SSL-Zertifikate erzeugen für das Drucken mit ThinPrint

SSL-Zertifikate erzeugen
für das Drucken mit ThinPrint
Technische Information
ThinPrint GmbH
Alt-Moabit 91 a
10559 Berlin
Germany / Alemania
Cortado, Inc.
7600 Grandview Avenue
Suite 200
Denver, Colorado 80002
USA / EEUU
Cortado Pty. Ltd.
Level 20, The Zenith Centre,
Tower A
821 Pacific Highway
Chatswood, NSW 2067
Australia
E-Mail: info@thinprint.com
Web: www.thinprint.com
Stand: 9. April 2015 (v45)
Hinweise
© Copyright
Dieses Dokument ist geistiges Eigentum der ThinPrint GmbH. Es darf als Ganzes oder in Auszügen kopiert
werden – vorausgesetzt, dass sich dieser Copyright-Vermerk auf jeder Kopie befindet.
® Eingetragene Warenzeichen
Fast alle Hardware- und Software-Bezeichnungen, die in diesem Dokument erwähnt werden, sind gleichzeitig eingetragene Warenzeichen der jeweiligen Firma oder sollten als solche betrachtet werden.
Sicherheitshinweis
Alle ThinPrint-Produkte sind reine Software-Lösungen. Für Sicherheitshinweise zu Ihrer Hardware beachten Sie bitte die technischen Dokumentationen Ihres Hardware-Lieferanten und die der jeweiligen Geräteund Baugruppenhersteller.
Vor Beginn der Installation empfehlen wir, alle offenen Fenster und Anwendungen zu schließen sowie
Virenscanner zu deaktivieren.
© ThinPrint GmbH 2015
2
Technische Information
Inhalt
Allgemeines zur SSL-Verschlüsselung
............................................................. 4
Welche Zertifikate brauche ich? ....................................................................................... 4
Verschlüsselt drucken durch Zertifikataustausch ................................................................. 4
Wie finde ich passende Zertifikate? ................................................................................... 6
Wie erstelle ich Zertifikate? .............................................................................................. 6
Welche Schlüssellänge ist sicher? ..................................................................................... 6
Zertifikate erstellen und installieren
................................................................. 7
1. Zertifikat-Server einrichten und Stammzertifikat erstellen ................................................ 7
2. Client-Zertifikat anfordern und ausstellen ..................................................................... 13
3. Client-Zertifikat abholen und installieren ..................................................................... 17
Client-Zertifikat: Benutzer- oder rechnergebunden? ...................................................... 19
4. Stammzertifikat exportieren ....................................................................................... 24
6. Stammzertifikat auf Server verteilen ............................................................................ 26
7. Server-Zertifikat installieren ....................................................................................... 28
ThinPrint Engine konfigurieren
......................................................................... 31
Verschlüsselungseinstellungen vornehmen ....................................................................... 31
Verschlüsselung aktivieren (pro ThinPrint Port) ................................................................ 32
ThinPrint Client konfigurieren
....................................................................................................... 34
© ThinPrint GmbH 2015
Fehler beheben
........................................................................... 33
Technische Information
3
Allgemeines zur SSL-Verschlüsselung
Allgemeines zur SSL-Verschlüsselung
Welche Zertifikate brauche ich?
Bei ThinPrint ist eine Verschlüsselung mit SSL/TLS1 möglich. Hierzu benötigen Sie
drei verschiedene Zertifikate:
• ein Client-Zertifikat (pro Client-Rechner)
• ein Server-Zertifikat (pro Server)
• ein Stammzertifikat (pro Server)
Die Client- und Server-Zertifikate werden vom Stammzertifikat (auch Root-, Wurzeloder Signierzertifikat genannt) unterschrieben. Das Client-Zertifikat wird auf dem
Rechner2 installiert, auf dem der ThinPrint Client läuft. Das Server- und das Stammzertifikat installieren Sie auf dem Server, auf dem sich die ThinPrint Engine befindet.
Die Verschlüsselung wird jeweils pro ThinPrint Port eingestellt.
Auf dem Zertifikat-Server wird eine Stammzertifizierungsstelle (Certification
Authority) eingerichtet und ein Stammzertifikat erzeugt. Anschließend können auf
dem Zertifikat-Server Client- und Server-Zertifikate angefordert werden.
Das Stammzertifikat kann ebenfalls per Download angefordert oder importiert und
dann an alle Server einer Farm verteilt werden.
Sie können den Zertifikat-Server selbst aufsetzen oder Stammzertifikate von einer
offiziellen Stammzertifizierungsstellen erwerben. Die Stammzertifikate der bekannten
Zertifizierungsstellen sind oft bereits im Betriebssystem integriert (siehe Bild 39 auf
Seite 28) und müssen nicht erstellt oder importiert werden. Dann müssen nur Clientund Serverzertifikate beim entsprechenden Anbieter angefordert werden.
Verschlüsselt drucken durch Zertifikataustausch
Der Druckauftrag wird komprimiert und danach verschlüsselt von der ThinPrint
Engine an den ThinPrint Client gesendet, und zwar unabhängig davon, welches Protokoll verwendet wird: TCP/IP oder ICA/RDP.
Das heißt, die Verschlüsselung erfolgt unabhängig von und gegebenenfalls zusätzlich zur Verschlüsselung des virtuellen Kanals (ICA/RDP). Bei ThinPrint wird der einzelne Druckauftrag verschlüsselt, während bei Sitzungen auf Terminal-Servern oder
virtuellen Desktops der (ICA/RDP-) Kanal verschlüsselt sein kann.
Besonders sinnvoll ist eine Verschlüsselung, wenn Daten (teilweise) über TCP/IP
übertragen werden, zum Beispiel wenn zentrale Druckserver zum Einsatz kommen.
Der Druckauftrag wird mit ThinPrint vom Server verschlüsselt und vom ThinPrint Client entschlüsselt.
Die SSL-Verschlüsselung verhindert
• dass Dritte mithören
• dass Druckdaten an den falschen Empfänger geschickt werden
4
1
Secure Socket Layer/Transport Layer Security
2
oder auf einer SSL-fähigen ThinPrint-Gateway-Appliance, siehe Seite 16.
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Der Druckauftrag soll nicht zum falschen Client gelangen. Das heißt, dass hier der
Client beweisen muss, dass er berechtigt ist, vom Server Druckdaten zu empfangen.
Allgemeines zur SSL-Verschlüsselung
Dies wird durch das Client-Zertifikat gewährleistet, das vom Stammzertifikat (Signierzertifikat) des Servers unterschrieben wurde.
