gespeicherte Zertifikatsanforderung.

Zertifizierungsstelle: Zertifikatsanforderung öffnen

  • Speichern Sie das Zertifikat im Format .cer.

Zertifizierungsstelle: Zertifikat speichern

  • Wechseln Sie zurück zu dem Member-Server, auf dem Sie die Zertifikatsanfor­derung generiert haben. Installieren Sie hier das eben generierte Zertifikat in Certificates (Local Computer)→ Personal.
  • Exportieren Sie das Zertifikat mit seinem Schlüssel (Dateiformat .pfx).

Member-Server: Webserverzertifikat der Release Station exportieren

  • Vergeben Sie beim Export ein Passwort.

Member-Server: Schlüssel des Zertifikates mit einem Passwort schützen

  • Wechseln Sie zum Webinterface der Release Station. Zum Importieren des Zer­tifikates wählen Sie Upload Certificate im Certificates-Menü.

Release Station: Webserverzertifikat importieren

  • Geben Sie hierbei das oben vergebene Passwort ein.

Release Station: Passwort des Schlüssels eingeben

  • Weisen Sie das Zertifikat dem Webinterface der Release Station zu.

Release Station: Zertifikat dem Webinterface zugewiesen

  • Führen Sie einen Neustart der Release Station durch. Wählen Sie hierzu Sys­tem→ Neustart resp. Reboot.
  • Nachdem Sie das Stammzertifikat auf einer Workstation installiert haben (s. u.), können Sie das Webinterface der Release Station per https öffnen. Wählen Sie hierbei dieselbe Adresse, die Sie für die Generierung des Zertifikates verwendet haben (hier: https://releasestation-03).

Workstation: Webinterface der Release Station per https öffnen am Beispiel des Chrome-Browsers

Webserverzertifikat der Release Station zuweisen

Siehe hierzu den Abschnitt Zertifikate importieren.

Stammzertifikat hinterlegen und Server-URL clientseitig konfigurieren

  • Installieren Sie ggf. das zum Webserverzertifikat des Personal-Printing-Servers gehörige Stammzertifikat auf den Authentifizierungsgeräten und/oder das der Release Station auf den Workstations der Nutzer (wenn dieses nicht standard­mäßig vorinstalliert ist) im Zertifikatspeicher Vertrauenswürdige Stammzerti­fizierungsstellen und/oder Drittanbieter-Stammzertifizierungsstellen und ggf. das Zwischenzertifikat in Zwischenzertifizierungsstellen.
    Für die Release Station siehe den Abschnitt Zertifikate importieren.
  • Konfigurieren Sie die URL des Personal Printing Servers als https-Adresse auf den Authentifizierungsgeräten.

Siehe hierzu das jeweilige Kapitel:

Previous Page
Next Page

War dies hilfreich?