Installationsanleitung AbaSioux stand alone€¦ · Einleitung Installationsanleitung AbaSioux stand alone v1.1 Seite 3 1 Einleitung 1.1 Wichtige Begriffe Nachfolgend werden die Begriffe

A B A C U S

INSTALLATIONSANLEITUNG

ABASIOUX STAND ALONE

Februar 2018 / OM Version 1.1

Diese Unterlagen sind urheberrechtlich geschützt.

Insbesondere das Recht, die Unterlagen mittels irgendeines Mediums (grafisch, technisch, elektronisch und/oder digi-tal, einschliesslich Fotokopie und downloading) ganz oder teilweise zu vervielfältigen, vorzutragen, zu verbreiten, zu bearbeiten, zu übersetzen, zu übertragen oder zu speichern, liegt ausschliesslich bei ABACUS Research AG.

Jede Verwertung in den genannten oder in anderen als den gesetzlich zugelassenen Fällen, namentlich jede kommerzielle Nutzung, bedarf der vorherigen schriftlichen Einwilligung von ABACUS Research AG.

Die gewerbsmässige Verletzung der Urheberrechte kann gemäss Art. 67 Abs. 2 URG bestraft werden.

Copyright © 2018 by ABACUS Research AG, CH-9301 Wittenbach-St.Gallen

Inhaltsverzeichnis

0 Inhalt sverzeichn is

1 EINLEITUNG .......................................................................................................................... 3

1.1 Wichtige Begriffe ................................................................................................................ 3

1.2 Sicherheits-Empfehlung ..................................................................................................... 4

1.3 Hardware-Empfehlung ....................................................................................................... 4

1.4 Fixe IP-Adresse und Domain-Name................................................................................... 4

1.5 DynDNS statt fixe IP-Adresse ............................................................................................ 5

2 INSTALLATION UNTER WINDOWS .................................................................................... 6

3 INSTALLATION UNTER MAC .............................................................................................. 8

3.1 Abacus-Dienste unter Mac OS X stoppen, starten und überprüfen ...................................... 10

4 INSTALLATION UNTER LINUX ......................................................................................... 11

4.1 Variante 1 ......................................................................................................................... 11

4.2 Variante 2 ......................................................................................................................... 12

4.3 Abacus-Dienste unter UBUNTU stoppen, starten und überprüfen .................................. 14

5 KONFIGURATION DES ABASIOUX STAND ALONE ....................................................... 15

5.1 Verbindung zwischen AbaSioux stand alone und Abacus-Server ................................... 15

5.2 ULC-(Web)Login nur mit Zertifikatslogin erlauben ........................................................... 16

5.3 Standard-Login-Page anpassen....................................................................................... 17

5.4 Nutzung des MyAbacus-Portals ab der Abacus-Version 2018 ........................................ 18

6 KONFIGURATION DER FIREWALL .................................................................................. 19

6.1 Verbindung auf den AbaSioux stand alone ...................................................................... 19

6.2 Ports zwischen AbaSioux stand alone und ABACUS-Server .......................................... 20

7 SSL ZERTIFIKATE .............................................................................................................. 22

7.1 Was ist ein SSL Zertifikat ................................................................................................. 22

7.2 Zertifikatsanfrage erstellen ............................................................................................... 22

7.3 Zertifikat beantragen ........................................................................................................ 24

7.4 Implementation eines SSL-Zertifikates ............................................................................ 24

7.5 Intermediate-Zertifikate .................................................................................................... 25

7.5.1 Was ist ein Intermediate- (zwischen) Zertifikat ......................................................... 25

7.5.2 Prüfung der Zertifikatskette ....................................................................................... 26

7.5.3 Implementation eines Intermediate-Zertifikates ........................................................ 28

Einleitung

Installationsanleitung AbaSioux stand alone v1.1 Seite 3

1 Einleitung

1.1 Wichtige Begriffe

Nachfolgend werden die Begriffe erklärt, welche in dieser Installationsanleitung vorkommen und verstanden werden sollten, um eine korrekte Umgebung aufbauen zu können.

AbaSioux stand alone WebServer von ABACUS

HTTP Unverschlüsseltes Protokoll zur Übermittlung von Web-Inhalten. Die Java-Applikationen von ABACUS können dieses Protokoll verwenden, um mit dem Server zu kommunizieren.

Die Standardport-Nr. für HTTP ist der Port 80

HTTPS Eine Kombination aus SSL und HTTP, also ein verschlüsseltes Protokoll zur Übermittlung von Webinhalten. Die Java-Applikationen von ABACUS können dieses Protokoll verwenden, um mit dem Server zu kommunizie-ren.

