Überblick
Bei einer offiziellen Zertifizierungsstellen (CA) können sowohl Root-, Server- als auch Client-Zertifikate erworben werden. Für Cortado Server benötigen Sie ein gekauftes Serverzertifikat.
Hinweis! Der Cortado-Server kann für Sie Server- und Client-Zertifikate generieren, wenn Sie ein bei einer offiziellen Zertifizierungsstellen gekauftes Root- bzw. Stamm-Zertifikat verwenden.
Dieses Root- bzw. Stamm-Zertifikat, muss zuvor (inklusive des privaten Schlüssels) in den Zertifikat-Store des Cortado-Servers importiert werden.
Die im Folgenden beschriebenen Optionen finden Sie entweder im Configurations Assistant, den Sie für die Grundkonfiguration von Cortado Server verwendet haben oder im Verwaltungsportal unter Verwaltung→ Zertifikate unter Server-Zertifikate.
Wie Sie das Apple-Push-Zertifikat konfigurieren erfahren Sie im Abschnitt Apple MDM konfigurieren.
Das Einstellen eines Client-Zertifikat-Modus wird im Abschnitt Client-Zertifikate einrichten (optional) beschrieben.
Hinweis! Cortado Server bietet im Konfigurationsassistenten (während der Grundkonfiguration) und im Verwaltungsportal die Möglichkeit selbst-signierte Root- und Server-Zertifikate zu generieren. Sowohl Google als auch Apple unterstützen seit einiger Zeit keine selbst-signierten Root- und Server-Zertifikate mehr. Es ist deshalb zwingend notwendig ein Serverzertifikat bei einer autorisierten Zertifizierungsstelle zu kaufen. Optional können Sie auch ein Root-Zertifikat bei einer autorisierten Zertifizierungsstelle kaufen und ein Serverzertifikat (und ggf. auch Clientzertifikate) davon ableiten. Das Ableiten des Server-Zertifikats ist im Verwaltungsportal des Cortado-Servers möglich und wird in diesem Artikel beschrieben.
Server-Zertifikat importieren
Sie können Ihr gekauftes Server-Zertifikat entweder im Konfigurationsassistenten (während der Grundkonfiguration) oder nachträglich im Verwaltungsportal hochladen.
- Wählen Sie dafür im Verwaltungsportal unter Verwaltung→ Zertifikate→ Server-Zertifikate→ Server-Zertifikat importieren (SSL) (Pfeil im Bild).
Hinweis! Beachten Sie dabei, dass Ihr gekauftes Serverzertifikat zuvor in den Zertifikat-Store des Cortado-Servers unter Certificates (Local Computer)→ Personal→ Certificates importiert werden muss.
Hinweis! Wenn Sie ein gekauftes Server-Zertifikat verwenden müssen Sie keine weiteren, der hier folgenden Schritte ausführen!
Root-Zertifikat importieren
Sie können ein bei einer autorisierten Zertifizierungsstelle gekauftes Root-Zertifikat importieren. Anschließend müssen Sie dann ein davon abgeleitetes Server-Zertifikat generieren.
- Wählen Sie dafür im Verwaltungsportal unter Verwaltung→ Zertifikate→ Server-Zertifikate→ Stammzertifikat importieren.
- Wählen Sie Ihr Zertifikat anschließend aus und geben Sie das Zertifikatpasswort ein.
Server-Zertifikat generieren
Sie können mit Cortado-Server ein Server-Zertifikat generieren, wenn Sie ein bei einer autorisierten Zertifizierungsstelle gekauftes Root-Zertifikat verwenden.
Ein neues Server-Zertifikat generiert Cortado Server automatisch, wenn Sie:
- im Configuration Assistant die Option Create new self signed server certificate wählen (siehe oben) oder
- im Verwaltungsportal die Option Server-Zertifikat generieren (SSL) wählen (siehe Bild)
Hinweis! Das hier ggf. generierte Server-Zertifikat enthält die Server-Adresse, die Sie im Configuration Assistant unter Cortado server address gewählt haben. Diese Adresse sehen Sie auch im Verwaltungsportal unter Server-Adresse. Stellen Sie sicher, dass diese Adresse einerseits von den Endgeräten aus erreichbar ist und andererseits die Nutzer/-innen genau diese Adresse für Verbindungen zum Benutzerportal und zur Web-App verwenden. Ansonsten können Zertifikatfehler in den Internet-Browsern der Endgeräte auftreten.
Root-Zertifikat exportieren
Darüber hinaus können Sie ihr gekauftes Root-Zertifikat wahlweise mit oder ohne privaten Schlüssel exportieren.
- Wählen Sie dafür im Verwaltungsportal unter Verwaltung→ Zertifikate→ Server-Zertifikate→ Stammzertifikat exportieren.
Zertifikat mit privatem Schlüssel exportieren
Exportieren Sie das Root-Zertifikat mit privaten Schlüssel im .pfx-Format.
Hinweis! Exportieren Sie den privaten Schlüssel nur, wenn Sie ein Backup erstellen wollen. Verteilen Sie ein Zertifikat mit privatem Schlüssel niemals an die Nutzer/-innen.
- Aktivieren Sie die Checkbox Privaten Schlüssel exportieren (Pfeil im Bild).
- Bestätigen Sie die folgende Warnmeldung mit Klick auf OK.
- Schützen Sie Ihr Zertifikat mit einem Passwort.
- Speichern Sie das Zertifikat an einem sicheren Ort.
Zertifikat ohne privaten Schlüssel exportieren
Exportieren Sie das Root-Zertifikat ohne privaten Schlüssel im .cer-Format.
Mit Klick auf OK, wird der Download des Zertifikates gestartet.
- Speichern Sie das Root-Zertifikat.
Server-Zertifikat exportieren
- Wählen Sie Server-Zertifikat exportieren (SSL), um das Server-Zertifikat im .pfx-Format zu exportieren.
- Schützen Sie Ihr Zertifikat mit einem Passwort.
Jetzt können Sie das Server-Zertifikat an einem sicheren Ort speichern.
Root-Zertifikat generieren
Diese Option steht nicht mehr zur Verfügung. Bitte nehmen Sie hier keine Einstellungen vor. Sowohl Google als auch Apple unterstützen seit einiger Zeit keine selbst-signierten Root-Zertifikate mehr.