SSL-Zertifikate erzeugen für das Drucken mit ThinPrint Technische Information ThinPrint GmbH Alt-Moabit 91 a 10559 Berlin Germany / Alemania Cortado, Inc. 7600 Grandview Avenue Suite 200 Denver, Colorado 80002 USA / EEUU Cortado Pty. Ltd. Level 20, The Zenith Centre, Tower A 821 Pacific Highway Chatswood, NSW 2067 Australia E-Mail: info@thinprint.com Web: www.thinprint.com Stand: 9. April 2015 (v45) Hinweise © Copyright Dieses Dokument ist geistiges Eigentum der ThinPrint GmbH. Es darf als Ganzes oder in Auszügen kopiert werden – vorausgesetzt, dass sich dieser Copyright-Vermerk auf jeder Kopie befindet. ® Eingetragene Warenzeichen Fast alle Hardware- und Software-Bezeichnungen, die in diesem Dokument erwähnt werden, sind gleichzeitig eingetragene Warenzeichen der jeweiligen Firma oder sollten als solche betrachtet werden. Sicherheitshinweis Alle ThinPrint-Produkte sind reine Software-Lösungen. Für Sicherheitshinweise zu Ihrer Hardware beachten Sie bitte die technischen Dokumentationen Ihres Hardware-Lieferanten und die der jeweiligen Geräteund Baugruppenhersteller. Vor Beginn der Installation empfehlen wir, alle offenen Fenster und Anwendungen zu schließen sowie Virenscanner zu deaktivieren. © ThinPrint GmbH 2015 2 Technische Information Inhalt Allgemeines zur SSL-Verschlüsselung ............................................................. 4 Welche Zertifikate brauche ich? ....................................................................................... 4 Verschlüsselt drucken durch Zertifikataustausch ................................................................. 4 Wie finde ich passende Zertifikate? ................................................................................... 6 Wie erstelle ich Zertifikate? .............................................................................................. 6 Welche Schlüssellänge ist sicher? ..................................................................................... 6 Zertifikate erstellen und installieren ................................................................. 7 1. Zertifikat-Server einrichten und Stammzertifikat erstellen ................................................ 7 2. Client-Zertifikat anfordern und ausstellen ..................................................................... 13 3. Client-Zertifikat abholen und installieren ..................................................................... 17 Client-Zertifikat: Benutzer- oder rechnergebunden? ...................................................... 19 4. Stammzertifikat exportieren ....................................................................................... 24 6. Stammzertifikat auf Server verteilen ............................................................................ 26 7. Server-Zertifikat installieren ....................................................................................... 28 ThinPrint Engine konfigurieren ......................................................................... 31 Verschlüsselungseinstellungen vornehmen ....................................................................... 31 Verschlüsselung aktivieren (pro ThinPrint Port) ................................................................ 32 ThinPrint Client konfigurieren ....................................................................................................... 34 © ThinPrint GmbH 2015 Fehler beheben ........................................................................... 33 Technische Information 3 Allgemeines zur SSL-Verschlüsselung Allgemeines zur SSL-Verschlüsselung Welche Zertifikate brauche ich? Bei ThinPrint ist eine Verschlüsselung mit SSL/TLS1 möglich. Hierzu benötigen Sie drei verschiedene Zertifikate: • ein Client-Zertifikat (pro Client-Rechner) • ein Server-Zertifikat (pro Server) • ein Stammzertifikat (pro Server) Die Client- und Server-Zertifikate werden vom Stammzertifikat (auch Root-, Wurzeloder Signierzertifikat genannt) unterschrieben. Das Client-Zertifikat wird auf dem Rechner2 installiert, auf dem der ThinPrint Client läuft. Das Server- und das Stammzertifikat installieren Sie auf dem Server, auf dem sich die ThinPrint Engine befindet. Die Verschlüsselung wird jeweils pro ThinPrint Port eingestellt. Auf dem Zertifikat-Server wird eine Stammzertifizierungsstelle (Certification Authority) eingerichtet und ein Stammzertifikat erzeugt. Anschließend können auf dem Zertifikat-Server Client- und Server-Zertifikate angefordert werden. Das Stammzertifikat kann ebenfalls per Download angefordert oder importiert und dann an alle Server einer Farm verteilt werden. Sie können den Zertifikat-Server selbst aufsetzen oder Stammzertifikate von einer offiziellen Stammzertifizierungsstellen erwerben. Die Stammzertifikate der bekannten Zertifizierungsstellen sind oft bereits im Betriebssystem integriert (siehe Bild 39 auf Seite 28) und müssen nicht erstellt oder importiert werden. Dann müssen nur Clientund Serverzertifikate beim entsprechenden Anbieter angefordert werden. Verschlüsselt drucken durch Zertifikataustausch Der Druckauftrag wird komprimiert und danach verschlüsselt von der ThinPrint Engine an den ThinPrint Client gesendet, und zwar unabhängig davon, welches Protokoll verwendet wird: TCP/IP oder ICA/RDP. Das heißt, die Verschlüsselung erfolgt unabhängig von und gegebenenfalls zusätzlich zur Verschlüsselung des virtuellen Kanals (ICA/RDP). Bei ThinPrint wird der einzelne Druckauftrag verschlüsselt, während bei Sitzungen auf Terminal-Servern oder virtuellen Desktops der (ICA/RDP-) Kanal verschlüsselt sein kann. Besonders sinnvoll ist eine Verschlüsselung, wenn Daten (teilweise) über TCP/IP übertragen werden, zum Beispiel wenn zentrale Druckserver zum Einsatz kommen. Der Druckauftrag wird mit ThinPrint vom Server verschlüsselt und vom ThinPrint Client entschlüsselt. Die SSL-Verschlüsselung verhindert • dass Dritte mithören • dass Druckdaten an den falschen Empfänger geschickt werden 4 1 Secure Socket Layer/Transport Layer Security 2 oder auf einer SSL-fähigen ThinPrint-Gateway-Appliance, siehe Seite 16. Technische Information ssl_d.fm © ThinPrint GmbH 2015 Der Druckauftrag soll nicht zum falschen Client gelangen. Das heißt, dass hier der Client beweisen muss, dass er berechtigt ist, vom Server Druckdaten zu empfangen. Allgemeines zur SSL-Verschlüsselung Dies wird durch das Client-Zertifikat gewährleistet, das vom Stammzertifikat (Signierzertifikat) des Servers unterschrieben wurde. Die folgende Grafik (Bild 1) veranschaulicht die Server-Client-Kommunikation (genannt Handshaking), die der Übertragung eines verschlüsselten Druckauftrags vorausgeht. Dabei ist die Kommunikation vereinfacht dargestellt; der Schwerpunkt liegt auf dem Einsatz der Zertifikate. Bild 1 Bild 1 Ablauf der Server-Client-Kommunikation, um verschlüsselt zu drucken (vereinfacht) © ThinPrint GmbH 2015 Der Server kündigt dem Client einen verschlüsselten Druckauftrag an. Der Client antwortet und teilt mit, ob er die Verschlüsselung entgegennehmen kann und welche kryptografischen Algorithmen er versteht (z.B. TLS 1.2). Dann sendet der Server sein Server-Zertifikat und seinerseits eine Liste der Algorithmen, die er versteht. Das Server-Zertifikat ist nur für das sogenannte Handshaking nötig, wo Client und Server sich authentifizieren. Außerdem fordert der Server das Client-Zertifikat an. Der Client sendet daraufhin sein Client-Zertifikat mit dem öffentlichen Schlüssel. Der Server prüft, ob das Client-Zertifikat vom Stammzertifikat unterschrieben ist. Der Server erzeugt nun einen Sitzungsschlüssel. Dies ist ein temporärer Schlüssel, der für jeden Druckauftrag neu erzeugt wird und nach Ankunft des Druckauftrags keine Gültigkeit mehr hat. Dieser Schlüssel wird aus verschiedenen Zufallszahlen gebildet, die Client und Server erzeugen. Der Server verschlüsselt diesen Sitzungsschlüssel mit dem öffentlichen Schlüssel, der ihm der Client geschickt hat. Der Client wiederum kann den Sitzungsschlüssel mithilfe seines privaten Schlüssels entschlüsseln (asymmetrische Verschlüsselung). Mit dem erzeugten Sitzungsschlüssel wird ab jetzt der gesamte Druckdaten-Verkehr verschlüsselt. Dies beginnt bereits mit der Ankündigung der Pakete, die gesendet werden sollen und den Header-Informationen. ssl_d.fm Technische Information 5 Allgemeines zur SSL-Verschlüsselung Wie finde ich passende Zertifikate? Um an die notwendigen Zertifikate zu gelangen, gibt es drei Möglichkeiten: 1. Zertifikate selbst erstellen (im Folgenden beschrieben) 2. Zertifikate bei Zertifizierungstelle kaufen 3. eigene Zertifizierungsstelle beantragen Sie können SSL-Zertifikate bei einer der bekannten Zertifizierungsstellen kaufen. Für größere Firmen lohnt es sich möglicherweise, eine eigene (Unter-)Zertifizierungsstelle zu beantragen, damit weitere Zertifikate selbständig erstellt und signiert werden können. Wir empfehlen Möglichkeit 1, nämlich die Zertifikate selbst zu erstellen. Neben der Kostenersparnis ist dies auch sicherer. Denn ein Zertifikat, das sich schon im Stammverzeichnis des Browsers befindet, kann eine Sicherheitslücke darstellen. In diesem Verzeichnis befinden sich bei den bekannten aktuellen Betriebssystemen standardmäßig mehrere Dutzend Zertifikate. Sobald eine sichere Verbindung aufgebaut werden soll, prüft der Server, ob das Client-Zertifikat von ihm unterschrieben ist. Und da alle Clients, die ein von dieser Zertifizierungsstelle unterschriebenes Zertifikat enthalten, diese Anforderungen erfüllen, könnte auch ein unberechtigter Client Daten von einem fremden Server empfangen. Dazu müsste dieser Client allerdings auch einen TCP-Port für verschlüsselte Druckaufträge verwenden. Das Umlenken der Druckaufträge auf den falschen Client würde darüber hinaus eine Manipulation des Servers erfordern. Aus diesem Grund empfehlen wir, Zertifikate selbst zu erstellen. Wie erstelle ich Zertifikate? SSL-Zertifikate basieren auf dem X.509-Standard. Um sie zu erzeugen, gibt es verschiedene Tools, zum Beispiel OpenSSL oder die Zertifikatdienste von Microsoft. Erzeugen Sie ein Stammzertifikat und ein Client-Zertifikat. Letzteres liegt (bei OpenSSL) in der Regel als .pem- oder .der-Datei vor, muss vom Stammzertifikat unterschrieben werden und anschließend ins Format .p12, .pfx oder .crt umgewandelt werden – oder in ein anderes Dateiformat, das von Windows verstanden wird. Bei Erzeugung des Zertifikats geben Sie die Verschlüsselungstiefe an. Dann erzeugen Sie, analog zum Client-Zertifikat, ein Server-Zertifikat. Sie haben dann drei Zertifikate, ein Server-, ein Client- und ein Stammzertifikat, wobei die Client- und Server-Zertifikate vom Stammzertifikat unterschrieben sind. Das Stammzertifikat können Sie für alle Ihre Server benutzen. Die Client- und Server-Zertifikate erzeugen Sie jedoch für jeden Client und jeden Server neu. Welche Schlüssellänge ist sicher? 