Die Standardport-Nr. für HTTPS ist der Port 443

SSL Steht für Secure Sockets Layer. Mit Hilfe des SSL-Protokolls werden Information von A nach B verschlüsselt übertragen.

SSL-Zertifikat Zertifikat, das auf dem (Ziel-)Server installiert wird, damit Anfragen aus dem Internet sicher von dem in der URL angegebenem Server entge-gengenommen und nicht unterwegs “abgefangen“ werden. Zudem be-stätigt ein SSL-Zertifikat die Zugehörigkeit einer URL zu einem bestimm-ten Server.

Einleitung


1.2 Sicherheits-Empfehlung

Wir empfehlen Ihnen den AbaSioux stand alone in die DMZ zu stellen.

Sinn einer DMZ ist es, einen abgesicherten Bereich zu schaffen, in dem der AbaSioux stand alone steht. Der AbaSioux stand alone kann von extern / vom Internet her direkt angesprochen werden, hat aber keinen direkten Zugriff auf das interne Netz.

1.3 Hardware-Empfehlung

Die Installation des AbaSioux stand alone setzt kein spezielles Betriebssystem voraus. Von der Verwendung eines Microsoft ISA-Servers raten wir jedoch ab.

Die empfohlenen Hardwarevoraussetzungen für den AbaSioux stand alone sehen wie folgt aus:

Betriebssystem: unterstützte Betriebssysteme siehe allgemeine Systemempfehlungen der ABACUS-Software unter: http://classic.abacus.ch/de/downloads-page/systemempfehlungen/

Prozessorleistung: 2 GHz (Single-Core)

Arbeitsspeicher: Mind. 1024 MB RAM

Platzbedarf: Abhängig vom jeweiligen Betriebssystem (10-40 GB)

Wichtige Information

Der AbaSioux dient nur der Kommunikation zwischen Anfragen aus dem Internet und dem ABACUS-Server. Aus Sicherheitsgründen sollten somit auf dem AbaSioux stand alone keine wichtigen Dokumente abgelegt werden.

1.4 Fixe IP-Adresse und Domain-Name

Wir empfehlen Ihnen eine fixe IP-Adresse zur Erreichung des AbaSioux stand alone von extern via Internet einzurichten. Zusätzlich empfiehlt sich, dieser fixen IP-Adresse einen Domain-Namen zuzuweisen. Dieser wird in der Regel auf eine Subdomain Ihrer bestehenden Internetadresse registriert.

Beispiel

abaweb.ihredomain.com oder abacus.ihredomain.ch

ihredomain steht für den Domainnamen Ihrer Internet-Adresse (z.B. abacus.ch), bei der Be-zeichnung links von ihredomain handelt es sich um eine Sub-Domain, welche frei gewählt wer-den kann.

Für eine fixe IP (kostenpflichtig) und den dazugehörigen Domain-Namen (gratis) wenden Sie sich bitte an Ihren Internet-Provider.

http://classic.abacus.ch/de/downloads-page/systemempfehlungen/

https://abatreuhand.ihredomain.com/

https://abacus.ihredomain.ch/

Einleitung


1.5 DynDNS statt fixe IP-Adresse

Bei DynDNS besteht das Risiko, dass nach Änderung der IP-Adresse ein „dummer“ Router die alte IP-Adresse noch im Cache hat und dadurch eine Verbindung ins Abacus nicht klappt.

Wenn Sie ausschliessen möchten, dass solche Probleme auftreten könnten, empfehlen wir Ihnen eine fixe IP-Adresse zu erwerben. Wenn das mögliche Risiko eines Verbindungsunterbruchs auf Grund oben genannter Thematik in Kauf genommen wird, dann funktioniert auch DynDNS.

Installation unter Windows


2 Installation unter Windows

Um die Installation auszuführen gibt es zwei unterschiedliche Dateien: Einmal die Datei abasetup.exe und einmal die Datei abasetupconsole.exe. Wenn Sie die Datei abasetup.exe star-ten, werden Sie mittels graphischer Oberfläche durch die Installation geführt. Bei der Datei abasetupconosole.exe steht Ihnen hingegeben nur die Konsole zur Konfiguration der Installation zur Verfügung.


Um den AbaSioux stand alone zu installieren benötigen Sie Administratoren-Rechte. Die Systemempfehlungen für die Installation des AbaSioux stand alone finden Sie hier.

Arbeitsablauf

1. Legen Sie die Programm-DVD in das DVD-Laufwerk Ihres Computers. Falls das Setup nicht automatisch startet, starten Sie abasetup.exe manuell aus dem DVD-Laufwerk.

