C#-Adapter zum Akzeptieren von Client-Zertifikaten konfigurieren

Gehen Sie wie folgt vor, um einen C#-Adapter für die Annahme von Client-Zertifikaten zu konfigurieren:

Selbstsigniertes Client-Zertifikat erstellen

  1. Führen Sie den folgenden Befehl aus, um das selbstsignierte Client-Zertifikat zu erstellen:

    Hinweis: Für diesen Schritt müssen Sie bereits die SORIS-Stammzertifizierungsstelle aus Schritt 1 von Selbst-signiertes Server-Zertifikat erstellen erstellt haben.

    makecert -ic SORISRootCert.cer -iv SORISRootCert.pvk -pe -sv SORISClientCert.pvk -a sha1 -n "CN=SORISClientCert" -len 2048 -b 01/01/2015 -e 01/01/2030 -sky exchange SORISClientCert.cer -eku 1.3.6.1.5.5.7.3.2

    Geben Sie dann für das Zertifikat dreimal ein neues Passwort ein. Das Passwort wird für den nächsten Schritt benötigt. Wenn Sie nach der Aussteller-Signatur gefragt werden, geben Sie das Passwort ein, das beim Erstellen der SORIS-Stammzertifizierungsstelle aus Schritt 1 im Abschnitt "Selbst-signiertes Server-Zertifikat erstellen" verwendet wurde.
  2. Führen Sie den folgenden Befehl aus, um den PFX-Schlüssel zu erstellen:

    pvk2pfx -pvk SORISClientCert.pvk -spc SORISClientCert.cer -pfx SORISClientCert.pfx

    Geben Sie dann das Passwort aus Schritt 1 dieses Abschnitts ein.

 

Zertifikat auf dem Client-Computer installieren

  1. Sie möchten die Dateien SORISRootCert.cer und SORISClientCert.pfx in der Microsoft Management Console installieren.
  2. Desigo CC wird auf dem Client-Computer ausgeführt.
  • Führen Sie die Schritte aus dem Abschnitt Server-Zertifikat erstellen aus, um das Client-Zertifikat und die Stammzertifizierungsstelle auf dem Client-Computer zu installieren. Installieren Sie aber statt der SORISServerCert.pfx die SORISClientCert.pfx.

 

Client-Zertifikat auf dem Server-Computer installieren

  1. Sie möchten den öffentlichen Schlüssel des Client-Zertifikats auf dem Server-Computer installieren, auf dem SORIS-Adapter ausgeführt wird.
  • Installieren Sie SORISClientCert.cer in der Microsoft Management Console im Ordner Persönlich > Zertifikate, um das Client-Zertifikat zu überprüfen.

 

SORIS-Adapter zur Annahme des Client-Zertifikats konfigurieren

Nachdem Sie das Client-Zertifikat erstellt und in der Microsoft Management Console installiert haben, müssen Sie den Adapter so konfigurieren, dass nur Kommunikationsanforderungen von Clients akzeptiert werden, die das Client-Zertifikat verwenden.

  1. Doppelklicken Sie das SORIS Client-Zertifikat, das Sie im vorherigen Abschnitt im Ordner Persönlich installiert haben, um den Fingerabdruck oder Betreff des Client-Zertifikats zu kopieren.
  2. Das Zertifikat-Fenster wird angezeigt.

  3. Klicken Sie das Register Details und wählen Sie dann Betreff oder Fingerabdruck in der Spalte Feld.
    Hinweis: Es wird empfohlen, den Betreff des Zertifikats zu verwenden, da sich der Fingerabdruck ändert, wenn nach dem Ablauf ein neues Client-Zertifikat erstellt wird.

  4. Kopieren Sie die bevorzugte Client-Zertifikat-ID.
    Wenn Sie den Betreff verwenden, kopieren Sie den Betreffwert, der nach dem "CN =" angezeigt wird. Wenn Sie das selbstsignierte Client-Zertifikat verwenden, nehmen Sie den Betreffwert „SORISClientCert“.



    Wenn Sie den Fingerabdruck verwenden, fügen Sie den Fingerabdruck in einen Texteditor ein und entfernen Sie alle Leerzeichen.
    Hinweis: Je nachdem wie Sie den Fingerabdruck kopiert haben, kann am Anfang der Zeichenfolge ein Leerzeichen stehen. Wenn das so ist, entfernen Sie es.
    Beispiel eines kopierten Fingerabdrucks:
    09 36 56 9c 2d c6 31 94 e6 3b 1a bd 71 b2 c4 f1 9c 03 0b 14
    Beispiel eines kopierten Fingerabdrucks mit entfernten Leestellen:
    0936569c2dc63194e63b1abd71b2c4f19c030b14
  5. Fügen Sie das Client-Zertifikat der Liste der genehmigten Zertifikate im SORIS-Adapter hinzu. Das Client-Zertifikat kann dem SORIS-Adapter auf zwei Arten hinzugefügt werden:
    Fügen Sie die Client-Zertifikat-ID direkt im Adaptercode hinzu:
    Führen Sie eine der folgenden Aktionen aus:
    Navigieren Sie in der Datei SmartDeviceAdapter.cs zur CustomAdapterSettings-Methode.
    Suchen Sie nach #TODO: Fügen Sie akzeptierte Client-Zertifikate hinzu.
    Fügen Sie Ihr Client-Zertifikat wie im folgenden Beispiel hinzu:

  6. Fügen Sie die Client-Zertifikat-ID über ein Befehlszeilenargument hinzu:
    Wie im Abschnitt Starten des Adapters mit der Option Client-Zertifikat beschrieben, muss der Adapter mit dem Parameter -clientauth ausgeführt werden, um die Prüfung auf Client-Zertifikate zu starten. Dem Parameter -clientauth kann als optionalem Wert die Client-Zertifikat-ID gegeben werden.
    Beispiel: -clientauth:"SORISClientCert"
    Hinweis: Nur Clients, die ein genehmigtes Client-Zertifikat verwenden, dürfen eine Verbindung zum SORIS-Adapter herstellen.

 

Starten des Adapters mit der Option Client-Zertifikat

Die Option -clientauth wird nur verwendet, wenn der SORIS-Adapter für die sichere TLS-Kommunikation konfiguriert ist (siehe C#-Adapter mit HTTPS und WSS konfigurieren) und Verbindungen von einem Client auf einem Remote-Computer akzeptiert. Wenn der Client auf demselben Computer wie der SORIS-Adapter ausgeführt wird, ist eine Überprüfung des Client-Zertifikats nicht erforderlich.

  1. Vergewissern Sie sich, dass für die sichere Kommunikation im Port-Setup Client Certificate Negotiation aktiviert ist. Weitere Informationen finden Sie unter HTTP-Port für die HTTPS-Sicherheit registrieren.
  2. Führen Sie den Adapter mit -secure, -remote und -clientauth aus.
    Beispiel: Adapter.exe -secure -remote –clientauth