6 Technische Information ssl_d.fm © ThinPrint GmbH 2015 Wenn Sie Zertifikate selbst erstellen oder kaufen, spielt die Verschlüsselungstiefe eine Rolle für die Sicherheit. Je länger der Schlüssel, desto höher ist der Aufwand für Unbefugte, ihn zu entschlüsseln. SSL kombiniert bei der Verschlüsselung symmetrische und asymmetrische Verschlüsselungsverfahren, die unterschiedliche Schlüssellängen erfordern. Symmet- Zertifikate erstellen und installieren risch bedeutet, dass Sender und Empfänger denselben Schlüssel benutzen, bei der asymmetrischen Verschlüsselung nehmen sie unterschiedliche. Der Sitzungsschlüssel (session key), mit dem die Druckdaten verschlüsselt werden, ist ein symmetrischer Schlüssel. Hier gilt eine Schlüssellänge von 128 bit als sicher. Der Sitzungsschlüssel wiederum wird asymmetrisch verschlüsselt und so zusammen mit den Druckdaten übertragen. Für diese Übermittlung gilt eine Länge von 1024 bit als sicher. Entschlüsselt wird diese Nachricht mit dem privaten Schlüssel des Clients, der auf dem Client-Rechner im Zertifikatspeicher bei der Zertifikat-Erzeugung hinterlegt wurde. Zertifikate erstellen und installieren In diesem Kapitel wird gezeigt, wie Sie Zertifikate mit den Microsoft-Zertifikatdiensten erstellen und installieren. Neben dem hier beschriebenen Weg können Sie auch Zertifikate mit OpenSSL erzeugen. Hier zeigen wir Ihnen die Erstellung von Zertifikaten am Beispiel von Windows Server 2008 R23. Im Folgenden wird Schritt für Schritt beschrieben, wie Sie einen Zertifikat-Server einrichten, ein Stammzertifikat erstellen und Client- und Server-Zertifikate beim Zertifikat-Server anfordern und anschließend auf Client und Server installieren. Hierfür benötigen Sie Administrator-Rechte auf dem Server. Der Zertifikat-Server Empfehlenswert ist, einen eigenen Zertifikat-Server einzurichten, auf dem nur die Zertifizierung vorgenommen wird und keine anderen Programme laufen. Auf diesem Server wird die Zertifizierungsstelle eingerichtet und das Stammzertifikat erzeugt. Die Client- und Server-Zertifikate werden hier angefordert und ausgestellt. Ist diese Operation abgeschlossen und sind alle Zertifikate auf Server und Clients verteilt, kann der Zertifikat-Server abgeschaltet werden – solange, bis ein neues Zertifikat benötigt wird. 1. Zertifikat-Server einrichten und Stammzertifikat erstellen © ThinPrint GmbH 2015 – Öffnen Sie auf dem Zertifikat-Server den Server Manager über START → VERWALTUNG → SERVER MANAGER. Wählen Sie jetzt ROLLEN und starten anschließend in der Rollenübersicht den Assistenten ROLLEN HINZUFÜGEN. 3 ssl_d.fm Für tiefergehende Informationen über die Microsoft-Zertifikatdienste lesen Sie auch die Microsoft-Dokumentation. Technische Information 7 Zertifikate erstellen und installieren Bild 2 Bild 2 Serverrollen auf dem Zertifikat-Server aktivieren – Setzen Sie ein Häkchen bei ACTIVE DIRECTORY-ZERTIFIKATDIENSTE und bei WEBSERVER (IIS) (Bild 2). Aktivieren Sie hier außerdem die DATEIDIENSTE (falls noch nicht installiert). – Das Stammzertifikat ist rechnergebunden. Deshalb erhalten Sie eine Meldung, dass der Computer nun nicht mehr umbenannt werden kann, keiner Domäne mehr beitreten und nicht aus einer solchen entfernt werden kann. Bestätigen Sie diese Meldung. © ThinPrint GmbH 2015 8 Technische Information ssl_d.fm Zertifikate erstellen und installieren Bild 3 Bild 3 Rollendienste für AD-Zertifikatdienste auswählen – Anschließend müssen Sie die Rollendienste auswählen, die für die Active Directory-Zertifikatdienste installiert werden sollen. Wählen Sie ZERTIFIZIERUNGSSTELLE und ZERTIFIZIERUNGSSTELLEN-WEBREGISTRIERUNG aus (Bild 3). Bild 4 Bild 4 Rollendienste für Webserver (IIS) hinzufügen © ThinPrint GmbH 2015 – Sie erhalten eine Meldung (Bild 4), dass weitere Rollendienste (für die Zertifizierungsstellen-Webregistrierung) hinzugefügt werden müssen. Bestätigen Sie diese Meldung. ssl_d.fm Technische Information 9 Zertifikate erstellen und installieren Bild 5 Bild 5 Zertifizierungsstellentyp angeben – Im nächsten Dialog bestimmen Sie die Art der Zertifizierungsstelle. Wählen Sie EIGENSTÄNDIG und klicken dann WEITER. – Wählen Sie im folgenden Dialog (Bild 5) STAMMZERTIFIZIERUNGSSTELLE als Zertifizierungsstellentyp und klicken dann auf WEITER. Im anschließenden Dialog wählen Sie NEUEN PRIVATEN SCHLÜSSEL ERSTELLEN und klicken dann auf WEITER. Bild 6 10 © ThinPrint GmbH 2015 Bild 6 Kryptografie auswählen Technische Information ssl_d.fm Zertifikate erstellen und installieren – Danach müssen Sie die Kryptographie für den neu zu erstellenden, privaten Schlüssel bestimmen. Wählen Sie dazu einen Kryptografiedienstanbieter, die Schlüssellänge und einen Hash-Algorithmus aus. Behalten Sie ggf. die vorgestellten Einstellungen bei (Bild 6). Bild 7 . Bild 7 Name der Zertifizierungsstelle eingeben © ThinPrint GmbH 2015 – Danach können Sie der Zertifizierungsstelle einen allgemeinen Namen geben (Bild 7). Im folgenden Dialog wird die Gültigkeitsdauer des Stammzertifikates festgelegt, zum Beispiel auf fünf Jahre, klicken Sie dann auf WEITER. ssl_d.fm Technische Information 11 Zertifikate erstellen und installieren Bild 8 Bild 8 Stammzertifikat speichern – Anschließend werden Sie gefragt, wo Sie die Daten speichern möchten. Sie können den voreingestellten Pfad übernehmen und WEITER klicken (Bild 8). – Jetzt wird der Webserver (IIS) als Rolle hinzugefügt, bestätigen Sie den Dialog