2. Der Installationsassistent startet mit dem Begrüssungsfenster, in welchem Sie gegebenen falls die Installationssprache ändern können. Wählen Sie danach die Schaltfläche <Weiter>.

3. Windows fragt im nächsten Fenster nach der Pfadangabe zur Installation. Wählen Sie nach der Pfadeingabe die Schaltfläche <Weiter>.

Keine Leerschläge in Pfaden

Der Pfad darf weder Sonderzeichen noch Leerschläge aufweisen.

4. Im nächsten Fenster werden Sie nach der Art der Installation gefragt. Wählen Sie diese Option aus und klicken auf <Weiter>.

http://www.abacus.ch/downloads-page/systemempfehlungen/

Installation unter Windows


5. Im nächsten Fenster Lesen Sie bitte die Lizenzbestimmungen sorgfältig durch und akzeptieren Sie diese, um mit der Installation weiterfahren zu können.

6. Sie haben somit die letzte Möglichkeit, allfällige Anpassungen vorzunehmen. Betätigen Sie hierzu die Schaltfläche <Zurück> um Änderungen vorzunehmen oder <Weiter>, um die Instal-lation zu starten. Die Installation wird nun durchgeführt.


Der Eintrag für die Host-URL kann bei einer «Nur AbaSioux» Installation ignoriert werden.

Nach der Installation befindet sich folgende Ordnerstruktur auf Ihrem Server: [..]\abac\


Die ABACUS-Dienste AbaSioux und AbaSiouxSecure lassen sich über das Dienstprogramm „Dienste“ von Microsoft stoppen und neu starten.

Installation unter Mac


3 Installation unter Mac

Legen Sie die Programm-DVD in das DVD-Laufwerk Ihres Computers. Falls das Setup nicht au-tomatisch startet, starten Sie die Datei abasetup.app manuell aus dem DVD-Laufwerk.


Die Systemempfehlungen für die Installation des AbaSioux stand alone finden Sie hier.

Der Installationsassistent startet mit dem Begrüssungsfenster, in welchem Sie gegebenenfalls die Installationssprache ändern können. Wählen Sie danach die Schaltfläche <Weiter>.

Im nächsten Fenster werden Sie nach der Art der Installation gefragt.

Wählen Sie die Option „Nur AbaSioux“ aus und klicken auf <Weiter>. Im nächsten Fenster lesen Sie bitte die Lizenzbestimmungen sorgfältig durch und akzeptieren Sie diese, um mit der Instal-lation weiterfahren zu können.

Der Installations-Assistent fasst nochmals Ihre gewählten Installationsparameter zusammen. Sie haben somit die letzte Möglichkeit, allfällige Anpassungen vorzunehmen. Betätigen Sie hierzu die Schaltfläche <Zurück> um Änderungen vorzunehmen oder <Weiter>, um die Installation zu star-ten. Die Installation wird nun durchgeführt.

http://www.abacus.ch/downloads-page/systemempfehlungen/




Der Eintrag für die Host-URL kann bei einer «Nur AbaSioux» Installation ignoriert werden

Nach der Installation befindet sich folgende Ordnerstruktur auf Ihrem Server: \Library\Abacus



3.1 Abacus-Dienste unter Mac OS X stoppen, starten und überprüfen

ABACUS-Dienste stoppen

ABACUS-Dienste starten

Status abfragen

Installation unter Linux


4 Installation unter Linux

Systemvoraussetzungen

Unterstützt werden die Distributionen Ubuntu 14.04 LTS 64bit & 16.04 LTS 64bit, Suse Linux Enterprise Server (SLES) 12 & SLES 12 SP1

Diese Anleitung basiert auf der Ubuntu Version 16.04.3 LTS 64bit

Unter Ubuntu müssen zwingend folgende Pakete installiert sein:

- Libaio1

Führen Sie dazu den Befehl sudo apt-get install libaio1

- Lib32stdc++6

Führen Sie dazu den Befehl apt-get install lib32stdc++6

Es werden zwei Vorgehensweisen beschrieben den AbaSioux stand alone zu installieren:

4.1 Variante 1

Wenn Sie die Installation direkt ab DVD machen, gehen Sie bitte wie folgt vor: Legen Sie die DVD in das DVD Laufwerk Ihres Server ein. Falls AutoMount auf Ihrem System aktiviert ist, wird die DVD automatisch auf /media verbunden.

