TLS-Zertifikat abrufen

Wenn Sie den Schutz Ihrer kreativen Assets erhöhen möchten, möchten Sie möglicherweise die Netzwerk-Rendering-Kommunikation verschlüsseln. Dies kann über TLS erfolgen, siehe im Manager Setup.

Es gibt drei Möglichkeiten, ein TLS-Zertifikat zu erhalten: Kaufen Sie eines über eine Zertifizierungsstelle, erhalten Sie ein kostenloses Zertifikat über Let’s Encrypt oder erstellen Sie ein selbst signiertes Zertifikat.

Zertifikat kaufen

Es gibt viele Orte eines zu kaufen. Hier sind ein paar:

Kostenloses Zertifikat über Let’s Encrypt

Let’s Encrypt ist eine Zertifizierungsstelle, die kostenlose Zertifikate erstellt, die genauso sicher sind wie die, die Sie kaufen können.

Der einfachste Weg, um loszulegen, besteht darin, den Anweisungen für den Certbot zu folgen.

Erstellen Sie ein selbst signiertes Zertifikat

Um diesem Prozess folgen zu können, muss OpenSSL installiert sein.

Root-Zertifikat

Um Ihr Root-Zertifikat zu erstellen, öffnen Sie ein Terminal und geben Sie Folgendes ein:

openssl genrsa -out ca-privkey.pem 4096
openssl req -new -x509 -days 365 -key ca-privkey.pem -subj "/CN=My Root CA" -out ca-crt.pem

Zertifikat erstellen

Um ein Serverzertifikat für KSNR Manager zu generieren, können Sie IP-Adressen oder Domain-Namen verwenden.

IP-Adressen 

openssl req -newkey rsa:4096 -nodes -keyout ksnr-manager-privkey.pem -subj "/CN=127.0.0.1" \
        -out ksnr-manager.csr
openssl x509 -req -extfile <(printf "subjectAltName=IP:127.0.0.1") -days 365 -in ksnr-manager.csr \
        -CA ca-crt.pem -CAkey ca-privkey.pem -CAcreateserial -out ksnr-manager-crt.pem

Anmerkung
127.0.0.1 wird als Beispiel verwendet und muss durch die IP Ihres Managers ersetzt werden.

Domain-Namen 

openssl req -newkey rsa:4096 -nodes -keyout ksnr-manager-privkey.pem -subj "/CN=my.domain.com" \
        -out ksnr-manager.csr
openssl x509 -req -extfile <(printf "subjectAltName=DNS:my.domain.com") -days 365 -in ksnr-manager.csr \
        -CA ca-crt.pem -CAkey ca-privkey.pem -CAcreateserial -out ksnr-manager-crt.pem

Anmerkung
my.domain.com wird als Beispiel verwendet und muss durch die Domäne Ihres Managers ersetzt werden.

Warnung
Wenn Sie ein Zertifikat wie oben gezeigt erstellen, wird ein Zertifikat für ein Jahr (d. h. 365 Tage) erstellt, danach läuft es ab.

  • Öffnen Sie ca-crt.pem und ksnr-manager-crt.pem wie unten gezeigt und legen Sie die Trust level fest.
  • Legen Sie auf der Registerkarte Manager-Setup Ihres Netzwerk Konfigurators den Schlüssel auf ksnr-manager-privkey.pem und das Zertifikat auf ksnr-manager-crt.pem fest.
  • Starten Sie Ihren Manager.
  • Öffnen Sie den Netzwerk-Monitor und verbinden Sie sich mit Ihrem Manager.

Trust-Zertifikat

Wenn beim Versuch, eine Verbindung zum Manager herzustellen, die folgende oder eine ähnliche Fehlermeldung angezeigt wird, müssen Sie angeben, dass Sie dem Zertifikat vertrauen:

Error: Connection error: The root CA certificate is not trusted for this purpose

MacOS
  1. Doppelklicken Sie auf die Zertifikatdatei und fügen Sie sie dem Login Keychain hinzu.
  2. Klicken Sie im linken Bereich auf Meine Zertifikate und suchen Sie das Element mit dem oben eingegebenen Domainnamen oder der IP-Adresse.
  3. Doppelklicken Sie auf dieses Element und setzen Sie es auf Immer vertrauenswürdig für Secure Sockets Layer (SSL).
Windows
  1. Starten Sie MMC (mmc.exe).
  2. Wählen Sie Datei> Snap-Ins hinzufügen / entfernen.
  3. Wählen Sie Zertifikate und dann Hinzufügen.
  4. Wählen Sie Mein Benutzerkonto.
  5. Wählen Sie erneut Hinzufügen und diesmal Computerkonto.
  6. Verschieben Sie das neue Zertifikat von Certificates-Current User > Trusted Root Certification Authorities into Certificates (Local Computer) > Trusted Root Certification Authorities.