Die folgende Grafik (Bild 1) veranschaulicht die Server-Client-Kommunikation
(genannt Handshaking), die der Übertragung eines verschlüsselten Druckauftrags
vorausgeht. Dabei ist die Kommunikation vereinfacht dargestellt; der Schwerpunkt
liegt auf dem Einsatz der Zertifikate.
Bild 1
Bild 1
Ablauf der Server-Client-Kommunikation, um verschlüsselt zu drucken
(vereinfacht)
© ThinPrint GmbH 2015
Der Server kündigt dem Client einen verschlüsselten Druckauftrag an. Der Client antwortet und teilt mit, ob er die Verschlüsselung entgegennehmen kann und welche
kryptografischen Algorithmen er versteht (z.B. TLS 1.2). Dann sendet der Server sein
Server-Zertifikat und seinerseits eine Liste der Algorithmen, die er versteht. Das Server-Zertifikat ist nur für das sogenannte Handshaking nötig, wo Client und Server sich
authentifizieren. Außerdem fordert der Server das Client-Zertifikat an. Der Client sendet daraufhin sein Client-Zertifikat mit dem öffentlichen Schlüssel. Der Server prüft,
ob das Client-Zertifikat vom Stammzertifikat unterschrieben ist.
Der Server erzeugt nun einen Sitzungsschlüssel. Dies ist ein temporärer Schlüssel,
der für jeden Druckauftrag neu erzeugt wird und nach Ankunft des Druckauftrags
keine Gültigkeit mehr hat. Dieser Schlüssel wird aus verschiedenen Zufallszahlen
gebildet, die Client und Server erzeugen. Der Server verschlüsselt diesen Sitzungsschlüssel mit dem öffentlichen Schlüssel, der ihm der Client geschickt hat. Der Client
wiederum kann den Sitzungsschlüssel mithilfe seines privaten Schlüssels entschlüsseln (asymmetrische Verschlüsselung). Mit dem erzeugten Sitzungsschlüssel wird ab
jetzt der gesamte Druckdaten-Verkehr verschlüsselt. Dies beginnt bereits mit der
Ankündigung der Pakete, die gesendet werden sollen und den Header-Informationen.
ssl_d.fm
Technische Information
5
Allgemeines zur SSL-Verschlüsselung
Wie finde ich passende Zertifikate?
Um an die notwendigen Zertifikate zu gelangen, gibt es drei Möglichkeiten:
1. Zertifikate selbst erstellen (im Folgenden beschrieben)
2. Zertifikate bei Zertifizierungstelle kaufen
3. eigene Zertifizierungsstelle beantragen
Sie können SSL-Zertifikate bei einer der bekannten Zertifizierungsstellen kaufen. Für
größere Firmen lohnt es sich möglicherweise, eine eigene (Unter-)Zertifizierungsstelle
zu beantragen, damit weitere Zertifikate selbständig erstellt und signiert werden können.
Wir empfehlen Möglichkeit 1, nämlich die Zertifikate selbst zu erstellen. Neben
der Kostenersparnis ist dies auch sicherer. Denn ein Zertifikat, das sich schon im
Stammverzeichnis des Browsers befindet, kann eine Sicherheitslücke darstellen. In
diesem Verzeichnis befinden sich bei den bekannten aktuellen Betriebssystemen
standardmäßig mehrere Dutzend Zertifikate. Sobald eine sichere Verbindung aufgebaut werden soll, prüft der Server, ob das Client-Zertifikat von ihm unterschrieben ist.
Und da alle Clients, die ein von dieser Zertifizierungsstelle unterschriebenes Zertifikat
enthalten, diese Anforderungen erfüllen, könnte auch ein unberechtigter Client Daten
von einem fremden Server empfangen. Dazu müsste dieser Client allerdings auch
einen TCP-Port für verschlüsselte Druckaufträge verwenden. Das Umlenken der
Druckaufträge auf den falschen Client würde darüber hinaus eine Manipulation des
Servers erfordern.
Aus diesem Grund empfehlen wir, Zertifikate selbst zu erstellen.
Wie erstelle ich Zertifikate?
SSL-Zertifikate basieren auf dem X.509-Standard. Um sie zu erzeugen, gibt es verschiedene Tools, zum Beispiel OpenSSL oder die Zertifikatdienste von Microsoft.
Erzeugen Sie ein Stammzertifikat und ein Client-Zertifikat. Letzteres liegt (bei
OpenSSL) in der Regel als .pem- oder .der-Datei vor, muss vom Stammzertifikat
unterschrieben werden und anschließend ins Format .p12, .pfx oder .crt umgewandelt werden – oder in ein anderes Dateiformat, das von Windows verstanden wird.
Bei Erzeugung des Zertifikats geben Sie die Verschlüsselungstiefe an.
Dann erzeugen Sie, analog zum Client-Zertifikat, ein Server-Zertifikat. Sie haben
dann drei Zertifikate, ein Server-, ein Client- und ein Stammzertifikat, wobei die Client- und Server-Zertifikate vom Stammzertifikat unterschrieben sind.
Das Stammzertifikat können Sie für alle Ihre Server benutzen. Die Client- und Server-Zertifikate erzeugen Sie jedoch für jeden Client und jeden Server neu.
Welche Schlüssellänge ist sicher?
6
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Wenn Sie Zertifikate selbst erstellen oder kaufen, spielt die Verschlüsselungstiefe eine
Rolle für die Sicherheit. Je länger der Schlüssel, desto höher ist der Aufwand für
Unbefugte, ihn zu entschlüsseln.
SSL kombiniert bei der Verschlüsselung symmetrische und asymmetrische Verschlüsselungsverfahren, die unterschiedliche Schlüssellängen erfordern. Symmet-
Zertifikate erstellen und installieren
risch bedeutet, dass Sender und Empfänger denselben Schlüssel benutzen, bei der
asymmetrischen Verschlüsselung nehmen sie unterschiedliche.
Der Sitzungsschlüssel (session key), mit dem die Druckdaten verschlüsselt werden, ist ein symmetrischer Schlüssel. Hier gilt eine Schlüssellänge von 128 bit als
sicher.
Der Sitzungsschlüssel wiederum wird asymmetrisch verschlüsselt und so zusammen mit den Druckdaten übertragen. Für diese Übermittlung gilt eine Länge von
1024 bit als sicher. Entschlüsselt wird diese Nachricht mit dem privaten Schlüssel
des Clients, der auf dem Client-Rechner im Zertifikatspeicher bei der Zertifikat-Erzeugung hinterlegt wurde.