Auto-Mount ist jedoch auf den meisten Linux Umgebungen deaktiviert, daher müssen Sie allen-falls als erstes das CD-ROM mounten. Öffnen Sie dazu den Terminal in Ihrer Linux Version und geben folgenden Befehl ein:

mount /dev/cdrom /mnt Die Daten der DVD befinden sich danach im Verzeichnis /mnt. Im Falle von AutoMount befinden sich die Daten unter /media.

Starten Sie das Setup, in dem Sie das Script setup.sh wie folgt ausführen:

./setup.sh



4.2 Variante 2

Arbeitsablauf

0. Es wird davon ausgegangen, dass Sie die heruntergeladene *.iso Datei der ABACUS-Version auf einem Windows-Server in einem freigegebenen Verzeichnis haben.

1. Melden Sie sich als Benutzer root oder als User mit root-Berechtigungen am Linux Server an

2. Starten Sie den Terminal auf Ihrem Linux-Server

3. Wechseln Sie ins Verzeichnis /mnt mit dem Befehl cd /mnt

4. Erstellen Sie nun zwei neue Ordner mit den Befehlen mkdir server und mkdir iso

5. „Mounten“ Sie die *.iso Datei von ihrer Windows-Freigabe mit folgendem Befehl

mount –t cifs //server/freigabe /mnt/server -o username=ihr benutzer,password=ihr Kennwort Die Daten der Windows-Freigabe befinden sich danach im Verzeichnis /mnt/server

Achtung

Damit die Verbindung auf Ihre Linux UBUNTU-Version funktioniert muss der smb-client vorhan-den sein. Ist dies nicht der Fall, können Sie diesen mit folgendem Befehl installieren: sudo apt-get install smbfs. Mehr Infos dazu finden Sie hier.

6. Wechseln Sie nun ins Verzeichnis, in welchem sich die entsprechende *.iso Datei befindet und kopieren Sie diese auf den Linux Server mit folgendem Befehl:

scp –r *.iso Datei /home/entsprechender User

7. Nachdem die Datei auf den Linux-Server kopiert wurde, wechseln Sie bitte ins Verzeichnis /home/entsprechender User und geben folgenden Befehl ein:

mount –o loop –t iso9660 *.iso Datei /mnt/iso


Auf Grund der Rückmeldung mount: /dev/loop0 is write-protected, mounting read only müssen Sie nichts unternehmen

8. Wechseln Sie nun ins Verzeichnis /mnt/iso und Starten Sie das Setup, in dem Sie das Script setup.sh wie folgt ausführen:

./setup.sh

Die Installation beginnt. Sie haben nun die Möglichkeit, die gewünschte Installationssprache zu wählen. Für die Installation in deutscher Sprache, geben Sie ein [W] für Weiter ein und bestätigen diese Eingabe mit der ENTER Taste.

http://wiki.ubuntuusers.de/Samba_Client_cifs?highlight=smb



Nachdem Sie mit der Taste [W] die Richtigkeit der Eingabe bestätigt haben, werden Sie nach der Art der Installation gefragt. Wählen Sie hier mit der Ziffer 2 die Installationsart „Nur AbaSioux“ aus. Bestätigen Sie mit [W] und Eingabe der ENTER Taste die Richtigkeit der gewählten Installationsart.

Als nächster Schritt folgt die Lizenzvereinbarung welche Sie bitte sorgfältig durchlesen und mittels [W] und [ENTER] bestätigen müssen, damit Sie mit der Installation weiter fahren können.

Der Installations-Assistent fasst nochmals Ihre gewählten Installationsparameter zusammen. Sie haben somit die letzte Möglichkeit, allfällige Anpassungen an der Installation von ABACUS vor-zunehmen. Betätigen Sie hierzu die Taste [Z] und anschliessend [ENTER] um Änderungen vor-zunehmen oder [W] und [ENTER], um die Installation zu starten.


Der Eintrag für die Host-URL kann bei einer «Nur AbaSioux» Installation ignoriert werden

Die Installation wird nun durchgeführt und am Ende erscheint die Bestätigung, dass die Installa-tion erfolgreich abgeschlossen wurde. Mit [S] und [ENTER] verlassen Sie nun den Installations-prozess.

Sie haben nach erfolgter Installation im Verzeichnis /opt ein neues Verzeichnis mit dem Namen „abacus“. In diesem Verzeichnis befinden sich nun die AbaSioux stand alone Dateien.



4.3 Abacus-Dienste unter UBUNTU stoppen, starten und überprüfen

ABACUS-Dienste stoppen

ABACUS-Dienste starten

Status abfragen


Bei einer Installation von ABACUS unter Ubuntu werden die ABACUS Services nach einem Reboot nicht automatisch gestartet. Per Default werden die Services unter Linux so eingerichtet, dass diese manuell nach dem Reboot gestartet werden müssen.

