1.2 Vorbereitungen Inbetriebnahme - Zertifikate und Bonjour

Beschreibung: Stammzertifikat einrichten und Zugriff über Browser

Kategorie: Grundeinrichtung und Inbetriebnahme

Link zu diesem Beitrag: Alles auswählen

[url=https://forum.timberwolf.io/app.php/kb/viewarticle?a=28&sid=eb538ef8790cf33a3e8c2dfc259dc6af]Knowledge Base - 1.2 Vorbereitungen Inbetriebnahme - Zertifikate und Bonjour[/url]

Erklärungen zu den beiden folgenden nötigen Schritten:

Für die erste Verbindung müssen auf Client-Seite zwei Dinge vorbereitet worden sein.
  1. Namensauflösung: Bei Windows-PVs sind die Apple Bonjour Druckdienste zu installieren für eine automatisierte Namensauflösung
  2. Stammzertifikat installieren: Für die verschlüssekte Verbindung mit dem Browser ist auf jedem Client das Stammzertifikat der Timberwolf CA zu installieren

Info zur Namensauflösung:
Damit ein Client auf den Server zugreifen kann, muss die Namensauflösung funktionieren, also die Umsetzung von Servernamen ("timberwolfxxx.local") auf die IP-Adresse die er bekommen hat. Dies ist emminent wichtig. Einer der Mechanismen für eine funktionierende Namensauflösung ist die Nutzung von ZeroConf, einer Protokollfamilie, die eine administrationsfreie Einbindung neuer Geräte in privaten Netzen ermöglichen soll. Diese Protokollfamilie ist auf Apple-Geräten enthalten, bei Windows müssen wir mit der Installation der "Apple Bonjour Druckdienste" nachhelfen, weil dadurch ein kompletter ZeroConf-Protokoll-Stack installiert wird. Bei Linux bitte "Avahi" installieren. Bonjour, Avahie, mDNS sind alles verschiedene Bezeichnungen für die gleiche Sache: ZeroConf.

Wenn die Installation der automatischen Namensauflösung in Ihrem Netz nicht funktioniert, dann sollten Sie einen DNS Server aufsetzen oder die Hosts-Datei editieren. Ziehen Sie hierzu einen Experten zu rate oder lesen Sie sich im Internet ein. Bitte schalten Sie Personal Firewalls ab, die haben bei manchen Kunden die automatische Namensauflösung mit ZeroConf schon empfindlich gestört.

Info zur Installation des Stammzertifikates der Timberwolf CA:
Der Timberwolf Server ist mit einer TLS-Verschlüsselung für die Verbindung zum Browser ausgestattet. Diese Verschlüsselung schaltet sich jedoch erst zu, wenn der Client ein Zertifikat vom Server laden und dessen Signatur überprüfen kann. Zur Überprüfung der Signatur eines Timberwolf Servers muss der Browser daher wiederum das Zertifikat der austellenden Zertifizierungsautorität besitzen, daher ist dieses vorab herunterzuladen und die Vertrauensstellung von Hand zu bestätigen.

Hintergrundwissen: Der Timberwolf Server ist bei der Erstinstallation eine im privaten Netz eingesetzte Appliance, die nicht aus dem Internet erreichbar ist. Da der Server damit nicht mit einem offiziellen Domänennamen angesprochen werden kann (bzw. wir dies ab Werk nicht wissen), kann kein offizielles Zertifikat ausgestellt werden, weil die Regeln des mächtigen CA/Browser Forum (Konsortium der Browser-Hersteller und Certificate Authorities das die Regeln mit digitalen Zertifikaten X.509 bestimmt) eine über das Internet zugängliche Validierung verlangen.
Daher wird für die Inbetriebnahme und für die Nutzung im privaten Netz ein von ElabNET generiertes Zertifikat - pro Server individuell auf seine URL - bei der Herstellung generiert und vergeben. Damit die Browser das akzeptieren, muss das Stammzertifikat der Timberwolf Web CA importiert und seine Vertrauensstellung bestätig werden. Wir hätten das gerne anders gelöst, aber die Vorgaben des Konsortiums lassen keine andere Möglichkeit zu.