mit WEITER. Behalten Sie die Rollendienste im nächsten Dialog wie vorgegeben bei (Bild 9) und klicken anschließend auf WEITER. Bild 9 12 © ThinPrint GmbH 2015 Bild 9 Rollendienste für den Webserver (IIS) bestätigen Technische Information ssl_d.fm Zertifikate erstellen und installieren Im letzten Dialog: INSTALLATIONSAUSWAHL BESTÄTIGEN werden Sie darüber informiert, dass der Server nach der Installation neu gestartet werden muss und dass der Computername und die Domaineinstellungen nicht mehr geändert werden können. Klicken Sie auf INSTALLIEREN um den Vorgang zu starten. Sie haben nun eine Stammzertifizierungsstelle (oder CA/Certification Authority) auf Ihrem Server eingerichtet. Das heißt, dass das Stammzertifikat nun Client- und Server-Zertifikate unterschreiben und ausstellen kann. Bild 10 Bild 10 Zertifizierungsstelle auf dem Server Die Zertifizierungsstelle (Bild 10), die Sie im ersten Schritt eingerichtet haben, finden Sie unter START → VERWALTUNG→ ZERTIFIZIERUNGSSTELLE. Hier liegt auch das soeben erstellte Stammzertifikat, das heruntergeladen und dann auf alle Server der Farm verteilt werden kann. 2. Client-Zertifikat anfordern und ausstellen Der nächste Schritt ist die Erstellung der Client-Zertifikate. Diese werden bei der Zertifizierungsstelle (Zertifikat-Server) angefordert, vom eben erstellten Stammzertifikat unterschrieben und freigegeben. Hier wird beschrieben, wie Sie ein Client-Zertifikat anfordern und installieren. © ThinPrint GmbH 2015 Client-Zertifikat anfordern ssl_d.fm Technische Information 13 Zertifikate erstellen und installieren – Öffnen Sie auf dem Zertifikat-Server einen Internet-Browser (am besten Internet Explorer) und rufen Sie die Webseite des Servers auf. Geben Sie nach IP-Adresse oder Hostnamen des Servers „/CERTSRV“ ein, wie zum Beispiel: HTTP://LOCALHOST/CERTSRV. Wenn Sie die Webseite nicht aufrufen können, kontrollieren Sie, ob die Rolle WEBSERVER (IIS) auf dem Server läuft4. Bild 11 Bild 11 Webseite des Zertifikat-Servers: Zertifikat anfordern – Bei der aufgerufenen Webseite fordern Sie ein Client-Zertifikat an, indem sie REQUEST A CERTIFICATE (EIN ZERTIFIKAT ANFORDERN) auswählen (Bild 11). Bild 12 Bild 12 Webseite des Zertifikat-Servers: Zertifikat-Typ auswählen – Sie werden nach dem Zertifikat-Typ gefragt (Bild 12). Wählen Sie zum Beispiel WEB BROWSER CERTIFICATE (WEBBROWSERZERTIFIKAT). Hierbei ist der Zertifikattyp irrelevant, da die ThinPrint Engine nicht prüft, ob das Zertifikat bestimmte Bedingungen erfüllt, sondern nur, ob es vom Stammzertifikat unterschrieben wurde. 14 Wenn der Aufruf fehlschlägt, beheben Sie mögliche Fehlerquellen: Überprüfen Sie auf dem Server, ob in den AD-ZERTIFIKATDIENSTEN die ROLLENDIENSTE: ZERTIFIZIERUNGSSTELLE und ZERTIFIZIERUNGSSTELLEN-WEBREGISTRIERUNG aktiviert sind (BILD 3). Synchronisieren Sie Datum und Uhrzeit aller beteiligten Rechner. Beenden Sie ggf. andere Dienste, die auf Port 80 laufen. Technische Information ssl_d.fm © ThinPrint GmbH 2015 4 Zertifikate erstellen und installieren Bild 13 Bild 13 Webseite des Zertifikat-Servers: Weitere Optionen aufrufen – Daraufhin erscheint die Seite WEB BROWSER CERTIFICATE - IDENTIFYING INFORMATION (WEBBROWSERZERTIFIKAT - IDENTIFIZIERUNGSINFORMATIONEN) (Bild 13). Wählen Sie unten den Button MORE OPTIONS (WEITERE OPTIONEN) und auf der folgenden Seite den Link USE THE ADVANCED CERTIFICATE REQUEST FORM (ERWEI5 TERTE ZERTIFIKATSANFORDERUNG) . – Sie erhalten beim Herunterscrollen folgende Seite (Bild 14): Bild 14 Bild 14 Client-Zertifikat anfordern und Schlüsseloptionen festlegen: Schlüssel als exportierbar markieren © ThinPrint GmbH 2015 – Füllen Sie oben die Textfelder aus. Übernehmen Sie darunter die Voreinstellungen mit einer Ausnahme: Setzen Sie ein Häkchen bei MARK KEYS AS EXPORTABLE (SCHLÜSSEL ALS „EXPORTIERBAR “ MARKIEREN) wie in Bild 14. Bestätigen Sie Ihre Angaben mit dem SUBMIT-Button ganz unten. Sie erhalten einen Hinweis, dass 5 ssl_d.fm Wenn der genannte Link inaktiv ist, ändern Sie die Sicherheitseinstellungen Ihres Browsers (Scripting aktivieren, Webseite als vertrauenswürdig einstufen, Active X Control aktivieren unter EXTRAS→ INTERNETOPTIONEN→ SICHERHEIT→ STUFE ANPASSEN...). Technische Information 15 Zertifikate erstellen und installieren Sie nur vertrauenswürdigen Webseiten das Anfordern eines Zertifikats gestatten sollten und werden gefragt, ob Sie ein Zertifikat anfordern möchten. Bestätigen Sie mit JA. Bild 15 Bild 15 Webseite des Zertifikat-Servers: Zertifikat erfolgreich angefordert Sie erhalten eine Bestätigung, dass die Zertifikatsanforderung erfolgreich war (Bild 15). Sie müssen keine zehn Tage warten, sondern nur solange, bis die Ausstellung des Zertifikats vorgenommen wurde (Seite 16). Gateway Appliances als Client Client-Zertifikat ausstellen Neben einem Windows-PC ist es auch möglich, zu ThinPrint-Gateway-Appliances verschlüsselt zu drucken, die durch einen integrierten ThinPrint Client in der Lage sind, Druckaufträge zu entschlüsseln. Dies ist beispielsweise der Fall bei den Appliances TPG-25/65/125 und ISD300/4x0 des Herstellers SEH. Hier wird das Client-Zertifikat über die Webseite der Appliance angefordert. Wie das geht, lesen Sie in der Technischen Dokumentation SEH TPG als ThinPrint Client Gateway, bzw. SEH ISD als ThinPrint Client Gateway. – Um das soeben angeforderte Client-Zertifikat ausstellen zu können, öffnen Sie auf dem Zertifikat-Server über START → VERWALTUNG den Ordner ZERTIFIZIERUNGSSTELLE. Hier finden Sie unter AUSSTEHENDE ANFORDERUNGEN die angeforderten Zertifikate (Pfeil in Bild 16). – Markieren Sie das Zertifikat und wählen mit der rechten Maustaste ALLE AUFGABEN→ AUSSTELLEN (BILD 16). Damit stellen Sie das Client-Zertifikat aus und unterschreiben es mit dem Stammzertifikat des Servers. Bild 16 16 Zertifizierungsstelle des Servers: Zertifikat ausstellen im Ordner AUSSTEHENDE ZERTIFIKATE Technische Information ssl_d.fm © ThinPrint GmbH 2015 Bild 16 Zertifikate erstellen und installieren Bild 17 Bild 17 Zertifizierungsstelle des Servers: ausgestelltes Zertifikat im Ordner AUSGESTELLTE ZERTIFIKATE – Das Client-Zertifikat verschwindet dann aus dem Ordner AUSSTEHENDE ANFORDERUNGEN und befindet sich nun im Ordner AUSGESTELLTE ZERTIFIKATE (Pfeil in Bild 17). 3. Client-Zertifikat abholen und installieren Das von der Stammzertifizierungsstelle ausgestellte Zertifikat können Sie nun auf der Webseite des Zertifikat-Servers abholen. – Öffnen Sie den gleichen Browser, mit dem Sie die Zertifikatsanforderung gestellt haben (Bild 11) und geben nochmal die Website des Servers ein (Beispiel: HTTP://LOCALHOST/CERTSRV). Bild 18 Bild 18 Webseite des Servers: ausgestelltes Zertifikat abholen – Wählen Sie auf dieser Webseite diesmal: VIEW THE STATUS OF A PENDING CERTIFICATE REQUEST (STATUS AUSSTEHENDER ZERTIFIKATE ANZEIGEN) (Bild 18). © ThinPrint GmbH 2015 Bild 19 Bild 19 ssl_d.fm Webseite des Servers: ausgestelltes Zertifikat auswählen Technische Information 17 Zertifikate erstellen und installieren – Sie erhalten die angeforderten Zertifikate zur Auswahl, die vom Server ausgestellt wurden (Bild 19). Wählen Sie Ihr Zertifikat. Bild 20 Bild 20 Webseite des Servers: ausgestelltes Zertifikat installieren – Sie erhalten die Nachricht, dass das ausgewählte Zertifikat ausgestellt wurde. Installieren Sie mit dem angezeigten Link (Bild 20) dieses Zertifikat auf dem Zertifikat-Server. Es erscheint eine Sicherheitsabfrage, ob Sie der angezeigten Webseite vertrauen. Bestätigen Sie mit JA. Bild 21 Bild 21 Webseite des Servers: Zertifikat wurde erfolgreich installiert – Sie erhalten die Meldung, dass Ihr Zertifikat erfolgreich installiert wurde: YOUR NEW CERTIFICATE HAS BEEN SUCCESSFULLY INSTALLED (DAS NEUE ZERTIFIKAT WURDE INSTALLIERT) (Bild 21). Sie können den Browser nun schließen. Das Zertifikat ist für ein Jahr gültig. – Sie finden das Client-Zertifikat in der MMC Ihres Zertifikatservers, wenn Sie ZERTIFIKATE → EIGENES BENUTZERKONTO6 als Snap-in hinzufügen. Wählen Sie den ORDNER CERTIFICATES (ZERTIFIKATE) - CURRENT USER (AKTUELLER BENUTZER)→ EIGENE ZERTIFIKATE → ZERTIFIKATE (Bild 22). Bild 22 MMC des Clients: Client-Zertifikat liegt unter EIGENE ZERTIFIKATE – Mit einem Doppelklick auf das Zertifikat (Bild 22) können Sie es öffnen (Bild 23). 6 18 Für maschinengebundene Zertifikate siehe Seite 20. Technische Information ssl_d.fm © ThinPrint GmbH 2015 Bild 22 Zertifikate erstellen und installieren Hier sehen Sie, dass der Zweck des Zertifikats die Authentifizierung gegenüber dem Server ist. Wichtig ist, dass ein privater Schlüssel zu diesem Zertifikat vorhanden ist. Bild 23 Bild 23 Zertifikat, zu dem ein privater Schlüssel existiert Client-Zertifikat: Benutzer- oder rechnergebunden? Wenn Sie das Client-Zertifikat auf einen Rechner importieren (vgl. Bild 22 auf Seite 18), entscheiden Sie, ob Sie Ihr Zertifikat nutzer- oder maschinengebunden ablegen möchten. • Benutzergebunden: Wenn nur eine Person den Rechner nutzt, importieren Sie das Zertifikat in dessen Benutzerspeicher nach AKTUELLER BENUTZER→ EIGENE ZERTIFIKATE. Das heißt, das Client-Zertifikat ist an den aktuellen Benutzer gebunden und befindet sich in dessen Zertifikat-Speicher (siehe Bild 24, oben). • Maschinengebunden: Benutzen mehrere Personen einen Rechner (oder gibt es zusätzlich zum Benutzer-Account auch einen Administrator-Account), können Sie das Zertifikat stattdessen maschinengebunden im Container ZERTIFIKATE→ COMPUTERKONTO→ LOKALER COMPUTER ablegen (siehe Bild 24 unten). Es reicht ein einziges Zertifikat pro Clientrechner für alle Nutzer, die diesen Rechner gemeinsam nutzen. © ThinPrint GmbH 2015 Hinweis! Wenn Sie Ihr Zertifikat maschinengebunden ablegen (unter ZERTIFIKATE→ COMPUTERKONTO→ LOKALER COMPUTER) müssen Sie anschließend die Nutzungsrechte für die Verschlüsselung auf dem Client-Rechner vergeben (siehe Absatz Nutzungsrechte für Verschlüsselung auf Client-Rechner vergeben Seite 22) und den Registry-Schlüssel “CertStore” auf “1” setzen (siehe Bild 49, rechter Pfeil). ssl_d.fm Technische Information 19 Zertifikate erstellen und installieren Bild 24 Bild 24 Client-Zertifikat maschinengebunden ablegen MMC Client-Rechner: Zertifikat nutzer- oder maschinengebunden ablegen Im folgenden Beispiel wird das Zertifikat maschinengebunden abgelegt. Anschließend wird gezeigt, an welcher Stelle die Nutzungsrechte vergeben werden müssen. – Öffnen Sie die MMC auf dem Client-Rechner und wählen das Snap-in ZERTIFIKATE→ COMPUTERKONTO→ LOKALER COMPUTER. Bild 25 Bild 25 MMC Client-Rechner: Zertifikat importieren – Markieren Sie im Container ZERTIFIKATE (LOKALER COMPUTER) den Ordner EIGENE ZERTIFIKATE und wählen im Kontextmenü ALLE AUFGABEN→ IMPORTIEREN (Bild 25). Daraufhin öffnet sich der Zertifikatsimport-Assistent. © ThinPrint GmbH 2015 20 Technische Information ssl_d.fm Zertifikate erstellen und installieren Bild 26 Bild 26 