Damit die ABACUS Services automatisch nach einem Neustart des Servers starten, können Sie diese in die entsprechenden Runlevels eintragen.

Geben Sie im Terminal als ROOT folgenden Befehl ein: update-rc.d abacus defaults

Konfiguration des AbaSioux stand alone


5 Konfiguration des AbaSioux stand alone

5.1 Verbindung zwischen AbaSioux stand alone und Abacus-Server

Damit via AbaSioux stand alone die Anfragen aus dem Internet an den gewünschten Abacus-Server weitergeleitet werden, muss auf dem AbaSioux stand alone die Datei AbaServices.ini angepasst werden.

Unter Windows befindet sich diese Datei im Pfad: [..]abac\system

Unter Mac OS X befindet sich diese Datei im Pfad: /Library/Abacus/system/

Unter UBUNTU befindet sich dies Datei im Pfad: /opt/abacus/system/

Ändern Sie die IP-Adresse 127.0.0.1 auf die IP-Adresse Ihres Abacus-Servers, welcher über den vorgelagerten AbaSioux stand alone erreicht werden soll.

Achtung

Welcher Abacus-Dienst für welche Zwecke ansprechbar sein muss entnehmen Sie bitte dem Kapitel 6 dieser Anleitung. Je nach Verwendungszweck müssen Sie hier nicht alle IP-Adressen 127.0.0.1 anpassen.



5.2 ULC-(Web)Login nur mit Zertifikatslogin erlauben

ABACUS liefert Ihre Standard-Login-Page immer mit der Möglichkeit aus, sich auch über Name/Passwort am Abacus anzumelden, sodass für einen Zugriff aus dem LAN über Name und Passwort keine zusätzlichen Aufwände entstehen. Häufig darf ein Login von extern aber nur ge-sichert mittels «externer Authentisierung» erfolgen.

Damit auch niemand mehr die komplette URL im Browser für einen Namen/PW-Login erzwin-gen kann, muss die Datei abaservices.ini im Verzeichnis : [..]abac\system auf dem Abacus-Server wie folgt angepasst werden. [Security] MandatoryCertificateHosts=Computername_des_WebServer

Beispiel



5.3 Standard-Login-Page anpassen

Wenn Sie die Auswahl im Dropdownfeld sich mit Benutzername und Kennwort ins ABACUS ein-loggen zu können entfernen möchten, können Sie dies in der Datei index.html anpassen. Diese befindet sich im Verzeichnis [..]abac\http_root.

Beispiel

Die markierte Zeile einfach löschen.

Wichtige Informationen

Die Datei index.html wird bei einem Update des AbaSioux stand alone überschrieben. Damit dies nicht passiert, ändern Sie ihre angepasste Datei index.html in custom.html um. Beim Auf-ruf Ihrer Loginpage wird dann per default die Seite custom.html aufgerufen.

Achtung

Die Loginpage ins Abacus wurde ab der Abacus-Version 2018 komplett überarbeitet. Die Loginpage verfügt neu noch über einen Start-Button, welcher den neuen Loginprozess mittels OAuth-Protokoll einleitet.

Aus diesem Grund wird die oben beschriebene Massnahme ab der Abacus-Version 2018 überflüssig.



5.4 Nutzung des MyAbacus-Portals ab der Abacus-Version 2018

Ab der Abacus-Version 2018 wird das neue MyAbacus-Portal über den Pfad z.B. https://abaweb.abacus.ch/portal angesprochen. Damit die Kommunikation über den vorge-lagerten AbaSioux stand alone zum MyAbacus-Portal funktioniert muss auf dem AbaSioux stand alone folgendes manuell konfiguriert werden.

Arbeitsablauf

1. Wechseln Sie ins Verzeichnis [..]abac\sioux\plugins\abaforward

2. Hier finden Sie eine Datei mit dem Namen abaforward.tmp. Bennen Sie die Datei-Endung von *.tmp in *.set um.

3. Öffnen Sie besagte Datei abaforward.set mit einem Text-Editor Programm. Unter DedicatedRoots: finden Sie folgenden Eintrag #/portal = portal

4. Entfernen Sie bei diesem Eintrag das #-Zeichen.

5. Speichern Sie die Änderungen ab.

6. Stoppen und Starten Sie anschliessend die beiden Abacus-Dienste AbaSioux (falls dieser läuft) und AbaSiouxSecure auf dem AbaSioux stand alone.

https://abaweb.abacus.ch/portal

Konfiguration der Firewall


6 Konfiguration der Firewall

6.1 Verbindung auf den AbaSioux stand alone

Von extern (via Internet) auf den AbaSioux stand alone (WebServer) reicht es den Port 443 zu öffnen, siehe Abbildung 1 Verbindungsüberblick I. Ist der Port 443 bereits besetzt oder möchte man bewusst einen anderen Port verwenden, lässt sich dieser in der Datei abaservices.ini auf dem AbaSioux stand alone von 443 auf xxxx ändern.

