Konfiguration einer Zwei-Wege-Authentifizierung (Mutual TLS)

IT Asset Management (Cloud)
Bei Verwendung des HTTPS-Protokolls zur Kommunikation zwischen einem verwalteten inventarisierten Gerät (dem Client) und einer Inventarisierungsstation (dem Server) wird die Kommunikation durch eine von zwei Arten von Transport Layer Security (TLS) geschützt:
  • Beim unilateralen oder Standard-TLS verfügt der Server über ein gültiges Zertifikat und ein öffentlich/privates Schlüsselpaar (nicht jedoch der Client). Um gültig zu sein, muss das Zertifikat von einer Zertifizierungsstelle ausgegeben worden sein, der auch der Client vertraut (und natürlich stimmt der DNS-Name auf dem Zertifikat mit dem DNS-Namen des Servers überein). Wenn sich der Client mit dem Server verbindet, präsentiert der Server sein TLS-Zertifikat und der Client überprüft dieses Zertifikat des Servers. Es kann auch eine Widerrufsprüfung des Zertifikats erfolgen, um sicherzugehen, dass das Zertifikat nicht irgendwann widerrufen wurde. Wenn das Zertifikat erfolgreich verifiziert werden konnte, erfolgt die Kommunikation ab diesem Punkt über eine verschlüsselte TLS-Verbindung.
  • Bei der gegenseitigen TLS-Authentifizierung (Mutual TLS) verfügen sowohl der Client als auch der Server über gültige Zertifikate und beide Seiten überprüfen die Zertifikate des jeweils anderen.
    1. Wenn sich der Client mit dem Server verbindet, präsentiert der Server sein TLS-Zertifikat und der Client überprüft dieses Zertifikat des Servers, also genau so, wie auch beim Standard-TLS.
    2. Dann präsentiert der Client sein TLS-Zertifikat und der Server überprüft das Zertifikat des Clients. Dies ist eine viel einfachere Form der Überprüfung, denn es wird nur festgestellt, ob das Client-Zertifikat ein gültiges Format hat und für das aktuelle Datum gültig ist (es gibt jedoch keine Widerrufsprüfung).
    3. Wenn beide Zertifikate erfolgreich verifiziert werden konnten, erfolgt die Kommunikation über eine verschlüsselte TLS-Verbindung.
In diesem Hilfethema geht es um die zweite Form der Authentifizierung, die gegenseitige TLS-Authentifizierung oder Mutual TLS.
Bei der Konfiguration eines inventarisierten Zielgeräts für die gegenseitige TLS-Authentifizierung müssen auf dem Gerät eine Reihe von Einstellungen vorgenommen werden. Bei UNIX-ähnlichen Plattformen werden die entsprechenden Einstellungen in der Datei config.ini hinterlegt, die als Pseudo-Registry fungiert. Weitere Informationen zur Antwortdatei finden Sie unter.Gathering FlexNet Inventory. Sehen Sie für UNIX-ähnliche Plattform folgende Einstellungen nach:
  • AddClientCertificateAndKey
  • SSLClientCertificateFile
  • SSLClientPrivateKeyFile.
Auf Seiten der Inventarisierungsstation umfasst der folgende Ablauf die Konfiguration der Software FlexNet Beacon selbst, sowie die Konfiguration von IIS, damit es die gegenseitige TLS-Authentifizierung unterstützt und verlangt. Nachdem die Inventarisierungsstation auf diese Weise konfiguriert wurde, können nur noch inventarisierte Geräte mit entsprechend gesetzten Einstellungen Richtlinien von dieser Inventarisierungsstation empfangen und Inventar auf diese hochladen.

So konfigurieren Sie das System für die gegenseitige TLS-Authentifizierung:

  1. Rufen Sie die Benutzeroberfläche der Inventarisierungsstation auf (zum Beispiel Start > FlexNet Beacon).
    Hinweis: Für das Ausführen der Inventarisierungsstationssoftware wird ein Konto mit Administratorrechten benötigt.
  2. Wählen Sie in der Navigationsleiste auf der linken Seite aus der Gruppe Beacon configuration (Stationskonfiguration) die Registerkarte Local web server (Lokaler Webserver).
  3. Markieren Sie unter Web Server Settings (Webserver-Einstellungen) das Optionsfeld IIS web server (IIS-Webserver).
    Eine Unterstützung der gegenseitigen TLS-Authentifizierung ist nur durch IIS möglich.
  4. Klicken Sie auf Save (Speichern).
    Es wird eine „IIS Configuration“-Warnung angezeigt, um Sie daran zu erinnern, dass diese Einstellung nicht die IIS-Einstellungen ändert, sondern lediglich dem inventarisierten Zielgerät Ihre Absichten mitteilt.
    Die Inventarisierungsstation konfiguriert IIS nicht für die Verwendung von HTTPS. 
    Bitte konfigurieren Sie IIS manuell für die Verwendung von HTTPS.
    Klicken Sie auf OK, um die Warnung zu löschen, und beenden Sie die Aktion, indem Sie Ihre Einstellungen für die Inventarisierungsstation speichern.
  5. Führen Sie den IIS Manager auf dieser Inventarisierungsstation aus (zum Beispiel: Start > Administrative Tools > Internet Information Services (IIS) Manager).
  6. Vergewissern Sie sich, dass der Server im linken Fenster Connections (Verbindungen) ausgewählt ist, und klicken Sie in der Gruppe IIS (mittleres Fenster) doppelt auf Server Certificates (Server-Zertifikate).
    Ihre Aktion hier hängt davon ab, in welcher Phase des Vorgangs Sie sich befinden:
    • Wenn Sie noch kein Server-Zertifikat haben, fahren Sie mit Schritt 7 fort.
    • Wenn Sie bereits ein Zertifikat (.cer-Datei) von Ihrer Zertifizierungsstelle (CA) erhalten haben, machen Sie mit Schritt 8 weiter.
    • Wenn Sie bereits ein Zertifikat im .pfx-Format haben, gehen Sie zu Schritt 9.
  7. So erstellen Sie eine Zertifikatssignierungsanforderung (CSR) für eine Zertifizierungsstelle, damit sie Ihnen ein neues Zertifikat ausstellt:
    1. Wählen Sie im rechten Fenster Actions (Aktionen) die Option Create Certificate Request... (Zertifikatsanforderung erstellen).
      Der Assistent Request Certificate zur Zertifikatsanforderung wird eingeblendet.
    2. Geben Sie auf der Seite Distinguished Name Properties (Distinguished Name - Eigenschaften) die folgenden Daten ein:
      Common name (Allgemeiner Name)

      Geben Sie den vollständig qualifizierten Domänennamen (FQDN) für den Internetauftritt Ihres Unternehmens an (etwa www.beispiel.com).

      Organization

      Geben Sie den (im Handelsregister) eingetragenen Namen Ihres Unternehmens an (etwa Ihre Firma GmbH).

      Organizational unit (Unternehmenseinheit)

      Geben Sie hier optional den Namen Ihrer Abteilung innerhalb des Unternehmens an. Sie können einen Wert wie IT verwenden oder auch Internetsicherheit oder Sie lassen dieses Feld leer.

      City/locality (Ort/Lokalität)

      Geben Sie den (vollständigen) Namen des Ortes an, an dem sich Ihr Unternehmen befindet (laut Eintragung im Handelsregister). Beachten Sie den Hinweis im Dialogfeld, dass offizielle Namen ohne Abkürzungen verwendet werden müssen.

      State/province (Bundesland) Geben Sie das Bundesland Ihres Unternehmens laut Handelsregister an.
      Country/region (Land/Region)

      Wählen Sie aus der Dropdownliste das Land aus, in dem Ihr Unternehmen ansässig ist.

    3. Klicken Sie auf Next (Weiter).
    4. Geben Sie auf der Seite Cryptographic Service Provider Properties (Kryptografiedienstanbieter - Eigenschaften) die folgenden Daten ein:
      Cryptographic service provider (Kryptografiedienstanbieter)

      Wählen Sie aus der Dropdownliste die Option Microsoft RSA SChannel Cryptographic Provider, es sei denn, Sie haben einen anderen eigenen Kryptografiedienstanbieter.

      Bit length (Bitlänge)

      Wählen Sie aus der Dropdownliste den Wert 2048, es sei denn, Sie haben einen bestimmten Grund, eine größere Bitlänge zu wählen.

