Direkt zum Hauptinhalt

Kein Zugriff auf d3 / SSL-Zertifikat abgelaufen

Fehlermeldungen

Bei Zugriff auf https://d3-srv1.windeck.local erscheint ein Fehler. 

image.png

Unter anderem erscheint ein SSL-Zertifikatsfehler

image.png

Ursache

Ursache ist ein abgelaufenes Serverzertifikat auf dem D3-SRV1. Entweder muss rechtzeitig vor Ablauf des Zertifikats eine Erneuerung stattfinden (1) ODER es muss ein neues Zertifikat erstellt (2) werden.

image.png

Hier wird lediglich grob auf die Erstellung eingegangen und wie dies im System dann eingebunden werden muss. Bei Erneuerung ist der Ablauf ähnlich, lediglich kann hier ein anderer Zeitraum gewählt werden UND die DNS Einträge sind bereits vorhanden und es braucht nur einen eindeutigen namen.

Zertifikat neu erstellen

image.png

Auf Details klicken und ausklappen und danach die zusätzlichen Informationen hinzufügen mit Klick auf den Bereich auf den der Pfeil zeigt.

image.png

Unter "Alternativer Name" den Typ DNS wählen und jeweils folgende Bezeichnungen einzeln angeben, sodass das danach folgende Bild sich zeigt:

  • d3-srv1
  • d3-srv1.windeck
  • d3-srv1.windeck.local

image.png

Unter "Allgemein" einen passenden eindeutigen Bezeichner wählen

image.png

Mit OK bestätigen und Registrierung abschließen.

Danach ist zu prüfen, ob das Zertifikat erzeugt wurde und korrekte Daten beinhaltet:

image.png

image.png

Den Rest gemäß d3-Wiki umsetzen (siehe Wie und wo muss ich Zertifikate im d.3-System austauschen?)

Angenommen, Sie müssen für Ihr d.3-System das Zertifikat austauschen. Der Austausch des Zertifikats ist für folgende Anwendungen notwendig:
  • Internet Information Server (IIS)
  • d.ecs http gateway
  • d.3 presentation server
Wichtige Voraussetzungen

Sie haben separat ein Webserverzertifikat erstellt und das Zertifikat inklusive des privaten Schlüssels in eine pfx-Datei oder eine p12-Datei exportiert.
  • Die pfx-Datei oder die p12-Datei enthält die vollständige Zertifikatskette.
  • Alle Clientanwendungen und Client-PCs müssen dem Zertifikat vertrauen.
Lösung

Internet Information Server (IIS):
  1. Starten Sie auf dem d.3one-Server Internetinformationsdienste (IIS)-Manager.
  2. Wählen Sie unter Verbindungen Ihren Server aus und öffnen Sie Serverzertifikate.
  3. Klicken Sie unter Aktionen auf Importieren.
  4. Importieren Sie das von Ihnen erstellte Zertifikat.
  5. Nachdem Sie das Zertifikat installiert haben, wählen Sie Verbindungen > Ihr Server > Sites > d.3one aus.
  6. Öffnen Sie Aktionen > Site bearbeiten > Bindungen. Sie sehen die Sitebindungen.
  7. Bearbeiten Sie die Bindung für d.3one (Typ: https, Port: 3401).
  8. Wählen Sie unter SSL-Zertifikat das in Schritt 3 importierte Zertifikat aus. Speichern Sie Ihre Einstellung mit OK.
  9. Nachdem Sie das Zertifikat neu gebunden haben, wählen Sie unter Verbindungen Ihren Server aus
  10. Klicken Sie auf Aktionen > Server verwalten > Neu starten.

d.ecs http gateway:
  1. Öffnen Sie d.ecs http gateway admin (http://localhost:4280/httpgateway/ui/) auf dem d.ecs http gateway-Server.
  2. Öffnen Sie Certificate.
  3. Wählen Sie das Zertifikat mit Browse aus und klicken Sie auf Upload.
  4. Geben Sie das Passwort für das Zertifikat ein. Bei unverschlüsselten Zertifikaten klicken Sie auf Certificate without password.
  5. Führen Sie den Import mit Ok aus.

d.3 presentation server:
  1. Rufen Sie d.3 presentation server admin (HTTP) (https://localhost:8448/httpgateway/ui) auf dem d.3 presentation server-Server auf.
  2. Öffnen Sie Zertifikatskonfiguration.
  3. Wählen Sie die Kontextaktion Bestehendes Zertifikat importieren aus.
  4. Wählen Sie mit Datei auswählen das Zertifikat aus.
  5. Geben Sie unter Passwort das Zertifikatpasswort ein.
  6. Klicken Sie auf Importieren.

Speziell der d.3 presentation Server ist wichtig für das capture Batch. Leider ist bis zum aktuellen Zeitpunkt der Benutzer d3_wfl nicht bekannt, mit dem sic h am Admin-Portal angemeldet werden muss.

Hier muss händisch das Zertifikat zerlegt werden (pfx > crt und key) und in

D:\d3\d.3 presentation server\webserver\conf\ssl

abgelegt werden. Die bestehende server.crt und server.key ist sicherheitshalber vorher umzubenennen. Die Dateien werden dann wie folgt erzeugt:

..\..\bin\openssl.exe pkcs12 -in d3-srv1_2025.pfx -clcerts -nokeys -out server.crt

sowie 

..\..\bin\openssl.exe pkcs12 -in d3-srv1_2025.pfx -nocerts -out server.key

Arbeitspfad auf dem d3-SRV1: D:\d3\d.3 presentation server\webserver\conf\ssl

Als Passwort ist die Phrase aus der cert-pass.txt zu nehmen (oder PW-Manager)

Zusatz - Invoice Monitor

In der Konfiguration steht der Dateiname der pfx-Datei. Dies müsste geändert werden auf den neuen Namen + Passwort des Zertifikats (ggf dasselbe nutzen).

d:\d3\tribus\InvoiceProcessor\appsettings.json

image.png

Ebenso die Ablageorte mit dem neuen Zertifikat befüllen:

image.png

Keine Kommentare
nach oben