Die Ports 80 und 443 in der Datei abaservices.ini auf dem AbaSioux stand alone gelten somit für den Zugriff von aussen. Für die interne Kommunikation von AbaSioux stand alone und Abacus-Server sind diese irrelevant.


Um die Sicherheit zu gewährleisten empfiehlt ABACUS eine verschlüsselte, sichere SSL-Ver-bindung über den Standard Port 443 zu nutzen. Der Standard-Port 80, für eine unverschlüs-selte Datenübertragung kann auf der Firewall geschlossen werden oder aber man richtet eine automatische Umleitung von http auf https ein.

Dies bedingt, dass auf dem AbaSioux ein gültiges SSL-Zertifikat installiert werden muss. Nähere Informationen zur Bestellung und Installation eines SSL-Zertifikates finden Sie unter Kapitel 7 dieser Anleitung

Abbildung 1: Verbindungsüberblick I

Port 443

DMZ

AbaSioux



6.2 Ports zwischen AbaSioux stand alone und ABACUS-Server

Folgende Ports müssen für folgende Zwecke auf der Firewall zwischen AbaSioux stand alone und Abacus-Server geöffnet werden, siehe zum besseren Verständnis Abbildung 2: Verbin-dungsüberblick II auf der nächsten Seite.

Achtung

(!) /Portal bitte beachten Sie dazu Kapitel 5.4 «Nutzung des MyAbacus-Portals ab der Abacus-Version 2018

(!) Wird Loadbalancing aktiviert, muss der Standard-Port 40120 und nicht mehr der Port 40020 auf der Firewall geöffnet werden. Dies gilt für sämtliche Ports der verwendeten AbaApplicationServer-Instanzen.

Beispiel: Es werden drei neue AbaApplicationServer-Instanzen aktiviert. Somit müssen die Ports 40120, 40220 und 40320 auf der Firewall geöffnet werden.



Abbildung 2: Verbindungsüberblick II

DMZ

Abacus

AbaSioux

Port(s) siehe Kapitel 6.2

SSL Zertifikate


7 SSL Zertifikate

7.1 Was ist ein SSL Zertifikat

Ein SSL-Zertifikat bestätigt die Zugehörigkeit einer URL zu einem bestimmten WebServer. Die Sicherheit der Anfragen an den WebServer ist ohne SSL-Zertifikat nicht gewährleistet.

7.2 Zertifikatsanfrage erstellen

Bevor man ein SSL Zertifikat bei einer CA (Certification Authority) beantragen kann, muss eine Zertifikatsanfrage erstellt werden. Diese Zertifikatsanfrage wird mit Hilfe der Datei openssl.exe generiert. Diese finden Sie im Verzeichnis [..]\abac\df_win64.


Die Zertifikatsanfrage muss nicht auf dem Server erstellt werden, auf welchem später das SSL-Zertifikat installiert wird.

Arbeitsablauf

1. Öffnen Sie die DOS-Konsole mit Administrator-Rechten

2. Wechseln Sie in das Verzeichnis [..]\abac\df_win64 mit dem Befehlt cd abac\df_win64 und geben folgenden Befehl ein:

openssl.exe req -config openssl.cnf -new -newkey rsa:2048 –nodes –sha256


Die Warnung: „can’t open config file: /usr/local/ssl/openssl.cnf können Sie ignorieren

Rot umrahmt: Der private Schlüssel passend zum späteren öffentlich Schlüssel, welcher von der offiziellen CA ausgestellt wird, wird im Verzeichnis [..]\abac\df_win64 oder an dem Ort, an welche die Datei openssl.exe ausgeführt wird mit dem Namen privkey.pem generiert.

SSL Zertifikate


3. Geben Sie hier den Ländercode CH (oder Ihrem Land entsprechenden) mit -> mit [ENTER] weiter

4. Anschliessend werden Sie nach Ihrem Kantonsnamen gefragt z.B. St. Gallen und [ENTER]

5. Unter Locality Name geben Sie bitte Ihre Ortschaft an z.B. Wittenbach und [ENTER]

6. Unter Organization Name folgt Ihr Firmennamen (gem. Handelsregister oder Zefix) z.B. ABACUS Research AG und [ENTER]

7. Organizational Unit Name können Sie leer lassen -> mit [ENTER] weiter

8. Der Common Name ist die entscheidende Information. Geben Sie hier die exakte URL (ohne https) ein, über welche Ihr AbaSioux stand alone erreichbar ist.