    5. Klicken Sie auf Next (Weiter).
    6. Nutzen Sie auf der Seite File Name (Dateiname) die Schaltfläche zum Blättern (), um nach einem Speicherort zu suchen, an dem Sie Ihre Zertifikatssignierungsanforderung (CSR) ablegen möchten. (Das Standardverzeichnis ist C:\Windows\System32.)
      Tipp: Notieren Sie sich den Dateinamen und den Ablageort zur späteren Verwendung.
    7. Klicken Sie auf Finish (Fertig).
    8. Übermitteln Sie Ihre CSR-Datei an Ihre bevorzugte Zertifizierungsstelle.
    Wenn Sie Ihr Zertifikat von der Zertifizierungsstelle erhalten, setzen Sie den hier beschriebenen Vorgang bei Schritt 8 fort.
  8. Während Sie bei derselben Inventarisierungsstation angemeldet sind, auf der Sie Ihre Zertifikatssignierungsanforderung erstellt haben, machen Sie Folgendes:
    1. Speichern Sie die .cer-Datei von Ihrer CA auf der Inventarisierungsstation.
    2. Führen Sie den IIS Manager auf dieser Inventarisierungsstation aus (zum Beispiel: Start > Administrative Tools > Internet Information Services (IIS) Manager).
    3. Vergewissern Sie sich, dass der Server im linken Fenster Connections (Verbindungen) ausgewählt ist, und klicken Sie in der Gruppe IIS (mittleres Fenster) doppelt auf Server Certificates (Server-Zertifikate).
    4. Wählen Sie im rechten Fenster Actions (Aktionen) die Option Complete Certificate Request... (Zertifikatsanforderung abschließen).
      Der Assistent Complete Certificate Request zum Abschließen der Zertifikatsanforderung wird eingeblendet.
    5. Geben Sie auf der Seite Specify Certificate Authority Response (Antwort der Zertifizierungsstelle eingeben) die folgenden Daten ein:
      File name containing the certificate authority's response (Dateiname mit der Antwort der Zertifizierungsstelle)

      Verwenden Sie die Schaltfläche zum Blättern (...), um die .cer-Datei auszuwählen, die Sie auf dieser Inventarisierungsstation gespeichert haben.

      Friendly name (Anzeigename)

      Vergeben Sie einen sinnvollen Namen zum Identifizieren des Zertifikats. Es hat sich bewährt, in den Anzeigenamen die CA und das Ablaufdatum aufzunehmen, z. B. meinesite-zertstelle-20221215.

      Select a certificate store for the new certificate (Zertifikatsspeicher für das neue Zertifikat wählen)

      Wählen Sie aus der Dropdownliste den lokalen Speicher auf der Inventarisierungsstation, in dem das Zertifikat hinterlegt werden soll (der Speicher Web Hosting wird aufgrund von Leistung und Größenordnung empfohlen, wenn dieser Server aber nur wenige Zertifikate hat, kann auch der Personal-Speicher ausreichen.