Zertifikat importieren: Quelldatei angeben – Geben Sie den Pfad der im letzten Schritt exportierten .pfx-Datei an und klicken Sie auf WEITER (BILD 26). Bild 27 Bild 27 Zertifikat importieren: Kennwort eingeben © ThinPrint GmbH 2015 – Da der private Schlüssel passwortgeschützt ist, müssen Sie sein Kennwort angeben (Bild 28). Den privaten Schlüssel markieren Sie als exportierbar (Häkchen setzen), falls das Zertifikat eventuell später woanders installiert werden soll (Bild 27). ssl_d.fm Technische Information 21 Zertifikate erstellen und installieren Bild 28 Bild 28 Zertifikat importieren: Zertifikatspeicher wählen – In der zweiten Option ist bereits der Pfad des Zertifikatspeichers eingetragen, wohin das Zertifikat importiert werden soll (EIGENE ZERTIFIKATE). Bestätigen Sie mit WEITER (Bild 28). Schließen Sie mit FERTIG STELLEN den letzten Dialog des Zertifikatsimport-Assistenten. Sie erhalten die Meldung, dass der Import erfolgreich war. Das importierte Zertifikat finden Sie nun in der MMC (Bild 29). Aktualisieren Sie gegebenenfalls die Ansicht über den Menüpunkt VORGANG. Bild 29 Bild 29 Nutzungsrechte für Verschlüsselung auf Client-Rechner vergeben Importiertes Client-Zertifikat Wenn Sie Ihr Client-Zertifikat (wie im letzten Abschnitt beschrieben) maschinengebunden, also in den Knoten ZERTIFIKATE (LOKALER COMPUTER) importiert haben, können Sie jetzt die Rechte für die einzelnen Nutzer/innen des Rechners vergeben. 22 Technische Information ssl_d.fm © ThinPrint GmbH 2015 – Wählen Sie dazu im Kontextmenü des importierten Zertifikats ALLE AUFGABEN→ PRIVATE SCHLÜSSEL VERWALTEN... (Bild 30). Zertifikate erstellen und installieren Bild 30 Bild 30 Client-Zertifikat im Speicher des Clientrechners (Machine Store) Sie gelangen zu den Rechten des Client-Zertifikats: Bild 31 Bild 31 Rechte des Client-Zertifikats einstellen: Nutzer/innen zufügen – Fügen Sie mit dem Button HINZUFÜGEN... diejenigen Nutzer/innen oder Nutzergruppen hinzu, die mit ThinPrint verschlüsselt drucken sollen und geben Sie ihnen mindestens Leserechte (Bild 31). © ThinPrint GmbH 2015 Um verschlüsselt zu drucken, müssen Sie, nachdem Sie das Client-Zertifikat auf einem Client-Rechner importiert haben, außerdem einen Registry-Eintrag vornehmen. Wie das geht, lesen sie unter ThinPrint Client konfigurieren auf Seite 33. ssl_d.fm Technische Information 23 Zertifikate erstellen und installieren 4. Stammzertifikat exportieren Das Stammzertifikat des Zertifikat-Servers wird auf alle Server installiert, deren ThinPrint Engine verschlüsselte Druckaufträge zum ThinPrint Client sendet. Sie können das Stammzertifikat durch Download vom Zertifikat-Server erhalten und diese Datei dann an alle übrigen Server verteilen. Öffnen Sie in einem der Server, der das Zertifikat benötigt, den Browser und geben die Webseite des Zertifikat-Servers ein mit der Erweiterung /CERTSRV (analog zur Anforderung des Client-Zertifikats, Bild 11). Wählen Sie diesmal: DOWNLOAD A CA CERTIFICATE, CERTIFICATE CHAIN, OR CRL (DOWNLOAD EINES ZERTIFIZIERUNGSSTELLENZERTIFIKATS, EINER ZERTIFIKATKETTE ODER EINER SPERRLISTE). Alternativ dazu können Sie das Stammzertifikat exportieren, ablegen und anschließend auf allen Servern importieren. Dies wird im folgenden beschrieben. – Öffnen Sie auf dem Zertifikat-Server die MMC. Im Container KONSOLENSTAMM→ ZERTIFIKATE - AKTUELLER BENUTZER→ VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE→ ZERTIFIKATE finden Sie Ihr Stammzertifikat. Klicken Sie im Kontext-Menü auf ALLE AUFGABEN→ EXPORTIEREN (Bild 32) Bild 32 Bild 32 Zertifikat-Server: Stammzertifikat exportieren – Wählen Sie anschließend das Format des zu exportierenden Zertifikats. Die Datei hat dabei die Endung .cer. Das bedeutet, dass das Zertifikat einen öffentlichen Schlüssel enthält, es aber keinen privaten dafür gibt. Klicken Sie danach auf WEITER (Bild 33). © ThinPrint GmbH 2015 24 Technische Information ssl_d.fm Zertifikate erstellen und installieren Bild 33 Bild 33 Zertifikatexport-Assistent: Dateiformat wählen – Wählen Sie im nächsten Dialog einen nicht zu kurzen und nicht zu allgemeinen Zertifikatnamen7; Speichern Sie die Datei zentral, so dass Sie von Ihren (Druck-)Servern, die verschlüsselt drucken sollen darauf zugreifen können (Bild 34). Bild 34 Bild 34 Dateinamen wählen © ThinPrint GmbH 2015 – Klicken Sie im folgenden Dialog auf FERTIG STELLEN. – Das Stammzertifikat ist für alle Server einer Farm dasselbe und kann gegebenenfalls per Skript verteilt werden. 7 ssl_d.fm In den Microsoft-Zertifikatsdiensten wird das erste Zertifikat ausgewählt, das die angegebene Zeichenfolge enthält. Bei Namen wie Zertifikat oder Root kann so ein anderes Zertifikat als das Gewünschte gewählt werden, was beim Drucken zu einer Fehlermeldung führt. Technische Information 25 Zertifikate erstellen und installieren 6. Stammzertifikat auf Server verteilen Stammzertifikat auf Server importieren Jetzt müssen Sie Ihr Stammzertifikat auf den Server, auf dem verschlüsselt gedruckt werden soll importieren. Bild 35 Bild 35 Server: Stammzertifikat importieren – Öffnen Sie dafür auf dem Server die MMC. Im Container KONSOLENSTAMM→ ZERTIFIKATE - (LOKALER COMPUTER)→ VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE→ ZERTIFIKATE, wählen Sie im Kontext-Menü: ALLE AUFGABEN→ IMPORTIEREN (Bild 35). Bild 36 Bild 36 Zertifikatsimport-Assistent: Zu importierende Datei auswählen 26 Technische Information ssl_d.fm © ThinPrint GmbH 