Wildcard-Konfiguration (DNS-Kernel-Modus)

[Start]  [Zurück]  [Vorwärts]  

Im HAN DNS-Kernel-Modus (HAN 3) verändert die HAN URL Rewriting Engine die Struktur der aufgerufenen URLs von E-Journalen in folgender Form: HAN speichert die Informationen im Servernamen. Dies schafft folgende Voraussetzungen für den korrekten Betrieb von HAN:

Damit die Namensauflösung des HAN Servers im DNS korrekt funktioniert – obwohl an erster Stelle die Adresse des E-Journal-Anbieters steht – muss ein Wildcard-DNS-Eintrag erstellt werden.

Damit die Auflösung von Webadressen über den HAN Webserver über SSL ohne Warnung funktioniert, müssen Sie bei einer Zertifizierungsstelle ein Wildcard-Zertifikat beantragen und in HAN importieren.

 

Wildcard-DNS-Eintrag erstellen:

Ein Wildcard-DNS-Eintrag bewirkt, dass bei der Auflösung des Namens des HAN Servers nicht nur der Name an sich korrekt funktioniert, sondern beliebig viele Namensbestandteile vor dem eigentlichen Namen des HAN Servers stehen dürfen. Konkret bedeutet dies, dass der HAN Server nicht nur über seinen eigentlichen Namen angesprochen werden kann, sondern dass der Name des HAN Servers auch dann korrekt im DNS aufgelöst werden kann, wenn es für diesen Namen keinen expliziten Host-Eintrag im DNS gibt. Dies ist notwendig, da beim HAN URL Rewriting der Server des E-Journal-Anbieters an erste Stelle rückt: http://<Server des Anbieters>.<HAN ID>.<HAN Server>/page.html.

Im DNS konfigurieren Sie den Wildcard-Eintrag wie folgt: In der Domäne erstellen Sie einen neuen Host mit folgenden Angaben:

 

wildcard01

 

Ihren HAN Server benennen Sie *.<Name des HAN Servers>. Daraus ergibt sich der vollqualifizierte Domänenname *.<Name des HAN Servers>.<Domäne>. Unter IP-Adresse tragen Sie die IP-Adresse des HAN Servers ein. Beachten Sie, dass Verknüpften PTR-Eintrag erstellen deaktiviert sein muss. Nachdem Sie den Host hinzugefügt haben, könnte Ihr DNS wie folgt aussehen:

 

wildcard02

 

Folgende Einträge sind für den HAN Server hinterlegt:

<HAN Server.Domäne.com>        Host (A)        <IP-Adresse>

<*.HAN Server.Domain.com>        Host (A)        <IP-Adresse>

 

Die im Beispiel gezeigten Einträge für die Namensauflösung bewirken, dass nicht nur DocuDiv2008-ger.docudomain.lokal auf die IP-Adresse 192.168.1.65 verweist, sondern z.B. auch www.informaworld.com.HANID1030.DocuDiv2008-ger.docudomain.lokal.

Wildcard-Zertifikat beantragen und importieren:

Ein Wildcard-SSL-Zertifikat bewirkt, dass der Browser keinen Zertifikatsfehler mehr meldet, wenn Benutzer ein HAN E-Skript aufrufen, dass SSL verwendet. Ein reguläres SSL-Zertifikat für Ihren HAN Webserver lautet auf <HAN Server>.<Domäne>. Da durch das HAN URL Rewriting aber die Adresse des Anbieters an erste Stelle rückt, ist das SSL-Zertifikat ihres Webservers nicht länger für E-Skripte gültig. Sie benötigen ein Wildcard-Zertifikat, dass alle Sub-Domänen einer Domäne mit einschließt, also *.<HAN Server>.<Domäne>.

 

warning Nicht alle Zertifizierungsstellen stellen Wildcard-SSL-Zertifikate aus! Eine Auswahl an Zertifizierungsstellen, die Wildcard-Zertifikate ausstellen, lesen Sie im Abschnitt „Zertifizierungsstellen für Wildcard-Zertifikate".