    6. Klicken Sie auf OK.
    Ihr SSL-Zertifikat wird gespeichert. Jetzt müssen Sie dieses Zertifikat noch der entsprechenden Website zuweisen und die Protokolle (Bindungen) festlegen, die verwendet werden sollen. Springen Sie dazu zu Schritt 10.
  9. So importieren Sie Ihr Zertifikat im Format .pfx:
    1. Wählen Sie im rechten Fenster Actions (Aktionen) die Option Import... (Importieren...).
    2. Verwenden Sie im Dialogfeld Import Certificate (Zertifikat importieren) die Schaltfläche zum Blättern (...), um Ihre .pfx-Zertifikatsdatei (Certificate file) auszuwählen.
    3. Geben Sie außerdem Ihr Password (Kennwort) für Ihren privaten Schlüssel für diesen Inventarisierungsstationsserver an.
    4. Wählen Sie aus der Dropdownliste Select Certificate Store (Zertifikatsspeicher auswählen) den lokalen Speicher auf der Inventarisierungsstation, in dem das Zertifikat hinterlegt werden soll (der Speicher Web Hosting wird aufgrund von Leistung und Größenordnung empfohlen, wenn dieser Server aber nur wenige Zertifikate hat, kann auch der Personal-Speicher ausreichen.
    5. Achten Sie darauf, dass das Kontrollkästchen Allow this certificate to be exported (Export dieses Zertifikats zulassen) markiert bleibt.
    6. Klicken Sie auf OK, um jedes Zertifikat im ausgewählten Speicher abzulegen und beginnen Sie bei Bedarf wieder von vorne und wiederholen Sie diese Schritte für alle weiteren Zertifikate, die für die Zertifizierungskette erforderlich sind. Wenn Sie fertig sind, schließen Sie das Dialogfeld Import Certificate (Zertifikat importieren).
    Machen Sie mit diesem Vorgang bei Schritt 10 weiter
  10. Richten Sie die Bindungen für diesen Webserver ein:
    1. Erweitern Sie, falls erforderlich, in IIS den Serverdatensatz, erweitern Sie Sites und wählen Sie die Website, die Sie mit dem hinterlegten Zertifikat schützen möchten (vermutlich die Default Web Site (Standard-Website)).
    2. Wählen Sie im Aktionsfenster (Actions) rechts die Option Bindings... (Bindungen...). (Alternativ können Sie auch mit der rechten Maustaste auf den Namen der Website links in der Liste Connections (Verbindungen) klicken und Edit Bindings... (Bindungen bearbeiten...) auswählen.)
    3. Wählen Sie im Dialogfeld Site Bindings (Site-Bindungen) die Option Add... (Hinzufügen...).
    4. Im Dialogfeld Add Site Bindings (Site-Bindungen hinzufügen) machen Sie Folgendes:
      1. Setzen Sie den Type auf https.
      2. Setzen Sie IP address auf All Unassigned (Alle nicht zugewiesen).
      3. Setzen Sie Port auf 443 (oder Ihren bevorzugten Nicht-Standard-Port für die HTTPS-Kommunikation).
      4. Setzen Sie Host name auf den Hostnamen für diese Inventarisierungsstation. Diesen Hostnamen nutzen die inventarisierten Zielgeräte, um Ihr Inventar hochzuladen.
        Tipp: Wenn dieses Feld leer gelassen wird, wird der Servername verwendet, der derzeit in der linken Navigationsleiste der IIS-Einstellungen ausgewählt ist. Sie können auch die Konvention https://localhost... verwenden. Natürlich müssen Sie sicherstellen, dass der von Ihnen verwendete Servername auf Ihrem DNS-Server mit einer entsprechenden IP-Adresse konfiguriert ist.
      5. Markieren oder entmarkieren Sie das Kontrollkästchen Require Server Name Indication (Servernamen-Indikation erforderlich) nach Ihren Anforderungen.
      6. Wählen Sie für das Feld SSL certificate (SSL-Zertifikat) Ihr hinterlegtes Server-Zertifikat aus.
      7. Klicken Sie auf OK.
      8. Klicken Sie auf Close (Schließen), um das Dialogfeld mit Ihren Site-Bindungen (Site Bindings) zu schließen.
  11. Klicken Sie im Fenster Connections (Verbindungen) auf der linken Seite erneut auf die Website, um die Startseite (Homepage) für diese Site anzuzeigen. Doppelklicken Sie dann im mittleren Fenster in der Gruppe IIS auf SSL Settings (SSL-Einstellungen).
  12. Auf der Seite SSL Settings (SSL-Einstellungen) machen Sie Folgendes:
    1. Markieren Sie das Kontrollkästchen Require SSL (SSL verlangen).
    2. Markieren Sie unter Client certificates (Client-Zertifikate) das Optionsfeld Require (Verlangen).
      Diese Einstellung hat zur Folge, dass alle inventarisierten Geräte, die mit dieser Inventarisierungsstation kommunizieren möchten, ein Client-Zertifikat für die gegenseitige TLS-Authentifizierung vorweisen müssen.
    3. Klicken Sie im Aktionsfenster (Actions) rechts auf Apply (Übernehmen).
  13. Klicken Sie im Fenster Connections (Verbindungen) links auf die Standard-Website, um zu ihrer Startseite zurückzukehren. Klicken Sie anschließend rechts im Aktionsfenster Actions auf Restart (Neustart). (Alternativ können Sie mit der rechten Maustaste auf die Website klicken und aus dem Kontextmenü Manage Website > Restart (Website verwalten > Neutstart) auswählen.)

Ab dem Neustart können inventarisierte Geräte nur noch mit dieser Inventarisierungsstation kommunizieren, wenn sie ein gültiges Client-Zertifikat vorweisen können.

Weitere Informationen zum Einrichten der Zertifikate auf Client-Seite, die zur Vervollständigung der Infrastruktur für die gegenseitige TLS-Authentifizierung erforderlich sind, finden Sie im Thema Common: Supporting Mutual TLS des Referenzleitfadens Gathering FlexNet Inventory, der unter http://docs.flexera.com verfügbar ist.

IT Asset Management (Cloud)

Current