- 20 Dec 2023
- 1 Minute zum Lesen
- Drucken
- DunkelLicht
- pdf
So erstellen Sie TLS-Zertifikate
- Aktualisiert am 20 Dec 2023
- 1 Minute zum Lesen
- Drucken
- DunkelLicht
- pdf
Aus Sicherheitsgründen wird für alle Integrationen dringend empfohlen, die Kommunikation mittels TLS zu sichern. Dadurch wird sichergestellt, dass alle wichtigen Datenübertragungen verschlüsselt und potenzielle Datenlecks und andere Schwachstellen verhindert werden. Nachfolgend finden Sie eine Anleitung zur Erstellung eines gültigen TLS-Zertifikats, das mit dem Reconeyez-System kompatibel ist.
Verifizierung des Inhabernamens (Subject Name)
Der im Mai 2000 veröffentlichte RFC 2818 empfiehlt die Verwendung des Common Name (CN)-Feldes in TLS-Zertifikaten zur Überprüfung des Inhabers. Mit dem Integrationsmodul Version 1.13 von Reconeyez, das einen TLS-Client verwendet, wird dies nicht länger unterstützt. TLS-Zertifikate ohne den Abschnitt Subject Alternative Name (SAN) können somit nicht mehr zu Verifizierungszwecken verwendet werden.
Kunden, die TLS ohne SANs verwenden, müssen ihre Zertifikate aktualisieren, um den neuen Anforderungen gerecht zu werden. Vor allem müssen die Kunden die externen DNSs und/oder IPs dem Subject Alternative Names (SAN)-Feld des Zertifikats hinzufügen.
Selbstsignierte Zertifikate
Wie Sie ein selbstsigniertes TLS-Zertifikat mit IP-SANs erstellen können, erfahren Sie unter anderem in dieser Anleitung: https://medium.com/@antelle/how-to-generate-a-self-signed-ssl-certificate-for-an-ip-address-f0dd8dddf754
Der Kunde muss den Reconeyez-Support benachrichtigen, wenn das Zertifikat erstellt und auf den Server angewendet wird. Dies ist erforderlich, da das Zertifikat selbstsigniert ist und deshalb vom Reconeyez-Support zum Root-CA-Pool auf dem entsprechenden Reconeyez-Server hinzugefügt werden muss, um den Aussteller verifizieren zu können. Beachten Sie, dass der Reconeyez-Support das Zertifikat auch im Root-CA-Pool des Servers aktualisieren muss, wenn es abläuft und ein neues Zertifikat erstellt wird.
Zertifikatskette
Um dies zu vermeiden, kann der Kunde sein eigenes Root-CA-Zertifikat und seine eigene Zertifikatskette erstellen (https://www. olinuxcloud.com/openssl-create-certificate-chain-linux/) und diese anschließend dem Reconeyez-Support zur Verfügung stellen, sodass sie unserem Root-CA-Pool hinzugefügt werden. Dies verringert die zukünftige Wartungslast.