HowTo: Einrichtung von Mutual-Auth (mTLS) für HTTPS Eingangsadapter

  • Dieses Thema ist leer.
  • Beitrag
    Ines Eisenreich
    Administrator
    Um mTLS für den HTTP Eingangsadapter zu aktivieren, muss ein Java Truststore erzeugt werden,
    welcher die vertrauenswürdigen Client-Zertifikate aufnimmt. Dieser muss dann dem intern verwendeten Webserver (Jetty) bekannt gemacht werden.

    Demgegenüber steht der Keystore welcher das Zertifikat enthält mit dem sich der TRANSCONNECT Server nach außen zu erkennen gibt.

    Achtung: Der Truststore und der Keystore müssen mit dem gleichen Passwort gesichert werden.

    Für den Fall, dass der TRANSCONNECT Standard-Keystore noch nicht durch einen eigenen Keystore ersetzt wurde (siehe auch https://community.transconnect-online.de/thema/ssl-zertifikat-fuer-https-inbound-adapter-konfigurieren/),  so ist es  zwingend erforderlich den Keystore für das Serverzertifikat neu zu erstellen und mit dem gleichen Passwort zu versehen wie in den nachfolgenden Schritten den Truststore.

    Wurde der Standard-Keystore bereits durch einen eigenen Keystore ersetzt, so können die Schritte 1 und 2 in der folgenden Anleitung übersprungen werden. Im Schritt 3 muss dann das gleiche Passwort für den Truststore verwendet werden, welches auch für den Keystore verwendet wurde.

    1. Erstellen eines Zertifikatsbundles mit Passwort:
      openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12
    2. Erzeugen des Keystores mit dem Java keytool (Passwort aus Schritt 1):
      keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -destkeystore .keystore
    3. Erzeugen des Truststores mit dem Java keytool unter Angabe des Client-Zertifikats (Passwort aus Schritt 1)
      keytool -import -alias Clienttrust -file client.crt -keystore .truststore
    4. Weitere Client-Zertifikate in den TrustStore einfügen:
      keytool -import -alias SQLClient -file sqlclient.crt -keystore .truststore
    5. Verschieben des Key- und TrustStores in …/TRANSCONNECT/server/jetty/cert/ (dies aktiviert beim Neustart des TRANSCONNECT Servers mTLS)
    6. Anpassen der Serverkonfiguration (Parameter “Keystore Passwort” in der Serverkonfiguration)
    7. TRANSCONNECT® Server neu starten

    Achtung: Die Passwörter für das importierte Serverzertifikat, den Keystore und den Truststore müssen identisch sein!!!

    Eine grafische Möglichkeit der Erzeugung des Key- und Truststores ist über das Tool Keystore Explorer analog zum keytool möglich:
    https://keystore-explorer.org/

    1. Neuen Schlüsselspeicher erstellen: Typ JKS mit gleichem Passwort für den KeyStore und TrustStore der in der Serverkonfiguration (“Keystore Passwort”) hinterlegt ist
    2. Zertifikate importieren
    3. Speichern des TrustStores unter …/TRANSCONNECT/server/jetty/cert/ als .truststore
    4. Speichern des Keystores unter…/TRANSCONNECT/server/jetty/cert/ als .keystore
    5. TRANSCONNECT® Server neu starten
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Ines Eisenreich.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Ines Eisenreich.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Ines Eisenreich. Grund: Formatierung
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Ines Eisenreich.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Markus Franke.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Markus Franke.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Markus Franke.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Markus Franke.
    • Dieses Thema wurde geändert vor 8 Monaten, 2 Wochen von Markus Franke.

    0
    0
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.