 

Die Zertifizierung Ihres Webservers mit dem Wildcard-Zertifikat umfasst folgende Arbeitsschritte:

1.Zertifikatsanforderung erstellen

2.Zertifikatsanforderung an eine Zertifizierungsstelle senden

3.Wildcard-Zertifikat importieren

 

Eine Wildcard-Zertifikatsanforderung erstellen Sie mit dem Zertifikatsassistenten. Sie starten den Zertifikatsassistenten über die HAN Systemeinstellungen:

 

1. Doppelklicken Sie die Desktopverknüpfung HAN Tools und wählen Sie HAN - Servereinstellungen:

 

wildcard03

 

2. In den HAN Systemeinstellungen klicken Sie auf der Seite HAN Webservice hinter dem Eingabefeld Datei die Bearbeiten-Schaltfläche:

 

wildcard04

 

3. Im Zertifikatsassistenten wählen Sie Einen neuen Antrag oder ein Serverzertifikat erstellen und klicken Weiter:

 

wildcard05

 

4. Unter Spezifikationen wählen Sie die Spezifikationen des Wildcard-Zertifikats:

 

warning Informieren Sie sich vorab über die Anforderungen der Zertifizierungsstelle an die Zertifikatsanforderung. Sonst müssen Sie die Zertifikatsanforderung im schlimmsten Fall neu erstellen und senden. Dies betrifft im Besonderen die Schlüssellänge.

 

wildcard06

 

Unter Wildcard-DN geben Sie den Namen Ihres Webservers unter Verwendung der Wildcard „*" für Sub-Domänen ein. Wählen Sie unter Schlüssellänge (Bits) die korrekte Schlüssellänge, wie Sie von der Zertifizierungsstelle erwartet wird. Sie müssen alle Felder ausfüllen und danach mit Weiter bestätigen.

 

5. Wählen Sie Erzeugt einen Zertifikatsantrag für eine offizielle Zertifizierungsstelle. Unter Passwort für den privaten Schlüssel des Zertifikats geben Sie ein Passwort ein und wiederholen es:

 

wildcard07

 

Wenn Sie Fertig stellen klicken, erzeugt der Zertifikatsassistent zwei Dateien: server.csr enthält den öffentlichen Schlüssel (den sogenannten „public key") und wird als Zertifikatsanforderung an die Zertifizierungsstelle geschickt, server.key enthält den privaten Schlüssel, den Sie sicher vor dem Zugriff Unbefugter aufbewahren.

 

tip Zertifizierungsstellen bieten oft verschiedene HASH-Verschlüsselungsverfahren für Serverzertifikate an. Die gewählte Methode muss von Apache 2.2 unterstützt werden. Dies ist z.B. für SHA-2 der Fall (und weitere Verfahren der SHA-2-Familie) oder auch SHA-1. Wählen Sie am besten die modernste angebotene und unterstützte Methode, um den optimalen Schutz vor Datendiebstahl zu erhalten.

 

6. In der Zusammenfassung sehen Sie den Pfad, unter dem HAN die Zertifikatsanforderung speichert:

 

wildcard08

 

Einige Zertifizierungsstellen verfügen auch über Onlineformulare zur Zertifikatsanforderung oder erwarten eine Text-E-Mail. In diesem Fall kopieren Sie den Text unter Zertifikatsantrag und fügen ihn entsprechend ein. Fertig stellen beendet den Zertifikatsassistenten.

 

Nachdem Sie von der Zertifizierungsstelle das Zertifikat erhalten haben, verwenden Sie erneut den Zertifikatsassistenten, um das Zertifikat zu importieren:

 

warning In der Regel erhalten Sie auf Ihre Zertifikatsanfrage eine E-Mail, in der das Zertifikat in Textform enthalten ist (der Text des Zertifikats umfasst den Text inklusive der Textmarken „-----BEGIN CERTIFICATE-----" und „-----END CERTIFICATE-----"). Kopieren Sie den Text inklusive der Textmarken.

 

1. Im Zertifikatsassistenten wählen Sie Ein Zertifikat als Text (z.B. aus einer E-Mail) importieren:

 

warning Haben Sie eine Datei erhalten, wählen Sie Ein Zertifikat importieren und importieren die Datei. Wie Sie eine Zertifikatsdatei importieren, lesen Sie in Schritt 3.

