Neues Projekt im manuellen Modus auf einem Client/FEP erstellen

Wenn Sie ein Projekt im manuellen Konfigurationsmodus erstellen, müssen Sie die Client/FEP-Projektdetails manuell in den entsprechenden Feldern eingeben.

Bevor Sie beginnen, stellen Sie sicher, dass Sie alle notwendigen Serverprojektdetails vorliegen haben, einschliesslich des Servernamens, der Ports (ausser Pmon), des freigegebenen Projektpfads und der Sicherheitsdetails. Der manuelle Konfigurationsmodus erlaubt Ihnen, die Client/FEP-Projektdetails (z.B. Client-Server-Kommunikationsmodus und Zertifikatstyp) frei einzugeben. Dabei müssen Sie aber dennoch sicherstellen, dass diese mit denen des gewählten Serverprojekts übereinstimmen. Anderenfalls wird der installierte Client auf dem Client/FEP nicht gestartet.

Sie können eine gesicherte Kommunikation zwischen dem Serverprojekt und dem Client/FEP-Projekt einrichten. Hierzu verwenden Sie entweder dateibasierte (PEM-Datei) oder Windows-Zertifikatspeicher-basierte Zertifikate. Das folgende Verfahren beschreibt die Erstellung eines Client/FEP-Projekts mit Zertifikaten auf Basis des Windows-Zertifikatspeichers.

Stellen Sie auf dem Server Folgendes sicher:

  • Für das Zertifikat aus dem Windows-Zertifikatspeicher:
    • Das Root-Zertifikat muss in den Speicher Stammzertifizierungsstellen des Speichers Lokale Zertifikate im Windows-Zertifikatspeicher importiert werden.
    • Nur Zertifikate mit RSA-Signaturalgorithmus werden unterstützt. CNG-Zertifikate werden nicht unterstützt.
  • Im Falle eines dateibasierten Zertifikats (.pem) muss das Root-Zertifikat auf der Festplatte des Clients/FEP verfügbar sein.
  • Geben Sie das Serverprojekt frei, das Sie mit dem angemeldeten Benutzer des Clients/FEP verbinden möchten, bevor Sie das Projekt auf dem Client/FEP erstellen.

Stellen Sie auf dem Client/FEP für Zertifikate aus dem Windows Zertifikatsspeicher Folgendes sicher:

  • Das gleiche gültige Root-Zertifikat wie im Serverprojekt, das Sie gerade im Client/FEP-Projekt konfigurieren, muss in den Speicher Stammzertifizierungsstellen des lokalen Zertifikatsspeichers importiert und als Standard eingestellt werden.
  • Das Host-Zertifikat (mit Schlüssel), das Sie für die gesicherte Client-Server-Kommunikation bereitstellen, muss mit dem Root-Zertifikat des Serverprojekts erstellt werden. Das Host-Zertifikat wird in den Speicher Eigene Zertifikate des Windows-Zertifikatsspeichers importiert und als Standard definiert.
  1. Wählen Sie in der SMC-Struktur Projekte.
  1. Klicken Sie Projekt erstellen .
  1. Führen Sie im Expander Serverinformationen folgende Schritte aus:
    a. Aktivieren Sie das Kontrollkästchen Manuelle Konfiguration.
    b. Geben Sie im Feld Servername den vollständigen Computernamen des Servers ein oder klicken Sie Durchsuchen, um den Server im Dialogfeld Bedienplatz Auswahl zu wählen.
  • Der Service-Port ist deaktiviert, und die Expander Client-Projektinformationen und Kommunikationssicherheit werden zur Verfügung gestellt.
  1. Führen Sie im Expander Clientprojektinformationen folgende Schritte aus:
    a. Füllen Sie das Feld Projektname.
    b. Bearbeiten Sie den Projektpfad, um den Standardwert zu ändern.
    c. Bearbeiten Sie Sprachen, um die Sprachen an das Serverprojekt anzugleichen.
    d. Geben Sie einen Wert im freigegebener Projektpfad ein oder suchen Sie nach dem Serverprojekt.
    Hinweis: Der freigegebene Projektpfad ist für die Aktivierung des Projekts zwingend erforderlich.
    e. Bearbeiten Sie die Portnummern für die Felder Pmon-, Serverdaten, Alarmalarm, Server HDB-Reader und Query Cache Port.
    f. Aktivieren Sie das Kontrollkästchen Abfrage-Cache-Port, wodurch das Feld Abfrage-Cache-Port aktiviert wird. Legen Sie eine eindeutige Portnummer fest.
  1. Führen Sie im Expander Kommunikationssicherheit folgende Schritte aus:
    a. Ändern Sie in der Dropdown-Liste Client-Server-Kommunikation die Vorgabeeinstellung Gesichert in Nicht gesichert, wenn Sie die Client-Server-Kommunikation im ungesicherten Modus aktivieren wollen, oder in Standalone, wenn Sie die Kommunikation zwischen dem Serverprojekt und dem Client/FEP-Bedienplatz deaktivieren wollen.
    b. Geben Sie den Proxy-Port ein oder setzen Sie ihn so, dass er mit dem des gewählten Serverprojekts übereinstimmt.
    c. Wählen Sie denselben Zertifikatstyp wie im gewählten Serverprojekt. Standardmässig ist Zertifikatstyp - Windows-Zertifikatsspeicher ausgewählt.
    d. Klicken Sie Durchsuchen, um ein anderes Root- und Host-Zertifikat und den relevanten Hostschlüssel (nur bei .pem-dateibasierten Zertifikaten) zu wählen. Das Root-Zertifikat muss mit dem Root-Zertifikat des Serverprojekts identisch sein. Anderenfalls startet die Desigo CC Client-Applikation nicht. Das Host-Zertifikat und der Hostschlüssel müssen mit dem auf dem Serverprojekt bereitgestellten Root-Zertifikat generiert werden.
    e. (Nur für gesicherte Client-Server-Kommunikation und Windows-Zertifikate verfügbar) Fügen Sie den Host-Zertifikatsbenutzer der Benutzerliste hinzu.
    Hinweis 1: Nur Benutzer oder Gruppen, die für das gewählte Host-Zertifikat zugelassen sind, können den Desigo CC Client auf dem Client/FEP-Bedienplatz starten.
    Hinweis 2: Selbst wenn der am Client/FEP-Betriebssystem angemeldete Benutzer in der Administratorgruppe enthalten und berechtigt ist, den privaten Schlüssel des Host-Zertifikats zu nutzen, müssen Sie ihn ausdrücklich zur Nutzung des privaten Schlüssels des Host-Zertifikats berechtigen, indem Sie ihn der Liste der Host-Zertifikatbenutzer hinzufügen.
  1. Klicken Sie Speichern .
    Hinweis: Das Root-Zertifikat muss mit dem Root-Zertifikat des Serverprojekts identisch sein. Die Desigo CC Client-Applikation startet anderenfalls nicht. Gehen Sie in dem Fall wie folgt vor:
    a. Klicken Sie Abbrechen.
    b. Navigieren Sie im Feld Root-Zertifikat des Expanders Kommunikationssicherheit zu dem Root-Zertifikat, das auch auf dem Server eingesetzt wird.
    c. Klicken Sie Speichern .
    d. Die während der Projekterstellung eingegebenen Daten werden validiert und gespeichert.
  • Bei erfolgreicher Erstellung eines Projekts, wird der neue Projektordner als untergeordnetes Objekt des Ordners Projekte in der SMC-Struktur erstellt. Wenn er sich im Zustand Gestoppt befindet, können Sie ihn bearbeiten, aktivieren oder löschen. Sie können auch das Projekt starten/stoppen.
    Es wird eine Projektordnerstruktur mit Unterordnern und Dateien am angegebenen Speicherort erstellt.
    Werden im Falle von dateibasierten Zertifikaten (.pem) das Root- und das Host-Zertifikat sowie die Key-Datei des Host-Zertifikats für die sichere Kommunikation nach ..\[Projektname]\Config kopiert und wird die config-Datei aktualisiert.
    Wird im Falle von dateibasierten Zertifikaten (.pfx/.cer) nur die config-Datei aktualisiert.