Beispiel: abaweb.abacus.ch

9. Die Email-Adresse ist optional und kann weggelassen werden -> mit [ENTER] weiter

10. Das Extra-Attribut „a challenge password“ muss leer bleiben -> mit [ENTER] weiter

11. „An optional company name“ können Sie ebenfalls leer lassen -> mit [ENTER] weiter

Achtung

Setzen Sie kein Passwort und verwenden Sie keine Umlaute (ä, ö, ü…)

12. Sobald Sie [ENTER] drücken, erhalten Sie Ihr „Certificate Request“

13. Markieren Sie den ganzen Request (Klick mit der rechten Maustaste in den Bereich, Befehl Markieren anwählen und bei gedrückter Maustaste den Bereich auswählen). Ist der zu kopierende Text markiert, tippen Sie auf die Taste [ENTER] Ihrer Computer-Tastatur. Der markierte Text wird nun automatisch in die Zwischenablage kopiert.

14. Erstellen Sie eine Textdatei mit dem Namen SSL-Anfrage.txt und fügen den Text aus der Zwischenablage in diese Datei ein. Damit Sie später gegebenenfalls wieder auf diese Infor-mationen zugreifen können, speichern Sie diese Datei als „Back-up“ ab.

SSL Zertifikate


7.3 Zertifikat beantragen

Suchen Sie nun im Internet eine CA (Certification Authority) auf, um Ihr SSL Zertifikat zu bean-tragen. Die Firma ABACUS empfiehlt Ihnen das SSL Silver Zertifikat der Firma SwissSign.

https://www.swisssign.com/de/ssl-zertifikate/ssl-silver/ssl-silver?___SID=U

Achtung

Achten Sie darauf, dass Sie das Zertifikat im Format *.pem mit der ganzen Zertifikatskette Ihrer gewählten CA herunterladen können. Wenn Sie das SSL-Zertifikat mit der Datei-Endung *.cer, *.PKCS#7, *.PKCS#12 erhalten ha-ben, dann müssen Sie dieses zuerst ins Format .pem umwandeln. Ansonsten wird der ABACUS-Dienst „AbaSiouxSecure“ nicht starten. Am benutzerfreundlichsten lässt sich dies mit Hilfe des SSL-Converters von SSLShopper er-ledigen. Diesen finden Sie hier.

7.4 Implementation eines SSL-Zertifikates

Sobald Sie mit Hilfe von OpenSSL ein Zertifikat beantragen wird automatisch eine Datei mit dem Namen privkey.pem generiert – siehe Kapitel 7.2 «Wichtige Information». Dabei handelt es sich um den privaten Schlüssel des öffentlichen Zertifikates, welches Sie von Ihrer CA bekommen.

Achtung

Dieser private Schlüssel darf nie in falsche Hände geraten, da ansonsten die verschlüsselte Verbindung entschlüsselt / abgehört werden kann.

Zur Erinnerung: Die Datei privkey.pem befindet sich immer in dem Verzeichnis, in welchem Sie den „openssl-Befehl“ ausgeführt haben.

Arbeitsablauf

1. Verschieben Sie nun diese Datei aus dem Verzeichnis [..]\abac\df_win64 ins Verzeichnis

[..]\abac\kd\cert\private\ und benennen Sie diese um in abasioux.key. 2. Kopieren Sie anschliessend die erhaltene Datei Ihrer gewählten CA ebenfalls ins Verzeichnis [..]\abac\kd\cert\private und benennen diese in abasioux.crt um. 3. Stoppen und Starten Sie anschliessend die beiden Abacus-Dienste AbaSioux (falls dieser läuft) und AbaSiouxSecure auf dem AbaSioux stand alone.

https://www.sslshopper.com/ssl-converter.html

SSL Zertifikate


7.5 Intermediate-Zertifikate

7.5.1 Was ist ein Intermediate- (zwischen) Zertifikat

Einige Zertifikate werden nicht direkt unter einem Root-Zertifikat ausgestellt, sondern unter einem sogenannten Zwischenzertifikat(!), welches anschließend zwischen dem Serverzertifikat und dem Root-Zertifikat steht. Es ist sogar möglich, dass es nicht nur ein Zwischenzertifikat sondern mehrere Zwischenzertifikate gibt.1

(!) In diesem Fall wird Ihr SSL-Zertifikat nicht direkt von der Zertifizierungsbehörde (CA) ausge-stellt, sondern indirekt über eine Zwischenstelle, was die Sicherheit der Wurzelzertifikate (Root-Zertifikat) erhöht.2


Zusammen mit den Zwischenzertifikaten ergibt sich ein sogenannter Zertifizierungspfad an des-sen oberem Ende das Root-Zertifikat und an dessen unterem Ende das beantragte Zertifikat steht. Dieser Pfad muss durch einmalige Installation der Zwischenzertifikate auf dem Server abgebildet werden.