Zertifikate erstellen und installieren
In diesem Kapitel wird gezeigt, wie Sie Zertifikate mit den Microsoft-Zertifikatdiensten erstellen und installieren. Neben dem hier beschriebenen Weg können Sie auch
Zertifikate mit OpenSSL erzeugen. Hier zeigen wir Ihnen die Erstellung von Zertifikaten am Beispiel von Windows Server 2008 R23. Im Folgenden wird Schritt für Schritt
beschrieben, wie Sie einen Zertifikat-Server einrichten, ein Stammzertifikat erstellen
und Client- und Server-Zertifikate beim Zertifikat-Server anfordern und anschließend
auf Client und Server installieren. Hierfür benötigen Sie Administrator-Rechte auf
dem Server.
Der Zertifikat-Server
Empfehlenswert ist, einen eigenen Zertifikat-Server einzurichten, auf dem nur die
Zertifizierung vorgenommen wird und keine anderen Programme laufen. Auf diesem
Server wird die Zertifizierungsstelle eingerichtet und das Stammzertifikat erzeugt. Die
Client- und Server-Zertifikate werden hier angefordert und ausgestellt. Ist diese Operation abgeschlossen und sind alle Zertifikate auf Server und Clients verteilt, kann der
Zertifikat-Server abgeschaltet werden – solange, bis ein neues Zertifikat benötigt
wird.
1. Zertifikat-Server einrichten und Stammzertifikat erstellen
© ThinPrint GmbH 2015
– Öffnen Sie auf dem Zertifikat-Server den Server Manager über START →
VERWALTUNG → SERVER MANAGER. Wählen Sie jetzt ROLLEN und starten
anschließend in der Rollenübersicht den Assistenten ROLLEN HINZUFÜGEN.
3
ssl_d.fm
Für tiefergehende Informationen über die Microsoft-Zertifikatdienste lesen Sie auch die Microsoft-Dokumentation.
Technische Information
7
Zertifikate erstellen und installieren
Bild 2
Bild 2
Serverrollen auf dem Zertifikat-Server aktivieren
– Setzen Sie ein Häkchen bei ACTIVE DIRECTORY-ZERTIFIKATDIENSTE und bei WEBSERVER (IIS) (Bild 2). Aktivieren Sie hier außerdem die DATEIDIENSTE (falls noch
nicht installiert).
– Das Stammzertifikat ist rechnergebunden. Deshalb erhalten Sie eine Meldung,
dass der Computer nun nicht mehr umbenannt werden kann, keiner Domäne
mehr beitreten und nicht aus einer solchen entfernt werden kann. Bestätigen
Sie diese Meldung.
© ThinPrint GmbH 2015
8
Technische Information
ssl_d.fm
Zertifikate erstellen und installieren
Bild 3
Bild 3
Rollendienste für AD-Zertifikatdienste auswählen
– Anschließend müssen Sie die Rollendienste auswählen, die für die Active Directory-Zertifikatdienste installiert werden sollen. Wählen Sie ZERTIFIZIERUNGSSTELLE und ZERTIFIZIERUNGSSTELLEN-WEBREGISTRIERUNG aus (Bild 3).
Bild 4
Bild 4
Rollendienste für Webserver (IIS) hinzufügen
© ThinPrint GmbH 2015
– Sie erhalten eine Meldung (Bild 4), dass weitere Rollendienste (für die Zertifizierungsstellen-Webregistrierung) hinzugefügt werden müssen. Bestätigen Sie
diese Meldung.
ssl_d.fm
Technische Information
9
Zertifikate erstellen und installieren
Bild 5
Bild 5
Zertifizierungsstellentyp angeben
– Im nächsten Dialog bestimmen Sie die Art der Zertifizierungsstelle. Wählen Sie
EIGENSTÄNDIG und klicken dann WEITER.
– Wählen Sie im folgenden Dialog (Bild 5) STAMMZERTIFIZIERUNGSSTELLE als Zertifizierungsstellentyp und klicken dann auf WEITER. Im anschließenden Dialog
wählen Sie NEUEN PRIVATEN SCHLÜSSEL ERSTELLEN und klicken dann auf WEITER.
Bild 6
10
© ThinPrint GmbH 2015
Bild 6
Kryptografie auswählen
Technische Information
ssl_d.fm
Zertifikate erstellen und installieren
– Danach müssen Sie die Kryptographie für den neu zu erstellenden, privaten
Schlüssel bestimmen. Wählen Sie dazu einen Kryptografiedienstanbieter, die
Schlüssellänge und einen Hash-Algorithmus aus. Behalten Sie ggf. die vorgestellten Einstellungen bei (Bild 6).
Bild 7 .
Bild 7
Name der Zertifizierungsstelle eingeben
© ThinPrint GmbH 2015
– Danach können Sie der Zertifizierungsstelle einen allgemeinen Namen geben
(Bild 7). Im folgenden Dialog wird die Gültigkeitsdauer des Stammzertifikates
festgelegt, zum Beispiel auf fünf Jahre, klicken Sie dann auf WEITER.
ssl_d.fm
Technische Information
11
Zertifikate erstellen und installieren
Bild 8
Bild 8
Stammzertifikat speichern
– Anschließend werden Sie gefragt, wo Sie die Daten speichern möchten. Sie können den voreingestellten Pfad übernehmen und WEITER klicken (Bild 8).
– Jetzt wird der Webserver (IIS) als Rolle hinzugefügt, bestätigen Sie den Dialog
mit WEITER. Behalten Sie die Rollendienste im nächsten Dialog wie vorgegeben
bei (Bild 9) und klicken anschließend auf WEITER.
Bild 9
12
© ThinPrint GmbH 2015
Bild 9
Rollendienste für den Webserver (IIS) bestätigen
Technische Information
ssl_d.fm
Zertifikate erstellen und installieren
Im letzten Dialog: INSTALLATIONSAUSWAHL BESTÄTIGEN werden Sie darüber informiert,
dass der Server nach der Installation neu gestartet werden muss und dass der Computername und die Domaineinstellungen nicht mehr geändert werden können. Klicken Sie auf INSTALLIEREN um den Vorgang zu starten.
Sie haben nun eine Stammzertifizierungsstelle (oder CA/Certification Authority)
auf Ihrem Server eingerichtet. Das heißt, dass das Stammzertifikat nun Client- und
Server-Zertifikate unterschreiben und ausstellen kann.
Bild 10
Bild 10
Zertifizierungsstelle auf dem Server
Die Zertifizierungsstelle (Bild 10), die Sie im ersten Schritt eingerichtet haben, finden
Sie unter START → VERWALTUNG→ ZERTIFIZIERUNGSSTELLE.
Hier liegt auch das soeben erstellte Stammzertifikat, das heruntergeladen und dann
auf alle Server der Farm verteilt werden kann.
2. Client-Zertifikat anfordern und ausstellen
Der nächste Schritt ist die Erstellung der Client-Zertifikate. Diese werden bei der Zertifizierungsstelle (Zertifikat-Server) angefordert, vom eben erstellten Stammzertifikat
unterschrieben und freigegeben.