2015 – Daraufhin öffnet sich der Zertifikatimport-Assistent. Klicken Sie den Button DURCHSUCHEN und wählen Sie Ihr soeben exportiertes Stamm-Zertifikat aus (Bild 36). Zertifikate erstellen und installieren Bild 37 Bild 37 Zertifikatimport-Assistent: Zertifikatspeicher auswählen – Wählen Sie die Option ALLE ZERTIFIKATE IN FOLGENDEM SPEICHER SPEICHERN und klicken Sie auf den Button DURCHSUCHEN (Bild 37). – Im nächsten Dialog wählen Sie den Ort, an dem das Stammzertifikat abgelegt werden soll. Aktivieren Sie PHYSIKALISCHEN SPEICHER ANZEIGEN und wählen: VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE und darin den Container LOKALER COMPUTER (Bild 38): Bild 38 Bild 38 Zertifikatspeicher auswählen: VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE, LOKALER COMPUTER © ThinPrint GmbH 2015 – Wenn in Bild 37 der richtige Pfad angezeigt wird, klicken Sie auf WEITER und im nächsten Dialog auf FERTIG STELLEN. Daraufhin erscheint die Meldung: DER IMPORTVORGANG WAR ERFOLGREICH. – Sie finden das importierte Zertifikat in der MMC unter dem Snap-in ZERTIFIKATE (LOKALER COMPUTER)→ VERTRAUENSWÜRDIGE STAMMZERTIFIKATE→ ZERTIFIKATE. Falls dieses Snap-in nicht vorhanden ist, fügen Sie es hinzu. Öffnen Sie hierfür die MMC über die Eingabeaufforderung und wählen: KONSOLE→ SNAP-IN HINZUFÜGEN/ENTFERNEN→ HINZUFÜGEN→ ZERTIFIKATE→ HINZUFÜGEN→ COMPUTERKONTO→ FERTIGSTELLEN→ SCHLIESSEN. – Sollten Sie das Zertifikat nicht finden, markieren Sie den Ordner ZERTIFIKATE (wie in Bild 39) und wählen in der Menüleiste VORGANG→ AKTUALISIEREN. ssl_d.fm Technische Information 27 Zertifikate erstellen und installieren Bild 39 Bild 39 MMC: Stammzertifikat unter ZERTIFIKATE (LOKALER COMPUTER), VERTRAUENSSTAMMZERTIFIKATE WÜRDIGE – Mit einem Doppelklick auf das Zertifikat können Sie es sich ansehen (Bild 40). Bild 40 Bild 40 Stammzertifikat der eigenen Zertifizierungsstelle 7. Server-Zertifikat installieren 28 Technische Information ssl_d.fm © ThinPrint GmbH 2015 Das Server-Zertifikat fordern Sie vom Server aus über eine Webseite beim Zertifikat-Server an. Dies funktioniert genauso wie die Anforderung eines Client-Zertifikats (siehe 2. Client-Zertifikat anfordern und ausstellen, Seite 13). Um mit dem Server-Zertifikat verschlüsselt zu drucken, muss es in den richtigen Druckdienst (Druckwarteschlange, Spooler) in der MMC importiert werden. Zertifikate erstellen und installieren Import des Server-Zertifikats in den Druckdienst – Um die .pfx-Datei im richtigen Container abzulegen, öffnen Sie die MMC und wählen das Snap-in ZERTIFIKATE - DIENST (DRUCKWARTESCHLANGE). Falls dieses Snap-in nicht vorhanden ist, fügen Sie es hinzu: KONSOLE→ SNAP-IN HINZUFÜGEN/ENTFERNEN→ HINZUFÜGEN→ ZERTIFIKATE→ HINZUFÜGEN→ DIENSTKONTO→ LOKALER COMPUTER→ DRUCKWARTESCHLANGE→ FERTIGSTELLEN→ SCHLIESSEN. Bild 41 Bild 41 Server: Zertifikat importieren – Markieren Sie im Container ZERTIFIKATE - DIENST (DRUCKERWARTESCHLANGE) den Ordner SPOOLER/EIGENE ZERTIFIKATE und wählen im Kontextmenü ALLE AUFGABEN→ IMPORTIEREN (Bild 41). Der Zertifikatimport-Assistent öffnet sich. Bild 42 Bild 42 Zertifikat importieren: Quelldatei angeben © ThinPrint GmbH 2015 – Geben Sie den Pfad der unter Punkt 4 (Seite 24) exportierten .pfx-Datei an und klicken Sie auf WEITER (BILD 42). ssl_d.fm Technische Information 29 Zertifikate erstellen und installieren Bild 43 Bild 43 Zertifikat importieren: Kennwort eingeben – Da der private Schlüssel passwortgeschützt ist, müssen Sie sein Kennwort angeben (vgl. Bild 27). Markieren Sie den privaten Schlüssel als exportierbar (Häkchen setzen), falls Sie das Zertifikat später einmal exportieren möchten (Bild 43). Bild 44 Bild 44 Zertifikat importieren: Zertifikatspeicher wählen – In der zweiten Option ist bereits der Pfad des Zertifikatspeichers eingetragen, wohin das Zertifikat importiert werden soll (SPOOLER\EIGENE ZERTIFIKATE). Bestätigen Sie mit WEITER (Bild 44). Schließen Sie mit FERTIG STELLEN den letzten Dialog des Zertifikatimport-Assistenten. Sie erhalten die Meldung, dass der Import erfolgreich war. 30 Technische Information ssl_d.fm © ThinPrint GmbH 2015 Das importierte Zertifikat finden Sie nun in der MMC (Bild 45). Aktualisieren Sie gegebenenfalls die Ansicht über den Menüpunkt VORGANG. ThinPrint Engine konfigurieren Bild 45 Bild 45 Importiertes Server-Zertifikat im Druckdienst (Spooler) Um nun mit den erzeugten Zertifikaten zu drucken, aktivieren Sie bei der ThinPrint Engine die Verschlüsselung pro ThinPrint Port und tragen die Zertifikatnamen ein. Beim ThinPrint Client wird ein Registry-Eintrag hinzugefügt. Dies wird in den folgenden beiden Abschnitten gezeigt. ThinPrint Engine konfigurieren Verschlüsselungseinstellungen vornehmen – Um die importierten SSL-Zertifikate für die ThinPrint Engine nutzbar zu machen, wählen Sie im Port Manager der MMC (Bild 46): THINPRINT→ THINPRINT ENGINE und anschließend im Kontextmenü: ALLE AUFGABEN→ VERSCHLÜSSELUNGSEINSTELLUNGEN. © ThinPrint GmbH 2015 Bild 46 Bild 46 ssl_d.fm SSL-Zertifikate für die ThinPrint Engine auswählen Technische Information 31 ThinPrint Engine konfigurieren – Geben Sie unter VERSCHLÜSSELUNGSEINSTELLUNGEN (Bild 47) die Namen des Server- und des Stamm-Zertifikats ein, die jeweils in der Spalte AUSGESTELLT FÜR in der Zertifikatsübersicht der MMC angezeigt werden (in Bild 45 und Bild 39 COMPANY XY- CLIENT und COMPANY XY-CA als Beispiele). Bild 47 Bild 47 SSL-Zertifikate eintragen – Füllen Sie beide