 

wildcard09

 

2. Fügen Sie den Zertifikatstext in das Eingabefeld ein und klicken Sie Weiter:

 

wildcard12

 

3. Der Zertifikatsassistent erstellt aus dem Zertifikat eine Zertifikatsdatei und lädt sie in das Eingabefeld Zertifikatsdatei (.crt). Haben Sie eine Zertifikatsdatei erhalten, wählen Sie die CRT-Datei, die das Zertifikat enthält. Geben Sie das Passwort ein:

 

warning Die Einstellung Alternative Datei mit privatem Schlüssel wählen Sie nur, wenn Sie die Zertifikatsanforderung nicht mit dem HAN Zertifikatsassistenten erstellt haben. Zertifikats- und Schlüsseldatei werden im DER-Format erwartet. Haben Sie die Zertifikatsanforderung mit dem Zertifikatsassistenten erstellt, ist dies bereits der Fall.

 

wildcard10

 

4. Klicken Sie Fertig stellen, um das Wildcard-Zertifikat zu importieren. Nach dem Import müssen Sie den Webservice neu starten, damit das Zertifikat korrekt eingebunden wird:

 

wildcard11

 

Nach dem Neustart sind Ihr HAN Server und alle Sub-Domänen, die durch das Einfügen von Anbieter-Adressen entstehen, zertifiziert.

 

Zertifizierungsstellen für Wildcard-Zertifikate:

Um das richtige Zertifikatsprodukt für Sie zu finden, vergegenwärtigen Sie sich Ihre Bedürfnisse. Wildcard-Zertifikate verfügen über verschiedene Merkmale:

Laufzeit/Gültigkeitsperiode

Validierungsmethode

Verschlüsselungsniveau

Zahlungsmethoden

Ausstellungszeit

Versicherungen/finanzielle Garantien

 

Eine kürzere Laufzeit kostet zunächst weniger, allerdings müssen Sie nach Ablauf der Zeit ein neues Zertifikat erwerben oder Ihr Zertifikat verlängern, was erneut Kosten verursacht. Zusätzlich bieten Anbieter bei längerer Laufzeit oft einen günstigeren Preis pro Jahr, so dass sich eine längere Laufzeit relativ gesehen lohnen kann, wenn Sie das Zertifikat längere Zeit benötigen.

Die beiden verbreiteten Validierungsmethoden sind Unternehmensvalidierung und Domänenvalidierung. Für HAN ist die Domänenvalidierung ausreichend. Hierzu prüft der Zertifikatsanbieter, ob die Domäne wirklich dem Antragsteller gehört. Die Unternehmensvalidierung überprüft, ob hinter einem Zertifikat ein ordentlich eingetragenes Unternehmen steht. Dies geschieht über persönliche Kontaktaufnahme mit dem Unternehmen, z.B. per Telefon und Hintergrundrecherche. Das Resultat ist ein höherwertiges Zertifikat, das auch den Ansprüchen von Finanztransaktionen über das Internet genügt.

Die maximale Verschlüsselungsrate beträgt in der Regel 256 Bit, die minimale 40. Dies sind Standardwerte und werden von den meisten Anbietern auch geboten.

Einige Anbieter bieten nur die Zahlung über Bezahlsysteme wie diverse Kreditkarten oder PayPal. Bei anderen Anbieter können Sie auch auf Rechnung kaufen.

Die Ausstellungszeit variiert nach Anbieter und gewählter Validierungsmethode. Bei einer Domänenvalidierung sollte die Ausstellungszeit jedoch maximal wenige Stunden dauern.

Anbieter versichern Ihre Zertifikate oftmals gegen Missbrauch. Die Summen reichen von einigen zehntausend bis mehreren Millionen Dollar. Dieses Kriterium ist für die Zertifizierung des HAN Webservers zu vernachlässigen.

 

Für die Zertifizierung des HAN Webservers mit einem Wildcard-Zertifikat empfehlen sich z.B. folgende Zertifizierungsstellen, da sie über ein HAN angemessenes Preis-Leistungsverhältnis verfügen:

„RapidSSL": http://www.rapidssl.com/index.html

„GoDaddy": http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039

 

Reseller für SSL-Zertifikate vertreiben Zertifikate mehrere Hersteller. So erhalten Sie einen Überblick über die Produkte verschiedener Hersteller. Oftmals können diese Reseller auch besonders günstige Angebote machen, weshalb sich hier ein Besuch lohnt. Ein empfehlenswerter Reseller für Wildcard-SSL-Zertifikate ist „SSL 247" (deutsch: https://www.ssl247.de/ssl-zertifikate/kategorie/wildcard; US-amerik.: https://www.ssl247.com/ssl-certificates/type/wildcard; weitere Länder/Sprachen verfügbar).