Hier wird beschrieben, wie Sie ein Client-Zertifikat anfordern und installieren.
© ThinPrint GmbH 2015
Client-Zertifikat
anfordern
ssl_d.fm
Technische Information
13
Zertifikate erstellen und installieren
– Öffnen Sie auf dem Zertifikat-Server einen Internet-Browser (am besten Internet
Explorer) und rufen Sie die Webseite des Servers auf. Geben Sie nach
IP-Adresse oder Hostnamen des Servers „/CERTSRV“ ein, wie zum Beispiel:
HTTP://LOCALHOST/CERTSRV. Wenn Sie die Webseite nicht aufrufen können, kontrollieren Sie, ob die Rolle WEBSERVER (IIS) auf dem Server läuft4.
Bild 11
Bild 11
Webseite des Zertifikat-Servers: Zertifikat anfordern
– Bei der aufgerufenen Webseite fordern Sie ein Client-Zertifikat an, indem sie
REQUEST A CERTIFICATE (EIN ZERTIFIKAT ANFORDERN) auswählen (Bild 11).
Bild 12
Bild 12
Webseite des Zertifikat-Servers: Zertifikat-Typ auswählen
– Sie werden nach dem Zertifikat-Typ gefragt (Bild 12). Wählen Sie zum Beispiel
WEB BROWSER CERTIFICATE (WEBBROWSERZERTIFIKAT). Hierbei ist der Zertifikattyp irrelevant, da die ThinPrint Engine nicht prüft, ob das Zertifikat bestimmte
Bedingungen erfüllt, sondern nur, ob es vom Stammzertifikat unterschrieben
wurde.
14
Wenn der Aufruf fehlschlägt, beheben Sie mögliche Fehlerquellen: Überprüfen Sie auf dem Server, ob in den AD-ZERTIFIKATDIENSTEN die ROLLENDIENSTE: ZERTIFIZIERUNGSSTELLE und ZERTIFIZIERUNGSSTELLEN-WEBREGISTRIERUNG aktiviert sind (BILD 3). Synchronisieren Sie Datum und Uhrzeit
aller beteiligten Rechner. Beenden Sie ggf. andere Dienste, die auf Port 80 laufen.
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
4
Zertifikate erstellen und installieren
Bild 13
Bild 13
Webseite des Zertifikat-Servers: Weitere Optionen aufrufen
– Daraufhin erscheint die Seite WEB BROWSER CERTIFICATE - IDENTIFYING INFORMATION (WEBBROWSERZERTIFIKAT - IDENTIFIZIERUNGSINFORMATIONEN) (Bild 13).
Wählen Sie unten den Button MORE OPTIONS (WEITERE OPTIONEN) und auf der
folgenden Seite den Link USE THE ADVANCED CERTIFICATE REQUEST FORM (ERWEI5
TERTE ZERTIFIKATSANFORDERUNG) .
– Sie erhalten beim Herunterscrollen folgende Seite (Bild 14):
Bild 14
Bild 14
Client-Zertifikat anfordern und Schlüsseloptionen festlegen: Schlüssel als
exportierbar markieren
© ThinPrint GmbH 2015
– Füllen Sie oben die Textfelder aus. Übernehmen Sie darunter die Voreinstellungen mit einer Ausnahme: Setzen Sie ein Häkchen bei MARK KEYS AS EXPORTABLE
(SCHLÜSSEL ALS „EXPORTIERBAR “ MARKIEREN) wie in Bild 14. Bestätigen Sie Ihre
Angaben mit dem SUBMIT-Button ganz unten. Sie erhalten einen Hinweis, dass
5
ssl_d.fm
Wenn der genannte Link inaktiv ist, ändern Sie die Sicherheitseinstellungen Ihres Browsers
(Scripting aktivieren, Webseite als vertrauenswürdig einstufen, Active X Control aktivieren unter
EXTRAS→ INTERNETOPTIONEN→ SICHERHEIT→ STUFE ANPASSEN...).
Technische Information
15
Zertifikate erstellen und installieren
Sie nur vertrauenswürdigen Webseiten das Anfordern eines Zertifikats gestatten
sollten und werden gefragt, ob Sie ein Zertifikat anfordern möchten. Bestätigen
Sie mit JA.
Bild 15
Bild 15
Webseite des Zertifikat-Servers: Zertifikat erfolgreich angefordert
Sie erhalten eine Bestätigung, dass die Zertifikatsanforderung erfolgreich war
(Bild 15). Sie müssen keine zehn Tage warten, sondern nur solange, bis die Ausstellung des Zertifikats vorgenommen wurde (Seite 16).
Gateway Appliances als Client
Client-Zertifikat
ausstellen
Neben einem Windows-PC ist es auch möglich, zu ThinPrint-Gateway-Appliances
verschlüsselt zu drucken, die durch einen integrierten ThinPrint Client in der Lage
sind, Druckaufträge zu entschlüsseln. Dies ist beispielsweise der Fall bei den Appliances TPG-25/65/125 und ISD300/4x0 des Herstellers SEH. Hier wird das Client-Zertifikat über die Webseite der Appliance angefordert. Wie das geht, lesen Sie
in der Technischen Dokumentation SEH TPG als ThinPrint Client Gateway, bzw.
SEH ISD als ThinPrint Client Gateway.
– Um das soeben angeforderte Client-Zertifikat ausstellen zu können, öffnen Sie
auf dem Zertifikat-Server über START → VERWALTUNG den Ordner ZERTIFIZIERUNGSSTELLE. Hier finden Sie unter AUSSTEHENDE ANFORDERUNGEN die angeforderten Zertifikate (Pfeil in Bild 16).
– Markieren Sie das Zertifikat und wählen mit der rechten Maustaste
ALLE AUFGABEN→ AUSSTELLEN (BILD 16). Damit stellen Sie das Client-Zertifikat
aus und unterschreiben es mit dem Stammzertifikat des Servers.
Bild 16
16
Zertifizierungsstelle des Servers: Zertifikat ausstellen im Ordner AUSSTEHENDE
ZERTIFIKATE
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Bild 16
Zertifikate erstellen und installieren
Bild 17
Bild 17
Zertifizierungsstelle des Servers: ausgestelltes Zertifikat im Ordner AUSGESTELLTE ZERTIFIKATE
– Das Client-Zertifikat verschwindet dann aus dem Ordner AUSSTEHENDE ANFORDERUNGEN und befindet sich nun im Ordner AUSGESTELLTE ZERTIFIKATE (Pfeil in
Bild 17).
3. Client-Zertifikat abholen und installieren
Das von der Stammzertifizierungsstelle ausgestellte Zertifikat können Sie nun auf der
Webseite des Zertifikat-Servers abholen.
