Zertifikate

Aus NComputing Knowledge Base
Wechseln zu: Navigation, Suche

Ein wesentlicher Teil der heutigen Sicherheit, die auf HTTPS, SSL, X.509, PKI basiert, sind Zertifikate. Zertifikate sind kleine Dokumente, mit denen bewiesen werden kann, dass ein bestimmter Schlüssel wirklich zu einer bestimmten Person gehört und Man-in-the-Middle-Angriffe vermieden werden. Aus Sicht der reinen Systemadministration machen Zertifikate zusätzliche Arbeit. Die gute Nachricht ist jedoch, dass NoTouch das Arbeiten mit Zertifikaten in allen - sehr unterschiedlichen - Bereichen unterstützt.

Die Pointe ist: Sie können Zertifikate über einen Webbrowser auf einzelne Computer hochladen, und NoTouch Center kann Ihre Zertifikate an eine große Anzahl von Computern verteilen. Diese Zertifikate können für die Netzwerkauthentifizierung, den Webbrowser, den Citrix Receiver, den VMware Horizon View-Client, den FreeRDP Remote Desktop Protocol Client und andere Dienste verwendet werden.

Im Allgemeinen müssen Zertifikate in .crt-Form vorliegen - Textdateien (ASCII), die mit "---- BEGIN CERTIFICATE ----" beginnen. Dieses Format wird als Base64-encoded DER format bezeichnet. Es gibt möglicherweise Ausnahmen von dieser Regel, aber um sicher zu sein, versuchen Sie es immer zuerst mit einer .crt-Datei.

Hinzufügen von privaten oder neuen Zertifikaten zu NoTouch

NoTouch wird mit allen Standardzertifikaten geliefert, die von den bekannten PKI-Anbietern erhältlich sind. alles, was zum Zeitpunkt einer bestimmten NoTouch-Veröffentlichung aktuell ist, ist enthalten. Die meisten Leute, die ein Zertifikat von einem solchen Anbieter kaufen, müssen niemals Zertifikate hinzufügen. In diesen Fällen kann es notwendig sein, eigene Zertifikate hinzuzufügen:

  • Sie verwenden private Zertifikate (selbstsigniert oder von Ihrer eigenen Zertifizierungsstelle)
  • Sie haben ein Zertifikat von einem neuen Anbieter erworben, dessen Zertifikate noch nicht in unserem Datenspeicher enthalten sind
  • Ein bekannter Hersteller hat ein neues Stammzertifikat ausgestellt, das zu dem Zeitpunkt, als dieses spezielle NoTouch-Image erstellt wurde, nicht verfügbar war

Methode 1: Laden Sie Zertifikate auf ein NoTouch-Gerät hoch

Diese Methode eignet sich zum Testen oder zur kleinen Installation mit nur wenigen Computern oder wenn Sie die Konfiguration vorab laden möchten.

  1. Geben Sie die IP-Adresse/ den Hostnamen des NoTouch-Gerätes in den Webbrowser Ihres normalen PCs oder Mac ein
  2. Melden Sie sich mit Ihrem Client-Admin-Passwort an
  3. Scrollen Sie ein wenig nach unten, um den Menüeintrag "Zertifikate" zu finden
  4. Laden Sie hier Ihre Zertifikatsdateien hoch

Methode 2: Verteilen Sie Zertifikate automatisch

Diese Methode eignet sich für eine große Anzahl von Computern, um wiederholte Aufgaben zu vermeiden:

  1. Platzieren Sie Ihre Zertifikatsdatei auf einem beliebigen Webserver, auf den Ihre NoTouch-Maschinen über HTTP oder HTTPS zugreifen können. Denken Sie an Firewalls, die erfolgreiche Downloads verhindern könnten. Wenn mehr Dateien vorhanden sind, fügen Sie sie alle in eine einfache ZIP-Datei ein. Wenn Sie keinen Webserver haben, können Sie Dateien auf der NComputing Virtual Appliance speichern oder, wenn Sie nicht über die Virtual Appliance verfügen, diese über den NoTouch Center speichern.
  2. Geben Sie die vollständige URL der .crt- oder .zip-Datei in den Parameter "Certificates download URL" ein, z.B. http://myserver.mycompany.com/mycerts.zip - Sie finden diesen Parameter auf dem Client unter All→Security→Certificates und unter dem Parameter "Security" im NoTouch Center.