Felder aus, und stellen Sie sicher, dass einerseits das jeweilige Zertifikat auch auf dem Server installiert ist und andererseits auf den Clients Zertifikate installiert sind, denen die Serverzertifikate vertrauen. Andernfalls werden die Druckaufträge nicht ausgeführt. Verschlüsselung aktivieren (pro ThinPrint Port) – Die Aktivierung der SSL-Verschlüsselung nehmen Sie in der Port-Konfiguration vor (Bild 48). Bild 48 32 MMC: Verschlüsselung pro ThinPrint Port aktivieren Technische Information © ThinPrint GmbH 2015 Bild 48 ssl_d.fm ThinPrint Client konfigurieren ThinPrint Client konfigurieren Wenn zu einem Client-Rechner verschlüsselt gedruckt werden soll, muss das Client-Zertifikat auf diesen Rechner importiert werden und ein Registry-Eintrag vorgenommen werden. Vor dem Senden verschlüsselter Daten wird vom Server geprüft, ob in der Registry des Clients der Eintrag CERTNAME mit dem Namen des importierten Zertifikats enthalten und das hinterlegte Zertifikat auch auf dem Client vorhanden ist. Der Eintrag CertName in die Registry muss – wie im Folgenden beschrieben – manuell erfolgen: 1. Legen Sie nach dem Zertifikatimport auf den Clients folgenden Registry-Eintrag mit REGEDIT (Bild 49, Pfeil links; Datentyp: reg_sz) an: hkey_local_machine\software\thinprint\client\CertName Bild 49 Bild 49 Registry-Eintrag für SSL-Verschlüsselung auf Windows-Clients (Beispiel für Zertifikat Company XY- Client) 2. Geben Sie als Wert den Namen des importierten Zertifikats an, der in der Spalte AUSGESTELLT FÜR in der Zertifikatsübersicht der MMC angezeigt wird (in Bild 22 als Beispiel COMPANY XY- CLIENT). 3. Starten Sie den ThinPrint Client Windows neu. Der Registry-Eintrag CertName wird nur für verschlüsselte Druckaufträge benötigt; die Annahme nicht verschlüsselter Druckaufträge ist weiterhin möglich. © ThinPrint GmbH 2015 Hinweis! Sollten Sie Ihr Zertifikat im Zertifikatspeicher des Rechners (also maschinengebunden) abgelegt haben (siehe Seite 19), müssen Sie den Registry-Schlüssel “CertStore” auf “1” setzen (siehe Bild 49, Pfeil rechts). Bei der Verwendung nutzergebundener Zertifikate wird stattdessen eine “0” gesetzt. ssl_d.fm Technische Information 33 Fehler beheben Fehler beheben In folgender Tabelle sehen Sie mögliche Fehlermeldungen und finden Hinweise, wie Sie diese beheben können. mögliche Ursache Der Client hat den Druckauftrag abgelehnt...Fehler in Funktion Nr. 3. Client ist aktiv und wird gefunden, kann aber nicht drucken. • Drucker aus /Papierstau/keine Tinte? • Client-Zertifikat wird nicht gefunden. Mögliche Ursachen: Clientzertifikat ist nicht vom richtigen Stammzertifikat unterschrieben; Zertifikat ist nicht im richtigen Speicher abgelegt (user/ machine store) oder hat nicht die richtigen Rechte (Seite 22); Tippfehler bei den Verschlüsselungseinstellungen oder in der Registry (Bild 47 oder Bild 49) Das Client-Zertifikat konnte nicht gelesen werden oder ist fehlerhaft Das Client-Zertifikat ist vorhanden, kann jedoch nicht gelesen oder nicht ausgewertet werden. Fordern Sie gegebenenfalls ein neues Client-Zertifikat an Fehler beim Empfang von Daten • bei SSL-Verschlüsselung: Sie verwenden möglicherweise einen älteren ThinPrint Client. Installieren Sie die neuste Version. • bei Drucken über ICA/RDP: die Verbindung ist möglicherweise (kurz) abgebrochen. Das Client- oder das Server-Zertifikat ist nicht vom angegebenen Stammzertifikat unterschrieben. • Server- und Client-Zertifikat müssen vom selben Stammzertifikat unterschrieben sein. Vergleichen Sie die Spalte „Ausgestellt von“ (Bilder 22 und 45) mit dem Stammzertifikat (Bild 39). • In der ThinPrint-Engine-Konfiguration wurde kein Name für ein Stammzertifikat angegeben (Bild 47) • Der Zertifikatname (z.B. root) ist zu allgemein. Dann wird im Zertifikatspeicher ein anderes Zertifikat mit dieser Zeichenfolge zuerst gefunden, und bei diesem stimmen dann die Bezüge nicht. Technische Information ssl_d.fm © ThinPrint GmbH 2015 34 Fehlermeldung Fehler beheben mögliche Ursache Fehler beim Aufbau der verschlüsselten Verbindung betrifft das Server-Zertifikat: • Server-Zertifikat ist ungültig oder abgelaufen. • Das Server-Zertifikat enthält keinen privaten Schlüssel, oder dieser ist beim Installieren nicht mitimportiert worden (Schlüssel als exportierbar markieren) • bei den Verschlüsselungseinstellungen der ThinPrint Engine wurde kein Name eingegeben (siehe Bild 47) Der Gültigkeitsbereich des Serverzertifikats liegt in der Zukunft Das Server-Zertifikat ist noch nicht gültig • Synchronisieren Sie Datum und Uhrzeit aller beteiligten Rechner • Systembedingt ist das über den IIS angeforderte Zertifikat erst einen Tag nach Ausstellung gültig. Die Gültigkeit entnehmen Sie der Zertifikatverwaltung (Bild 45). Der Server-Zertifikatsname ist nicht gesetzt In der ThinPrint-Engine-Konfiguration wurde kein Name eingegeben (siehe Bild 47). Das eingestellte Server-Zertifikat wurde nicht gefunden Der Name der ThinPrint-Engine-Konfiguration stimmt nicht mit dem Zertifikatnamen überein (Tippfehler?) (siehe Bild 47). Das eingestellte Stammzertifikat wurde nicht gefunden Der Name der ThinPrint-Engine-Konfiguration stimmt nicht mit dem Zertifikatnamen überein (Tippfehler?) (siehe Bild 47). Der Stammzertifikatsname ist nicht gesetzt In der ThinPrint-Engine-Konfiguration wurde kein Name eingegeben (siehe Bild 47). © ThinPrint GmbH 2015 Fehlermeldung ssl_d.fm Technische Information 35
© Copyright 2024