Die Installation des Stammzertifikates in Firefox / Chrome / iOS wird unten Schritt für Schritt erklärt und wird auch in folgendem Video gezeigt:



Schritt für Schritt Anleitung:

Windows PC:


1. Installation des Stammzertifikates der Timberwolf Certificate Authority
  • Bitte rufen Sie mit Ihrem Browser die folgende URL auf: https://update.timberwolf.io/
  • Klicken Sie auf den Link Timberwolf Web CA
  • Daraufhin erscheint eine Dialogbox, die je nach verwendetem Browser unterschiedlich aussehen kann (mehr dazu im Video)
  • Wählen Sie bitte „Dieser CA vertrauen, um Websites zu identifizieren“. Dies gilt dann für timberwolf.io und alle Timberwolf Server

Fehlersuche (Windows)

Es ist wichtig, dass das Stammzertifikat installiert und die Vertrauensstellung richtig eingestellt ist. Um dies zu überprüfen, gehen Sie bitte wie folgt vor.
  1. Bitte führen Sie den Zertifikatmanager "certmgr.msc" in Windows aus.
  2. Damit öffnet sich eine Anwendung, in der sämtliche Zertifikate zu sehen kann, die auf einem PC installiert sind.
  3. Auf der linken Seite erscheint ein Folder "Vertrauenswürdige Stammzertifizierungsstellen" bzw. "Trusted Root Certification Authorities" und mit Klick auf den Pfeil ein darunter liegenden Ordner "Zertifikate" (Certificates). Klicken Sie auf diesen Ordner.
  4. Im rechten Fenster werden nun alle vertrauenswürdige Stammzertifikate angezeigt. Die allermeisten werden durch das Betriebssystem bzw. die Browser vorinstalliert. Weiter unten muss nun auch die "Timberwolf Web CA" sein. Ist das nicht der Fall, dann hat die Installation des Timberwolf Stammzertifikates nicht funktioniert. Bitte führen Sie den Import erneut aus und halten Sie sich bitte akribisch an die Vorgehensweise, die im oben verlinkten Video erklärt ist.

2. Installation der Bonjour Druckdienste von Apple:
  • Laden Sie die Bonjour-Druckdienste von Apple: https://support.apple.com/kb/dl999?locale=de_DE dort auf „Laden“ drücken.
  • Starten Sie das Setup aus den heruntergeladenen Dateien
  • Alle Optionen abwählen
  • Installieren drücken und die Installation abschließen

Erklärung: Mit diesen beiden Schritten wurde das Root-Zertifikat unserer CA – mit der wir die Einzelzertifikate der Timberwolf Server signieren – installiert. Mit der Installation der "Apple Bonjour Services" wird der Support fpr ZeroConf / mDNS installiert, der für die automatische Namensauflösung des Timberwolf Servers dienlich ist. Weiterführende Informationen in der KB unter Zugriff auf den TWS mit LAN/WLAN. Eine Namensauflösung dient dazu, um die Timberwolf Server per generischer URL ("timberwolfxxx.local" im Browser ansprechen zu können. Die Funktion der Namensauflösung ist wichtig für die Verbindung mit dem Browser und muss perfekt funktionieren.


iPad / iPhone:

Bei iOS ist BonJour schon installiert, daher muss hier nur das Root-Zertifikat unserer CA installiert, dafür aber separat bestätigt werden:
  • Bitte rufen Sie mit Ihrem Browser die folgende URL auf: https://update.timberwolf.io/
  • Klicken Sie auf den Link Timberwolf Web CA
  • Die Sicherheitsrückfrage bitte mit „Zulassen“ bestätigen
  • Daraufhin springt iOS zu den Einstellungen. Hier auf „Installieren“ drücken, um das Zertifikat zu installieren. Hierzu ist dann noch der Code anzugeben und dann auf „Profil installieren“ zu drücken.
  • Das System springt dann wieder zum Browser. Nicht immer ist das Zertifikat damit freigeschaltet, daher:
  • Wechseln Sie zurück zu Einstellungen / Allgemein / Profil / Timberwolf Web CA und prüfen, ob es dort freigeschaltet ist „Überprüft“.
Bei Android Devices wird es ähnlich funktionieren. eine genauere Beschreibung folgt noch.

Die weiteren Schritte, um auf die Eingabeoberfläche des Timberwolf Servers zu gelangen, sind in 1.3 (app.php/kb/viewarticle?a=29) beschrieben.


Edit by StefanW (2019-02-24)