Zertifikate für ThinPrint generieren und installieren

422 views 1

Zertifikat von einem Windows-Rechner aus anfordern

Der nächste Schritt ist die Generierung des Zertifikates für den zentralen Druckserver und den ThinPrint Client. Rein technisch benötigen Sie für ThinPrint minimal zwei Zertifikate: das Aussteller- und/oder Stammzertifikat und ein Server-Zertifikat, das Sie sowohl auf den zentralen Druckservern als auch auf den Clients verwenden kön­nen, wobei dieses vom Ausstellerzertifikat signiert sein muss.

Hinweis! In einer produktiven Umgebung empfehlen wir zur Erhöhung der Sicherheit, für jeden zentralen Druckserver und/oder ThinPrint Client ein indi­viduelles Zertifikat zu generieren.

Im Folgenden wird beispielhaft beschrieben, wie Sie ein Zertifikat für ThinPrint von einem Windows-Rechner aus anfordern und dort installieren.

  • Um im Internet Explorer keinen Zertifikatsfehler zu erhalten, installieren Sie als erstes das oben exportierte Stammzertifikat in der MMC des Cli­ent-Rechners. Hierbei bestätigen Sie ggf. die Sicherheits­abfrage wieder mit Yes.

Stammzertifikat in der MMC des Client-Rechners importieren

Stammzertifikat auf dem Client-Rechner importiert

  • Öffnen Sie auf demselben Rechner den Internet Explorer, und rufen Sie die Web­seite der Zertifizierungsstelle auf, beispielsweise mit:

https://192.168.143.48/certsrv/

In der Adresszeile erscheint kein Zertifikatsfehler mehr.

  • Wählen Sie Request a certificate, um ein Zertifikat für ThinPrint anzufordern.

Zertifikat von einem Remote-Rechner aus anfordern

  • Wählen Sie anschließend Web Browser Certificate, und bestätigen Sie ggf. die Sicherheitsabfrage mit Yes.
  • Um das Formular für die Anforderung des Zertifikats ausfüllen zu können, wäh­len Sie More Options und anschließend use the Advanced Certificate Request form. Es erscheint das vollstän­dige Formular.
  • Geben Sie einen beliebigen Namen für das Zertifikat ein.
  • Wählen Sie hier des Weiteren folgende Optionen:
    • Server Authentication Certificate
    • einen Cryptographic Service Provider (CSP), der die Auswahl des Hash-Algo­rithmus’ SHA256 ermöglicht
    • eine Schlüsselgröße ab 2048
    • Mark key as exportable
    • den Hash-Algorithmus SHA256 oder höher
  • Bestätigen Sie mit Submit.

Zertifikat per Formular anfordern

Die Zertifikatsanforderung wird bestätigt.

  • Öffnen Sie auf dem Zertifikatserver die Konsole der Zertifizierungsstelle (Cont­rol Panel→ Administrative Tools→ Certification Authority), markieren das angeforderte Zertifikat in Pending Request und stellen es mit Issue aus.

Konsole der Zertifizierungsstelle auf dem Zertifikatserver: Zertifikat ausstellen

  • Öffnen Sie auf dem Client-Rechner erneut das Webinterface der Zertifizierungs­stelle, beispielsweise mit:

https://192.168.143.48/certsrv/

  • Wählen Sie View the status of a pending certificate request.
  • Wählen Sie das soeben angeforderte Zertifikat, und bestätigen Sie ggf. die Sicherheitsabfrage wieder mit Yes.

Webinterface der Zertifizierungsstelle: ausgestelltes Zertifikat für diesen Nut­zer

  • Wählen Install this certificate.

