Erstellen von Zertifikaten
- Zuletzt aktualisiert2024/09/05
Erstellen von Zertifikaten
Erstellen Sie Zertifikate im Rahmen der Installation von PEG.
Vorbereitungen
- Option 1: PEG erzeugt Schlüssel und CSRs.
- Option 2: Sie erstellen Ihre eigenen Schlüssel und Zertifikate.
-
Eindeutige Kennung (UID): Jede von Ihnen ausgeführte PEG-VM muss eine eindeutige Kennung haben. Sie können die UID nach Belieben festlegen, solange sie die folgenden Kriterien erfüllt:
- Länge bis zu 18 Zeichen
- Enthält nur Buchstaben von a bis z, Zahlen von 0 bis 9 oder Bindestriche
- Darf nicht mit einem Bindestrich beginnen oder enden
- Darf keine aufeinanderfolgenden Bindestriche enthalten
-
Tipp: Um eine UID zu erstellen, nehmen Sie die letzten 18 Zeichen einer GUID, die von einem Online-GUID-Generator erzeugt wurde.
- Die Apex-Domäne, die Sie für die PEG-DNS-Namen verwenden möchten (z. B. beispiel.com)
Option 2 – Eigene Schlüssel und Zertifikate erstellen
Erfahren Sie, wie Sie Schlüssel und Zertifikate erstellen, bevor Sie PEG bereitstellen.
Schlüssel und Zertifikate müssen im Base64-PEM-Format vorliegen (in einigen Systemen openssl oder PKCS #8 für das Schlüsselformat genannt). Erstellen Sie Zertifikate gemäß Allgemeine Aufgaben – Erstellen der Zertifikate. Die Schlüssel dürfen nicht passwortgeschützt sein. Stellen Sie außerdem sicher, dass Ihre Schlüssel mit den Dateinamen in der Spalte Schlüsseldateiname von Allgemeine Aufgaben – Erstellen der Zertifikateübereinstimmen.
Es ist wichtig, dass das in das Terminal eingefügte Zertifikat genau mit dem Quellzertifikat übereinstimmt. Einige Anwendungen hängen die Datei beim Kopieren und Einfügen möglicherweise mit einem verborgenen Zeichen an. Die folgenden Schritte helfen, Probleme zu vermeiden.
- Dateiinhalte prüfen: Nachdem Sie den Inhalt in die Datei eingefügt haben, prüfen Sie die Datei mit einem Texteditor (z. B. nano, vim oder gedit) auf unerwünschte Zeichen am Ende.
- Echo mit Umleitung verwenden: Anstatt den Inhalt direkt einzufügen, verwenden Sie Echo mit Umleitung, um die Datei zu erstellen. Dadurch wird das Risiko verborgener Zeichen minimiert.
- Verwenden Sie scp, um die Dateien von Ihrem lokalen System auf eine Remote-Instanz zu kopieren, anstatt sie zu überschreiben.
Allgemeine Aufgaben – Erstellen der Zertifikate
Erfahren Sie, wie Sie Base64-PEM-Zertifikate erstellen können.
Wenn Sie die Zertifikate erstellen, erstellen Sie sechs Server-Base64-PEM-Zertifikate (in manchen Systemen openssl-Format genannt) mit Domänennamen und Dateinamen, die wie folgt zugeordnet sind, wobei die UID von Process Discovery bereitgestellt wird und die Apex-Domäne Ihre Apex-Domäne ist, die Sie für PEG verwenden werden. Jedes von Ihnen erstellte Zertifikat darf nur das Blattzertifikat und nicht die gesamte Kette enthalten.
| Domäne | Name der Zertifizierungsdatei | Name der Schlüsseldatei (nur erforderlich, wenn Sie Ihre eigenen Schlüssel erstellt haben) |
|---|---|---|
| analytics-fiq-<UID>.<apex-Domäne> | analytics-cert.pem | analytics-key.pem |
| proxy-fiq-<UID>.<apex-Domäne> | proxy-cert.pem | proxy-key.pem |
| storage-fiq-<UID>.<apex-Domäne> | storage-cert.pem | storage-key.pem |
| st-fiq-<UID>.<apex-Domäne> | st-cert.pem | st-key.pem |
| dlp-fiq-<UID>.<apex-Domäne> | dlp-cert.pem | dlp-key.pem |
| es-fiq-<UID>.<apex-Domäne> | es-cert.pem | es-key.pem |
| klite-fiq-<UID>.<apex-Domäne> | klite-cert.pem | klite-key.pem |
Erwägungen
- Wildcard-Zertifikate sind nicht zulässig: Sie können für PEG-Bereitstellungen keine Platzhalterzertifikate verwenden. Jedes Zertifikat muss für jeden Dienst mit einem bestimmten Domänennamen einzeln erstellt werden.
- Zertifikate sind nicht weltweit gültig: Von internen Zertifizierungsstellen generierte Zertifikate werden von externen Systemen nicht als global vertrauenswürdig anerkannt. Das bedeutet, dass ihnen auf allen Client-Geräten oder -Diensten manuell vertraut werden muss.
- Manuelle Validierung von Zertifikaten: Zertifikate müssen in jeder Bereitstellungsphase manuell überprüft werden, um sicherzustellen, dass sie korrekt sind und während der Übertragung nicht beschädigt oder manipuliert wurden.
- Manuelle Zertifikatsübertragung: Zertifikate müssen manuell auf die virtuellen Maschinen (VMs) kopiert werden, was bei falscher Ausführung oder wenn während des Kopiervorgangs Dateien geändert werden, zu potenziellen Fehlern führen kann.
- Stellen Sie sicher, dass auf allen Computern gültige Zertifikate vorhanden sind: Es muss unbedingt bestätigt werden, dass alle Zertifikate gültig sind und auf jedem Computer, der auf die durch diese Zertifikate gesicherten Dienste zugreifen muss, korrekt installiert sind.
- Keine automatische Zertifikatserneuerung: Da interne Zertifikate nicht in globale CA-Systeme integriert sind, gibt es keinen automatisierten Erneuerungsprozess. Um Dienstunterbrechungen zu vermeiden, müssen Administratoren Zertifikate vor ihrem Ablauf manuell verfolgen und erneuern.
- Zusätzliche Konfiguration für Vertrauen: Jeder Client oder jedes System, das auf die PEG-Dienste zugreift, muss manuell so konfiguriert werden, dass es den internen CA-Zertifikaten vertraut. Dies kann die Installation von Stammzertifikaten oder die Anpassung der Sicherheitseinstellungen umfassen.
- Risiko menschlicher Fehler: Da die Erstellung, Validierung und Verteilung von Zertifikaten manuell erfolgt, steigt die Wahrscheinlichkeit menschlicher Fehler, beispielsweise in Form falscher Dateinamen, ungültiger Konfigurationen oder fehlender Zertifikate.
- Eingeschränkter Widerruf und Prüfbarkeit: In internen CA-Setups fehlen möglicherweise ausgefeilte Widerrufsmechanismen (wie Zertifikatssperrlisten oder OCSP). Dadurch wird es schwieriger, kompromittierte oder abgelaufene Zertifikate zu widerrufen und ihre Verwendung effektiv zu prüfen.
- Schwierigkeiten bei der Skalierung: Die manuelle Verwaltung einer großen Anzahl von Zertifikaten über mehrere virtuelle Maschinen (VMs) und Umgebungen hinweg kann mit der Skalierung des Systems schwierig werden, da dedizierte Prozesse erforderlich sind, um die Konsistenz sicherzustellen.