– Öffnen Sie den gleichen Browser, mit dem Sie die Zertifikatsanforderung gestellt
haben (Bild 11) und geben nochmal die Website des Servers ein (Beispiel:
HTTP://LOCALHOST/CERTSRV).
Bild 18
Bild 18
Webseite des Servers: ausgestelltes Zertifikat abholen
– Wählen Sie auf dieser Webseite diesmal: VIEW THE STATUS OF A PENDING CERTIFICATE REQUEST (STATUS AUSSTEHENDER ZERTIFIKATE ANZEIGEN) (Bild 18).
© ThinPrint GmbH 2015
Bild 19
Bild 19
ssl_d.fm
Webseite des Servers: ausgestelltes Zertifikat auswählen
Technische Information
17
Zertifikate erstellen und installieren
– Sie erhalten die angeforderten Zertifikate zur Auswahl, die vom Server ausgestellt wurden (Bild 19). Wählen Sie Ihr Zertifikat.
Bild 20
Bild 20
Webseite des Servers: ausgestelltes Zertifikat installieren
– Sie erhalten die Nachricht, dass das ausgewählte Zertifikat ausgestellt wurde.
Installieren Sie mit dem angezeigten Link (Bild 20) dieses Zertifikat auf dem
Zertifikat-Server. Es erscheint eine Sicherheitsabfrage, ob Sie der angezeigten
Webseite vertrauen. Bestätigen Sie mit JA.
Bild 21
Bild 21
Webseite des Servers: Zertifikat wurde erfolgreich installiert
– Sie erhalten die Meldung, dass Ihr Zertifikat erfolgreich installiert wurde: YOUR
NEW CERTIFICATE HAS BEEN SUCCESSFULLY INSTALLED (DAS NEUE ZERTIFIKAT WURDE
INSTALLIERT) (Bild 21). Sie können den Browser nun schließen. Das Zertifikat ist
für ein Jahr gültig.
– Sie finden das Client-Zertifikat in der MMC Ihres Zertifikatservers, wenn Sie
ZERTIFIKATE → EIGENES BENUTZERKONTO6 als Snap-in hinzufügen. Wählen Sie
den ORDNER CERTIFICATES (ZERTIFIKATE) - CURRENT USER (AKTUELLER BENUTZER)→ EIGENE ZERTIFIKATE → ZERTIFIKATE (Bild 22).
Bild 22
MMC des Clients: Client-Zertifikat liegt unter EIGENE ZERTIFIKATE
– Mit einem Doppelklick auf das Zertifikat (Bild 22) können Sie es öffnen
(Bild 23).
6
18
Für maschinengebundene Zertifikate siehe Seite 20.
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Bild 22
Zertifikate erstellen und installieren
Hier sehen Sie, dass der Zweck des Zertifikats die Authentifizierung gegenüber dem
Server ist. Wichtig ist, dass ein privater Schlüssel zu diesem Zertifikat vorhanden ist.
Bild 23
Bild 23
Zertifikat, zu dem ein privater Schlüssel existiert
Client-Zertifikat: Benutzer- oder rechnergebunden?
Wenn Sie das Client-Zertifikat auf einen Rechner importieren (vgl. Bild 22 auf
Seite 18), entscheiden Sie, ob Sie Ihr Zertifikat nutzer- oder maschinengebunden
ablegen möchten.
• Benutzergebunden: Wenn nur eine Person den Rechner nutzt, importieren Sie
das Zertifikat in dessen Benutzerspeicher nach AKTUELLER BENUTZER→ EIGENE
ZERTIFIKATE. Das heißt, das Client-Zertifikat ist an den aktuellen Benutzer
gebunden und befindet sich in dessen Zertifikat-Speicher (siehe Bild 24, oben).
• Maschinengebunden: Benutzen mehrere Personen einen Rechner (oder gibt es
zusätzlich zum Benutzer-Account auch einen Administrator-Account), können
Sie das Zertifikat stattdessen maschinengebunden im Container ZERTIFIKATE→
COMPUTERKONTO→ LOKALER COMPUTER ablegen (siehe Bild 24 unten). Es reicht
ein einziges Zertifikat pro Clientrechner für alle Nutzer, die diesen Rechner
gemeinsam nutzen.
© ThinPrint GmbH 2015
Hinweis! Wenn Sie Ihr Zertifikat maschinengebunden ablegen (unter ZERTIFIKATE→ COMPUTERKONTO→ LOKALER COMPUTER) müssen Sie anschließend die
Nutzungsrechte für die Verschlüsselung auf dem Client-Rechner vergeben
(siehe Absatz Nutzungsrechte für Verschlüsselung auf Client-Rechner vergeben Seite 22) und den Registry-Schlüssel “CertStore” auf “1” setzen (siehe
Bild 49, rechter Pfeil).
ssl_d.fm
Technische Information
19
Zertifikate erstellen und installieren
Bild 24
Bild 24
Client-Zertifikat
maschinengebunden ablegen
MMC Client-Rechner: Zertifikat nutzer- oder maschinengebunden ablegen
Im folgenden Beispiel wird das Zertifikat maschinengebunden abgelegt. Anschließend wird gezeigt, an welcher Stelle die Nutzungsrechte vergeben werden müssen.
– Öffnen Sie die MMC auf dem Client-Rechner und wählen das Snap-in ZERTIFIKATE→ COMPUTERKONTO→ LOKALER COMPUTER.
Bild 25
Bild 25
MMC Client-Rechner: Zertifikat importieren
– Markieren Sie im Container ZERTIFIKATE (LOKALER COMPUTER) den Ordner EIGENE
ZERTIFIKATE und wählen im Kontextmenü ALLE AUFGABEN→ IMPORTIEREN
(Bild 25). Daraufhin öffnet sich der Zertifikatsimport-Assistent.
© ThinPrint GmbH 2015
20
Technische Information
ssl_d.fm
Zertifikate erstellen und installieren
Bild 26
Bild 26
Zertifikat importieren: Quelldatei angeben
– Geben Sie den Pfad der im letzten Schritt exportierten .pfx-Datei an und klicken
Sie auf WEITER (BILD 26).
Bild 27
Bild 27
Zertifikat importieren: Kennwort eingeben
© ThinPrint GmbH 2015
– Da der private Schlüssel passwortgeschützt ist, müssen Sie sein Kennwort
angeben (Bild 28). Den privaten Schlüssel markieren Sie als exportierbar (Häkchen setzen), falls das Zertifikat eventuell später woanders installiert werden
soll (Bild 27).
ssl_d.fm
Technische Information
21
Zertifikate erstellen und installieren
Bild 28
Bild 28
Zertifikat importieren: Zertifikatspeicher wählen
– In der zweiten Option ist bereits der Pfad des Zertifikatspeichers eingetragen,
wohin das Zertifikat importiert werden soll (EIGENE ZERTIFIKATE). Bestätigen Sie
mit WEITER (Bild 28). Schließen Sie mit FERTIG STELLEN den letzten Dialog des
Zertifikatsimport-Assistenten. Sie erhalten die Meldung, dass der Import erfolgreich war.