Webinterface der Zertifizierungsstelle: Zertifikat auf dem Client-Rechner ins­tallieren

Das Zertifikat wird automatisch im lokalen Zertifikatspeicher des Nutzers installiert. Wenn es sich um einen Rechner handelt, auf dem ein Thin­Print Client installiert ist und nur dieser Nutzer verschlüsselte Druckaufträge emp­fängt, dann kann das Zertifikat im Zertifikatspeicher des Nutzers verbleiben. Bei mehreren Nutzern muss das Zertifikat entweder für jeden Nutzer einzeln importiert werden, oder im Zertifikatspeicher des Computers abgelegt werden.

Die Nutzung des Zertifikats für die ThinPrint Engine ist im Abschnitt Server-Zerti­fikat in den Zertifikatspeicher des Druck-Spoolers importieren beschrieben.

Webinterface der Zertifizierungsstelle: Zertifikat auf dem Client-Rechner ins­talliert

Zertifikatspeicher des Nutzers in der MMC des Client-Rechners

  • Mit einem Doppelklick auf das Zertifikat können Sie es öffnen.

Hier sehen Sie, dass der Zweck des Zertifikats die Authentifizierung gegenüber dem Server ist. Wichtig ist, dass das Zertifikat einen privaten Schlüssel enthält.

Zertifikat, das einen privaten Schlüssel enthält

Zertifikat nutzer- oder rechnergebunden installieren?

Wenn Sie das Zertifikat auf einem Client-Rechner installieren, entschei­den Sie, ob Sie Ihr Zertifikat nutzer- oder rechnergebunden ablegen möchten.

  • nutzergebunden: Wenn nur eine Person den Rechner nutzt, installieren Sie das Zertifikat im Zertifikatspeicher des Nutzers in Current User→ Personal. Das heißt, das Zertifikat ist an den aktuellen Benutzer gebunden und befindet sich in dessen Zertifikatspeicher.
  • rechnergebunden: Benutzen mehrere Personen einen Rechner (oder gibt es zusätzlich zum Benutzer-Account auch einen Administrator-Account), können Sie das Zertifikat stattdessen rechnergebunden im Container Local Computer→ Personal ablegen. Es reicht ein einziges Zertifikat pro Client-Rechner für alle Nutzer, die diesen Rechner gemeinsam nutzen.

Zertifikatspeicher des Computers in der MMC des Client-Rechners

Hinweis! Wenn Sie Ihr Zertifikat rechnergebunden ablegen (unter Local Computer→ Personal) müssen Sie anschließend Nutzungsrechte für die Ver­schlüsselung auf dem Client-Rechner vergeben (siehe Absatz Nutzungsrechte für Verschlüsselung auf Client-Rechner vergeben) und den Registrierungs­wert CertStore auf “1” setzen.

Zertifikat rechnergebunden ablegen

  • Um ein Zertifikat rechnergebunden abzulegen, exportieren Sie es aus dem Zertifikat­speicher des Nutzers und importieren es anschließend in den Zertifikatspeicher des Computers.

Zertifikat exportieren

Nutzungsrechte für Verschlüsselung auf Client-Rechner vergeben

Wenn Sie Ihr Zertifikat (wie im letzten Abschnitt beschrieben) rechnergebunden, also in Local Computer→ Personal importiert haben, können Sie jetzt die Rechte für die einzelnen Nutzer/innen des Rechners vergeben.

  • Wählen Sie dazu im Kontextmenü des importierten Zertifikats All Tasks→ Manage Private Keys. Sie gelangen zu den Rechten des Zertifikats.

Rechtemanagement des Schlüssels aufrufen

  • Fügen Sie mit Add diejenigen Nutzer/innen oder Nutzergruppen hinzu, die mit ThinPrint verschlüsselt drucken sollen, und geben Sie ihnen mindestens Lese­rechte.

Rechte eines Zertifikats anpassen: Nutzer/innen zufügen

  • Um verschlüsselt drucken zu können, müssen Sie, nachdem Sie das Zertifikat auf einem Client-Rechner importiert haben, außerdem einen bzw. zwei Registry-Einträge vornehmen. Wie das geht, lesen Sie im folgenden Abschnitt.
Previous Page
Next Page

War dies hilfreich?