Windows App-Clients einrichten

Szenario
Sie möchten den Windows-App-Client auf dem Desigo CC-Server mit lokalem Webserver (IIS) oder auf dem Remote-Webserver (IIS), der auf dem Desigo CC-Client/FEP gehostet ist, einrichten.

Für die Arbeit mit dem lokalen Windows-App-Client auf dem lokalen Webserver (IIS) können Sie für die Webkommunikation Lokal beibehalten.

Für die Arbeit mit dem Remote-Windows-App-Client wird empfohlen, die Kommunikation zwischen dem Desigo CC-Server und dem Remote-Webserver (IIS) zu sichern.

In diesem Workflow für die Sicherung der Kommunikation zwischen Desigo CC-Server und Remote-Webserver (IIS) werden Zertifikate des Windows-Zertifikatspeichers benutzt.

Wenn Sie ein Upgrade von Desigo CC V4.x (ohne Codesignaturzertifikat in V4.x) auf V5.0 durchführen, können Sie nach dem Upgrade nicht mit dem Windows App Client arbeiten. Dies liegt daran, dass beim Starten GMS von Desigo CC V5.0 SMC die Codesignatur für Website-/Webapplikationszertifikate überprüft. Das Zertifikat muss über eine Codesignaturfunktion verfügen, um Ihre Systeme vor Sicherheitsbedrohungen und Remote-Angriffen zu schützen.

Für die Codesignatur können Sie entweder von SMC erstellte Zertifikate verwenden oder Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle (CA) beziehen. Das Zertifikat kann ein Host-Zertifikat mit privatem Schlüssel oder ein selbstsigniertes Zertifikat sein. Es wird empfohlen, die Kommunikation mit dem Self-Sign-Zertifikat zu sichern.

HINWEIS

Gültigkeit von selbst-signierten Zertifikaten

Selbst-signierte Zertifikate erlauben eine lokale Bereitstellung ohne den bei kommerziellen Zertifikaten erforderlichen Aufwand. Wenn Sie selbst-signierte Zertifikate verwenden, muss der Eigentümer des Desigo CC Systems deren Gültigkeitsstatus verwalten und diese manuell zur Liste der vertrauenswürdigen Zertifikate hinzufügen bzw. daraus entfernen.

Selbst-signierte Zertifikate dürfen nur im Einklang mit den lokalen IT-Bestimmungen genutzt werden (sie sind in einigen CIO-Organisationen nicht zugelassen und werden von Netzwerk-Scans erkannt). Der Import von kommerziellen Zertifikaten erfolgt auf die gleiche Art und Weise.

Sie müssen für eine entsprechende Installation der vertrauenswürdigen Materialien auf den betroffenen Systemen sorgen, z.B. auf allen installierten Clients. In einigen Unternehmen hat dies durch die IT-Organisation zu erfolgen.

Hintergrundinformationen finden Sie im Abschnitt Referenz.

Voraussetzungen

• Auf dem Server:
• (Nur für Server mit lokalem Webserver (IIS) gültig): IIS ist installiert und gemäss dem installierten BS konfiguriert. (siehe IIS installieren unter Anforderungen der Installationsplanung abschliessen).
  Sie haben die vorhandene Installation von Application Request Routing (ARR) überprüft.
  - (Optional) Ein dedizierter IIS-Benutzer ist erstellt und der Gruppe IIS_IUSRS zugewiesen.
• Ein Projekt ist erstellt, und die History-Datenbank ist damit verknüpft.
• (Nur für Server mit Remote-Webserver (IIS) gültig): So legen Sie die Webserver-Kommunikation = Gesichert über CCom-Port.
  - Die Root- und Host-Zertifikate auf Basis des Windows-Zertifikatspeichers (genutzt für die Sicherung des CCom-Ports) sind in den jeweiligen Zertifikatspeicher importiert und als Standard festgelegt.
  - Das Root-Zertifikat (CER-Datei) des CCom-Host-Zertifikats ist im Speicher der Stammzertifizierungsstelle (TRCA) des lokalen Zertifikatspeichers verfügbar.
  - Der Referenzname des CCom-Host-Zertifikats muss mit dem Servernamen übereinstimmen, der im Client/FEP-Projekt konfiguriert ist.
  - Wenn ein Multi-Host-Zertifikat als CCom-Host-Zertifikat genutzt wird, muss die Eigenschaft Alternativer Antragstellername (SAN) alle möglichen Host-Namen enthalten.
• Auf dem Remote-Webserver (IIS), der auf dem Client/FEP gehostet wird:
• Der Benutzer, den Sie gerade als Web-Applikations-Benutzer konfigurieren, ist
  - ein Mitglied der Gruppe IIS_IURS und
  - mit Lokal Anmeldung zulassen als Dienstrechte und
  - der Liste der zulässigen Benutzer im Expander Projekt-Shares des verknüpften Serverprojekts hinzugefügt.
  - (Nur gültig, wenn das Projekt, das Sie mit der Webapplikation verknüpfen wollen, zusammen mit anderen Projekten verteilt wird) wenn der Benutzer der Webapplikation im Expander Projekt-Shares aller Systeme (Projekte) in der Verteilung mit dem Projekt, das mit der Webapplikation verknüpft ist, in der Liste der zulässigen Benutzer aufgeführt ist.
• Das Root-Zertifikat (CER-Datei) des CCom-Host-Zertifikats des verknüpften Serverprojekts wird in den Speicher der Stammzertifizierungsstelle (TRCA) des lokalen Zertifikatspeichers importiert.
• Sie haben die IIS-Standard-Website im IIS Manager gestoppt mit SMC.
• Nur für Websites/Web-Applikationen von Drittanbietern gültig) Sie haben die Tipps für die Arbeit mit Websites und Web-Applikationen von Drittanbietern gelesen.
• Das Zertifikat der Website/Web-Applikation:
  - (empfohlen) Nutzen Sie das als Standard festgelegte selbst-signierte Zertifikat oder das selbst-signierte Zertifikat, das zur Zeit der Erstellung der Website/Web-Applikation angelegt wurde.
  - Das selbst-signierte Zertifikat wird in den Speicher Eigene Zertifikate sowie in den Speicher der Stammzertifizierungsstellen der lokalen Zertifikate im Windows-Zertifikatspeicher importiert.
  - Wenn ein Host-Zertifikat als Zertifikat für eine Website/Web-Applikation genutzt wird, werden die Host-Datei (PFX-Datei) zusammen mit dem exportierbaren privaten Schlüssel und seiner Root-Datei (CER-Datei) in den jeweiligen Windows-Zertifikatspeicher importiert. Andernfalls wird die Meldung Kette ungültig angezeigt.
  - Ein Host-Zertifikat für den Host-Namen herausgegeben wird, der während der Website-Erstellung im Feld Host-Name angegeben wird. Andernfalls tritt möglicherweise ein Netzwerkfehler (dns_unresolved_hostname) auf.
  - Wenn ein Multi-Host-Zertifikat als Zertifikat für die Website/Web-Applikation genutzt wird, muss die Eigenschaft Alternativer Antragstellername (SAN) alle möglichen Host-Namen enthalten. (siehe Zum Erstellen eines Multihost-Zertifikats Einträge in der Datei V3.txt hinzufügen).
• Informationen zur Ausführung des Windows-App-Clients auf IPv6-netzwerkfähigen Systemen finden Sie unter Webserver zur Ausführung im Dualstack-Netzwerk (IPv4 und IPv6) konfigurieren.

Übersicht