Das importierte Zertifikat finden Sie nun in der MMC (Bild 29). Aktualisieren Sie
gegebenenfalls die Ansicht über den Menüpunkt VORGANG.
Bild 29
Bild 29
Nutzungsrechte für
Verschlüsselung
auf Client-Rechner
vergeben
Importiertes Client-Zertifikat
Wenn Sie Ihr Client-Zertifikat (wie im letzten Abschnitt beschrieben) maschinengebunden, also in den Knoten ZERTIFIKATE (LOKALER COMPUTER) importiert haben, können Sie jetzt die Rechte für die einzelnen Nutzer/innen des Rechners vergeben.
22
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
– Wählen Sie dazu im Kontextmenü des importierten Zertifikats ALLE AUFGABEN→ PRIVATE SCHLÜSSEL VERWALTEN... (Bild 30).
Zertifikate erstellen und installieren
Bild 30
Bild 30
Client-Zertifikat im Speicher des Clientrechners (Machine Store)
Sie gelangen zu den Rechten des Client-Zertifikats:
Bild 31
Bild 31
Rechte des Client-Zertifikats einstellen: Nutzer/innen zufügen
– Fügen Sie mit dem Button HINZUFÜGEN... diejenigen Nutzer/innen oder Nutzergruppen hinzu, die mit ThinPrint verschlüsselt drucken sollen und geben Sie
ihnen mindestens Leserechte (Bild 31).
© ThinPrint GmbH 2015
Um verschlüsselt zu drucken, müssen Sie, nachdem Sie das Client-Zertifikat auf
einem Client-Rechner importiert haben, außerdem einen Registry-Eintrag vornehmen. Wie das geht, lesen sie unter ThinPrint Client konfigurieren auf Seite 33.
ssl_d.fm
Technische Information
23
Zertifikate erstellen und installieren
4. Stammzertifikat exportieren
Das Stammzertifikat des Zertifikat-Servers wird auf alle Server installiert, deren
ThinPrint Engine verschlüsselte Druckaufträge zum ThinPrint Client sendet. Sie können das Stammzertifikat durch Download vom Zertifikat-Server erhalten und diese
Datei dann an alle übrigen Server verteilen. Öffnen Sie in einem der Server, der das
Zertifikat benötigt, den Browser und geben die Webseite des Zertifikat-Servers ein mit
der Erweiterung /CERTSRV (analog zur Anforderung des Client-Zertifikats, Bild 11).
Wählen Sie diesmal: DOWNLOAD A CA CERTIFICATE, CERTIFICATE CHAIN, OR CRL (DOWNLOAD EINES ZERTIFIZIERUNGSSTELLENZERTIFIKATS, EINER ZERTIFIKATKETTE ODER EINER
SPERRLISTE).
Alternativ dazu können Sie das Stammzertifikat exportieren, ablegen und anschließend auf allen Servern importieren. Dies wird im folgenden beschrieben.
– Öffnen Sie auf dem Zertifikat-Server die MMC. Im Container KONSOLENSTAMM→
ZERTIFIKATE - AKTUELLER BENUTZER→ VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE→ ZERTIFIKATE finden Sie Ihr Stammzertifikat. Klicken Sie im Kontext-Menü auf ALLE AUFGABEN→ EXPORTIEREN (Bild 32)
Bild 32
Bild 32
Zertifikat-Server: Stammzertifikat exportieren
– Wählen Sie anschließend das Format des zu exportierenden Zertifikats. Die
Datei hat dabei die Endung .cer. Das bedeutet, dass das Zertifikat einen öffentlichen Schlüssel enthält, es aber keinen privaten dafür gibt. Klicken Sie danach
auf WEITER (Bild 33).
© ThinPrint GmbH 2015
24
Technische Information
ssl_d.fm
Zertifikate erstellen und installieren
Bild 33
Bild 33
Zertifikatexport-Assistent: Dateiformat wählen
– Wählen Sie im nächsten Dialog einen nicht zu kurzen und nicht zu allgemeinen
Zertifikatnamen7; Speichern Sie die Datei zentral, so dass Sie von Ihren
(Druck-)Servern, die verschlüsselt drucken sollen darauf zugreifen können
(Bild 34).
Bild 34
Bild 34
Dateinamen wählen
© ThinPrint GmbH 2015
– Klicken Sie im folgenden Dialog auf FERTIG STELLEN.
– Das Stammzertifikat ist für alle Server einer Farm dasselbe und kann gegebenenfalls per Skript verteilt werden.
7
ssl_d.fm
In den Microsoft-Zertifikatsdiensten wird das erste Zertifikat ausgewählt, das die angegebene
Zeichenfolge enthält. Bei Namen wie Zertifikat oder Root kann so ein anderes Zertifikat als das
Gewünschte gewählt werden, was beim Drucken zu einer Fehlermeldung führt.
Technische Information
25
Zertifikate erstellen und installieren
6. Stammzertifikat auf Server verteilen
Stammzertifikat
auf Server importieren
Jetzt müssen Sie Ihr Stammzertifikat auf den Server, auf dem verschlüsselt gedruckt
werden soll importieren.
Bild 35
Bild 35
Server: Stammzertifikat importieren
– Öffnen Sie dafür auf dem Server die MMC. Im Container KONSOLENSTAMM→
ZERTIFIKATE - (LOKALER COMPUTER)→ VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE→ ZERTIFIKATE, wählen Sie im Kontext-Menü: ALLE AUFGABEN→
IMPORTIEREN (Bild 35).
Bild 36
Bild 36
Zertifikatsimport-Assistent: Zu importierende Datei auswählen
26
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
– Daraufhin öffnet sich der Zertifikatimport-Assistent. Klicken Sie den Button
DURCHSUCHEN und wählen Sie Ihr soeben exportiertes Stamm-Zertifikat aus
(Bild 36).
Zertifikate erstellen und installieren
Bild 37
Bild 37
Zertifikatimport-Assistent: Zertifikatspeicher auswählen
– Wählen Sie die Option ALLE ZERTIFIKATE IN FOLGENDEM SPEICHER SPEICHERN und
klicken Sie auf den Button DURCHSUCHEN (Bild 37).