Besonderheiten bei Sicherheitseinstellungen in Kiosk-Modus-Konfigurationen

  • Dem Kiosk-Modus-Benutzer (GMSDefaultUser) muss ausdrücklich die Berechtigung zur Benutzung des privaten Schlüssels des für die Client-Server-Kommunikation konfigurierten Host-Zertifikats gewährt werden, selbst wenn der Kiosk-Modus-Benutzer (GMSDefaultUser) Mitglied der Administratorgruppe ist und die Administratorgruppe Berechtigungen am privaten Schlüssel des Host-Zertifikats besitzt.
  • Wenn Sie den Kiosk-Modus auf dem Client/FEP konfigurieren, müssen Sie dem Kiosk-Modus-Benutzer (GMSDefaultUser) des Clients/FEP ausserdem Dateisystemzugriffsrechte auf den Projektordner am Server erteilen.

Tipps

  • Wenn ein Projekt erstellt ist, müssen Sie es starten und aktivieren. Die installierte Client-Applikation auf dem Client/FEP verweist auf dieses aktivierte Projekt.
  • Wenn Sie im Falle eines Zertifikattyps des Windows Zertifikatsspeichers auf Durchsuchen klicken, müssen Sie den Speicherort Lokale Zertifikate wählen und das Root-Zertifikat im Register Stammzertifizierungsstellen aussuchen. Das Host-Zertifikat müssen Sie im Register Eigene Zertifikate wählen. Die Root- und Host-Zertifikate müssen mit der SMC in den Windows Zertifikatsspeicher importiert werden.
  • Das Projekt auf dem Client/FEP läuft im Kontext des konfigurierten Serverprojekts.
  • Das Serverprojekt, auf das das ausserhalb des Client/FEP-Servers aktive Projekt verweist, darf nicht aktiv sein.
  • Bevor Sie das Client/FEP-Projekt ausserhalb des Servers starten können, müssen Sie zuerst das Serverprojekt, mit dem es verbunden ist, starten.
  • Die Projekte, die auf einem anderen Setup-Typ (z.B. Client/FEP) als dem installierten Setup-Typ (z.B. Server) erstellt wurden, werden in der SMC-Struktur der SMC unter dem Ordner Projekte aufgeführt. Sie können jedoch nicht mit ihnen arbeiten, wenn Sie sie auswählen. Es ist nur möglich, sie zu löschen.