Beim nächsten Neustart sind die Zertifikate verfügbar.

Methode 3: Installieren Sie manuell von einem USB-Gerät

Es ist auch möglich, Zertifikate von einem USB-Gerät abzurufen. Dies erfordert ein wenig Linux Interaktion und Wissen. Wenn Sie mit der Befehlszeile und den grundlegenden Linux-Befehlen nicht vertraut sind, empfehlen wir die Verwendung anderer oben beschriebener Methoden.

  1. Öffnen Sie die Konsole "Konsole" aus dem Abschnitt "Diagnose"
  2. Erhalten Sie root-Berechtigungen mit dem Befehl "su"
  3. Kopieren Sie die Dateien von /tmp/devshares to /config/certificates. Eine Beispielbefehlssequenz (abhängig vom tatsächlichen USB-Gerät-Einhängepunkt) wäre:
       mkdir -p /config/certificates
       cp /tmp/devshares/usb0/*.crt /config/certificates
       sync
       reboot

Zertifikatsformate und Konvertierung

NoTouch unterstützt im Allgemeinen X.509-Zertifikate in PEM- und DER-Formaten. Da es in NoTouch so viele verschiedene Anwendungen gibt, von Open-Source- bis zu proprietären Drittanbieter-Binärdateien, ist es schwierig, eine solche allgemeine Aussage zu treffen.

Benutzerzertifikat und privater Schlüssel können in derselben Datei enthalten sein. Wenn das Benutzerzertifikat und der private Schlüssel im PKCS # 12/PFX-Format empfangen werden, müssen sie in ein geeignetes PEM/DER-Format konvertiert werden. Dies kann zB mit folgenden Befehlen auf jedem Rechner geschehen, auf dem OpenSSL installiert ist (Windows, Mac, Linux):

Konvertieren eines Client-Zertifikats und den privaten Schlüssel in das PEM-Format 

   openssl pkcs12 -in example.pfx -out user.crt -clcerts

Konvertieren eines CA-Zertifikats (falls in der PFX-Datei enthalten) in das PEM-Format 

   openssl pkcs12 -in example.pfx -out ca.crt -cacerts -nokeys

Weitere Informationen finden Sie in der OpenSSL-Dokumentation.

Zertifikate verwenden

Wenn Zertifikate hochgeladen oder bereitgestellt werden, bedeutet dies, dass sie auf dem System vorhanden sind. Verschiedene Module in NoTouch verwenden Zertifikate unterschiedlich, bitte sehen Sie sich hier die entsprechenden Anweisungen an:

  • Citrix Receiver und VMware Horizon View-Client verwenden verfügbare Zertifikate bei Bedarf automatisch. Es müssen keine weiteren Maßnahmen ergriffen werden
  • WLAN kann in bestimmten Authentifizierungsmodi Zertifikate erfordern
  • Bei der Netzwerkauthentifizierung, sei es IEEE 802.1X oder WiFi WPA/WPA2, müssen Zertifikate durch geeignete Parameter ausgewählt werden. Bitte beachten Sie die Artikel über die Netzwerkauthentifizierung. Wenn Sie Ihre eigene drahtgebundene oder drahtlose Authentifizierungskonfiguration mit WPASupplicant schreiben, benötigen Sie möglicherweise Zertifikate
  • Der Firefox Webbrower verwendet solche Zertifikate automatisch in NoTouch 2.35.65 und höher. Frühere Versionen müssen Sicherheitsausnahmen manuell hinzufügen.
  • Allgemeine Verwendung. Allgemeine Verwendung. NoTouch stellt die Zertifikate in den Standardverzeichnissen zur Verfügung, in denen die meiste typische Linux-Software sie erwartet und nutzen kann. Das bedeutet, dass andere Drittanbieter-Tools, die hier nicht erwähnt werden, höchstwahrscheinlich ohne zusätzlichen Aufwand mit diesen Zertifikaten arbeiten werden.