Die aufrufenden Internet Browser erhalten dann beim Aufruf einer zwischenzertifizierten Website alle notwendigen Zertifikate vom Server übermittelt, um ebenfalls den vollständigen Pfad abbilden und verifizieren zu können. Somit wird das Zertifikat von den genannten Browsern ohne weitere Bestätigung und ohne manuelle Installation von Zertifikaten auf Anwenderseite erkannt und unterstützt.1

1) Server-Zertifikat

2) Intermediate-Zertifikat

3) Root-Zertifikat

Achtung

Wenn Sie Ihr SSL-Zertifikat ohne die vollständige Zertifikatskette herunter geladen haben, dann sollten Sie das fehlende Intermediate Zertifikat nachträglich auf dem AbaSioux stand alone hinzufügen, damit der Client (wenn das Intermediate Zertifikat seinem Rechner unbe-kannt ist) kein Warnhinweis erhält, dass die SSL-Verbindung nicht sicher ist.

1 Online im Internet: http://kb.psw.net/questions/13/ [Zugriff am 12.12.2017] 2 Online im Internet: https://edv-froehlich.de/products/ssl/faq [Zugriff am 12.12.2017]

3

2

1

http://kb.psw.net/questions/13/

SSL Zertifikate


7.5.2 Prüfung der Zertifikatskette

Öffnen Sie Ihre herunter geladene SSL-Zertifikatsdatei mit dem Notepad.

Wenn Sie „nur“ einen Block von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- sehen, dann verfügen Sie „nur“ über das Serverzertifikat und das entsprechende, notwendige Intermediate Zertifikat fehlt Ihnen.

Beispiel

SSL Zertifikate


Sie können Ihr SSL-Zertifikat auch mit einem so genannten „SSL-Checker“ überprüfen lassen. Wir empfehlen Ihnen diesen SSL-Checker zu verwenden https://www.ssllabs.com/ssltest/

Beispiel

Geben Sie Ihre URL ein, auf welcher das SSL-Zertifikat lautet und klicken auf den Button <<Submit>>

Es werden nun automatisch zahlreiche Tests durchgeführt. Nachdem alle Test durchgeführt wurden, scrollen Sie runter bis zu «Certification Paths» und klicken auf das +Zeichen. Hier sehen Sie folgende Informationen:

Finden Sie bei Position 2 den Text Sent by server ist das Intermediate-Zertifikat auf dem AbaSi-oux stand alone vorhanden. Fehlt das Intermediate-Zertifikat erhalten Sie die Meldung «Extra download». In diesem Fall wird empfohlen gemäss Kapitel 7.5.3 vorzugehen.

SSL Zertifikate


7.5.3 Implementation eines Intermediate-Zertifikates


Fehlt Ihnen das intermediate Zertifikat, sollte Ihnen der Hersteller, bei welchem Sie das SSL-Zertifikat bestellt haben, dieses zur Verfügung stellen können.

Achten Sie darauf, dass Sie das gewünschte intermediate Zertifikat im Format .pem erhalten.

Arbeitsablauf

1. Öffnen Sie das Server-Zertifikat mit einem Text-Editor Programm 2. Öffnen Sie das Intermediate-Zertifikat anschliessend ebefalls mit einem Text-Editor Programm 3. Kopieren Sie den ganzen Block inkl. der Beschriftung -----BEGIN CERTIFICATE----- und -----

END CERTIFICATE----- des Intermediate-Zertifikats und fügen diesen ohne Leerzeile unter-halb des Blockes des Server-Zertifikates ein – siehe Beispiel.

Beispiel

3. Stoppen und Starten Sie anschliessend die beiden Abacus-Dienste AbaSioux (falls dieser läuft) und AbaSiouxSecure auf dem AbaSioux stand alone.

Documents

Installationsanleitung AbaSioux stand alone€¦ · Einleitung Installationsanleitung AbaSioux stand alone v1.1 Seite 3 1 Einleitung 1.1 Wichtige Begriffe Nachfolgend werden die Begriffe