– Im nächsten Dialog wählen Sie den Ort, an dem das Stammzertifikat abgelegt
werden soll. Aktivieren Sie PHYSIKALISCHEN SPEICHER ANZEIGEN und wählen: VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE und darin den Container LOKALER COMPUTER (Bild 38):
Bild 38
Bild 38
Zertifikatspeicher auswählen: VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLE, LOKALER COMPUTER
© ThinPrint GmbH 2015
– Wenn in Bild 37 der richtige Pfad angezeigt wird, klicken Sie auf WEITER und
im nächsten Dialog auf FERTIG STELLEN. Daraufhin erscheint die Meldung: DER
IMPORTVORGANG WAR ERFOLGREICH.
– Sie finden das importierte Zertifikat in der MMC unter dem Snap-in ZERTIFIKATE
(LOKALER COMPUTER)→ VERTRAUENSWÜRDIGE STAMMZERTIFIKATE→ ZERTIFIKATE.
Falls dieses Snap-in nicht vorhanden ist, fügen Sie es hinzu. Öffnen Sie hierfür
die MMC über die Eingabeaufforderung und wählen: KONSOLE→ SNAP-IN HINZUFÜGEN/ENTFERNEN→ HINZUFÜGEN→ ZERTIFIKATE→ HINZUFÜGEN→ COMPUTERKONTO→ FERTIGSTELLEN→ SCHLIESSEN.
– Sollten Sie das Zertifikat nicht finden, markieren Sie den Ordner ZERTIFIKATE
(wie in Bild 39) und wählen in der Menüleiste VORGANG→ AKTUALISIEREN.
ssl_d.fm
Technische Information
27
Zertifikate erstellen und installieren
Bild 39
Bild 39
MMC: Stammzertifikat unter ZERTIFIKATE (LOKALER COMPUTER), VERTRAUENSSTAMMZERTIFIKATE
WÜRDIGE
– Mit einem Doppelklick auf das Zertifikat können Sie es sich ansehen (Bild 40).
Bild 40
Bild 40
Stammzertifikat der eigenen Zertifizierungsstelle
7. Server-Zertifikat installieren
28
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Das Server-Zertifikat fordern Sie vom Server aus über eine Webseite beim Zertifikat-Server an. Dies funktioniert genauso wie die Anforderung eines Client-Zertifikats
(siehe 2. Client-Zertifikat anfordern und ausstellen, Seite 13).
Um mit dem Server-Zertifikat verschlüsselt zu drucken, muss es in den richtigen
Druckdienst (Druckwarteschlange, Spooler) in der MMC importiert werden.
Zertifikate erstellen und installieren
Import des
Server-Zertifikats
in den Druckdienst
– Um die .pfx-Datei im richtigen Container abzulegen, öffnen Sie die MMC und
wählen das Snap-in ZERTIFIKATE - DIENST (DRUCKWARTESCHLANGE). Falls dieses
Snap-in nicht vorhanden ist, fügen Sie es hinzu: KONSOLE→ SNAP-IN HINZUFÜGEN/ENTFERNEN→ HINZUFÜGEN→ ZERTIFIKATE→ HINZUFÜGEN→ DIENSTKONTO→ LOKALER COMPUTER→ DRUCKWARTESCHLANGE→ FERTIGSTELLEN→
SCHLIESSEN.
Bild 41
Bild 41
Server: Zertifikat importieren
– Markieren Sie im Container ZERTIFIKATE - DIENST (DRUCKERWARTESCHLANGE) den
Ordner SPOOLER/EIGENE ZERTIFIKATE und wählen im Kontextmenü ALLE AUFGABEN→ IMPORTIEREN (Bild 41). Der Zertifikatimport-Assistent öffnet sich.
Bild 42
Bild 42
Zertifikat importieren: Quelldatei angeben
© ThinPrint GmbH 2015
– Geben Sie den Pfad der unter Punkt 4 (Seite 24) exportierten .pfx-Datei an und
klicken Sie auf WEITER (BILD 42).
ssl_d.fm
Technische Information
29
Zertifikate erstellen und installieren
Bild 43
Bild 43
Zertifikat importieren: Kennwort eingeben
– Da der private Schlüssel passwortgeschützt ist, müssen Sie sein Kennwort
angeben (vgl. Bild 27). Markieren Sie den privaten Schlüssel als exportierbar
(Häkchen setzen), falls Sie das Zertifikat später einmal exportieren möchten
(Bild 43).
Bild 44
Bild 44
Zertifikat importieren: Zertifikatspeicher wählen
– In der zweiten Option ist bereits der Pfad des Zertifikatspeichers eingetragen,
wohin das Zertifikat importiert werden soll (SPOOLER\EIGENE ZERTIFIKATE).
Bestätigen Sie mit WEITER (Bild 44). Schließen Sie mit FERTIG STELLEN den letzten Dialog des Zertifikatimport-Assistenten. Sie erhalten die Meldung, dass der
Import erfolgreich war.
30
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
Das importierte Zertifikat finden Sie nun in der MMC (Bild 45). Aktualisieren Sie
gegebenenfalls die Ansicht über den Menüpunkt VORGANG.
ThinPrint Engine konfigurieren
Bild 45
Bild 45
Importiertes Server-Zertifikat im Druckdienst (Spooler)
Um nun mit den erzeugten Zertifikaten zu drucken, aktivieren Sie bei der ThinPrint
Engine die Verschlüsselung pro ThinPrint Port und tragen die Zertifikatnamen ein.
Beim ThinPrint Client wird ein Registry-Eintrag hinzugefügt. Dies wird in den folgenden beiden Abschnitten gezeigt.
ThinPrint Engine konfigurieren
Verschlüsselungseinstellungen vornehmen
– Um die importierten SSL-Zertifikate für die ThinPrint Engine nutzbar zu
machen, wählen Sie im Port Manager der MMC (Bild 46): THINPRINT→ THINPRINT ENGINE und anschließend im Kontextmenü: ALLE AUFGABEN→ VERSCHLÜSSELUNGSEINSTELLUNGEN.
© ThinPrint GmbH 2015
Bild 46
Bild 46
ssl_d.fm
SSL-Zertifikate für die ThinPrint Engine auswählen
Technische Information
31
ThinPrint Engine konfigurieren
– Geben Sie unter VERSCHLÜSSELUNGSEINSTELLUNGEN (Bild 47) die Namen des
Server- und des Stamm-Zertifikats ein, die jeweils in der Spalte AUSGESTELLT
FÜR in der Zertifikatsübersicht der MMC angezeigt werden (in Bild 45 und
Bild 39 COMPANY XY- CLIENT und COMPANY XY-CA als Beispiele).
Bild 47
Bild 47
SSL-Zertifikate eintragen
– Füllen Sie beide Felder aus, und stellen Sie sicher, dass einerseits das jeweilige
Zertifikat auch auf dem Server installiert ist und andererseits auf den Clients
Zertifikate installiert sind, denen die Serverzertifikate vertrauen. Andernfalls
werden die Druckaufträge nicht ausgeführt.
Verschlüsselung aktivieren (pro ThinPrint Port)
– Die Aktivierung der SSL-Verschlüsselung nehmen Sie in der Port-Konfiguration
vor (Bild 48).
Bild 48
32
MMC: Verschlüsselung pro ThinPrint Port aktivieren
Technische Information
© ThinPrint GmbH 2015
Bild 48
ssl_d.fm
ThinPrint Client konfigurieren
ThinPrint Client konfigurieren
Wenn zu einem Client-Rechner verschlüsselt gedruckt werden soll, muss das Client-Zertifikat auf diesen Rechner importiert werden und ein Registry-Eintrag vorgenommen werden.
Vor dem Senden verschlüsselter Daten wird vom Server geprüft, ob in der Registry
des Clients der Eintrag CERTNAME mit dem Namen des importierten Zertifikats enthalten und das hinterlegte Zertifikat auch auf dem Client vorhanden ist. Der Eintrag
CertName in die Registry muss – wie im Folgenden beschrieben – manuell erfolgen:
1. Legen Sie nach dem Zertifikatimport auf den Clients folgenden Registry-Eintrag
mit REGEDIT (Bild 49, Pfeil links; Datentyp: reg_sz) an:
hkey_local_machine\software\thinprint\client\CertName
Bild 49
Bild 49
Registry-Eintrag für SSL-Verschlüsselung auf Windows-Clients
(Beispiel für Zertifikat Company XY- Client)
2. Geben Sie als Wert den Namen des importierten Zertifikats an, der in der Spalte
AUSGESTELLT FÜR in der Zertifikatsübersicht der MMC angezeigt wird (in Bild 22
als Beispiel COMPANY XY- CLIENT).
3. Starten Sie den ThinPrint Client Windows neu.
Der Registry-Eintrag CertName wird nur für verschlüsselte Druckaufträge benötigt;
die Annahme nicht verschlüsselter Druckaufträge ist weiterhin möglich.
© ThinPrint GmbH 2015
Hinweis! Sollten Sie Ihr Zertifikat im Zertifikatspeicher des Rechners (also
maschinengebunden) abgelegt haben (siehe Seite 19), müssen Sie den Registry-Schlüssel “CertStore” auf “1” setzen (siehe Bild 49, Pfeil rechts). Bei der
Verwendung nutzergebundener Zertifikate wird stattdessen eine “0” gesetzt.
ssl_d.fm
Technische Information
33
Fehler beheben
Fehler beheben
In folgender Tabelle sehen Sie mögliche Fehlermeldungen und finden Hinweise, wie
Sie diese beheben können.
mögliche Ursache
Der Client hat den Druckauftrag
abgelehnt...Fehler in Funktion Nr.
3.
Client ist aktiv und wird gefunden, kann
aber nicht drucken.
• Drucker aus /Papierstau/keine Tinte?
• Client-Zertifikat wird nicht gefunden.
Mögliche Ursachen: Clientzertifikat ist
nicht vom richtigen Stammzertifikat
unterschrieben; Zertifikat ist nicht im
richtigen Speicher abgelegt (user/
machine store) oder hat nicht die richtigen Rechte (Seite 22); Tippfehler bei
den Verschlüsselungseinstellungen
oder in der Registry (Bild 47 oder
Bild 49)
Das Client-Zertifikat konnte nicht
gelesen werden oder ist fehlerhaft
Das Client-Zertifikat ist vorhanden, kann
jedoch nicht gelesen oder nicht ausgewertet
werden. Fordern Sie gegebenenfalls ein
neues Client-Zertifikat an
Fehler beim Empfang von Daten
• bei SSL-Verschlüsselung: Sie verwenden möglicherweise einen älteren ThinPrint Client. Installieren Sie die neuste
Version.
• bei Drucken über ICA/RDP: die Verbindung ist möglicherweise (kurz) abgebrochen.
Das Client- oder das Server-Zertifikat ist nicht vom angegebenen
Stammzertifikat unterschrieben.
• Server- und Client-Zertifikat müssen
vom selben Stammzertifikat unterschrieben sein. Vergleichen Sie die
Spalte „Ausgestellt von“ (Bilder 22 und
45) mit dem Stammzertifikat
(Bild 39).
• In der ThinPrint-Engine-Konfiguration
wurde kein Name für ein Stammzertifikat angegeben (Bild 47)
• Der Zertifikatname (z.B. root) ist zu allgemein. Dann wird im Zertifikatspeicher ein anderes Zertifikat mit dieser
Zeichenfolge zuerst gefunden, und bei
diesem stimmen dann die Bezüge
nicht.
Technische Information
ssl_d.fm
© ThinPrint GmbH 2015
34
Fehlermeldung
Fehler beheben
mögliche Ursache
Fehler beim Aufbau der verschlüsselten Verbindung
betrifft das Server-Zertifikat:
• Server-Zertifikat ist ungültig oder abgelaufen.
• Das Server-Zertifikat enthält keinen privaten Schlüssel, oder dieser ist beim
Installieren nicht mitimportiert worden
(Schlüssel als exportierbar markieren)
• bei den Verschlüsselungseinstellungen
der ThinPrint Engine wurde kein Name
eingegeben (siehe Bild 47)
Der Gültigkeitsbereich des Serverzertifikats liegt in der Zukunft
Das Server-Zertifikat ist noch nicht gültig
• Synchronisieren Sie Datum und Uhrzeit aller beteiligten Rechner
• Systembedingt ist das über den IIS
angeforderte Zertifikat erst einen Tag
nach Ausstellung gültig. Die Gültigkeit
entnehmen Sie der Zertifikatverwaltung (Bild 45).
Der Server-Zertifikatsname ist
nicht gesetzt
In der ThinPrint-Engine-Konfiguration wurde
kein Name eingegeben (siehe Bild 47).
Das eingestellte Server-Zertifikat
wurde nicht gefunden
Der Name der ThinPrint-Engine-Konfiguration stimmt nicht mit dem Zertifikatnamen
überein (Tippfehler?) (siehe Bild 47).
Das eingestellte Stammzertifikat
wurde nicht gefunden
Der Name der ThinPrint-Engine-Konfiguration stimmt nicht mit dem Zertifikatnamen
überein (Tippfehler?) (siehe Bild 47).
Der Stammzertifikatsname ist
nicht gesetzt
In der ThinPrint-Engine-Konfiguration wurde
kein Name eingegeben (siehe Bild 47).
© ThinPrint GmbH 2015
Fehlermeldung
ssl_d.fm
Technische Information
35