Expander Kommunikationssicherheit

Der Expander Kommunikationssicherheit erlaubt es Ihnen, den Proxy-Port für eine gesicherte Client-Server-Kommunikation zu konfigurieren. Sie können die Sicherheitseinstellungen für die Client-Server-Kommunikation und die Web-Kommunikation mit Zertifikaten konfigurieren.

Zum Sichern der Client-Server-Kommunikation können Sie entweder dateibasierte Zertifikate (.pem) oder Zertifikate aus dem Windows-Speicher verwenden. Die dateibasierten Zertifikate (.pem) müssen auf der Festplatte verfügbar sein. Die Zertifikate aus dem Windows-Speicher müssen in den entsprechenden Windows-Zertifikatsspeicher importiert werden.

Die Webserver-Kommunikation über den CCom-Port kann nur mit Zertifikaten aus dem Windows-Speicher gesichert werden.

Auf einer Server-SMC

Wenn Sie auf einer Server-SMC ein Projekt bearbeiten, können Sie die Sicherheitseinstellungen für die Client-Server-Kommunikation im Abschnitt Serverkommunikation konfigurieren. Ferner können Sie die Einstellungen für die Webserver-Kommunikation und die CCom-Port-Nummer ändern.

Expander Kommunikationssicherheit – Abschnitt Server-Kommunikation

Im Abschnitt Projekteinstellungen des Expanders Kommunikationssicherheit können Sie die Projektdetails konfigurieren, einschliesslich des Kommunikationstyps, der Proxy-Port-Nummer des Servers und Windows-Speicher oder dateibasiert (.pem).

Abschnitt Projekteinstellungen
Element	Beschreibung
Prozesskonto (Pmon)	Zeigt den für das aktuelle Projekt konfigurierten Pmon-Benutzer an. Wenn Sie den Systembenutzer nach der Projekterstellung ändern, führt dies zu einem Unterschied zwischen dem Systembenutzer und dem Pmon und das Pmon wird in Rot angezeigt. Um die Einstellungen zu synchronisieren, müssen Sie das Projekt stoppen, bearbeiten und speichern.
Kommunikation	Die Kommunikation zwischen dem Serverprojekt und dem mit ihm verbundenen Client kann gesichert werden. Die folgenden Client-Server-Kommunikationstypen stehen zur Verfügung: Unabhängig: (Standard) Das Projekt wird immer im Standalone-Modus erstellt. In einem Standalone-Serverprojekt ist die Kommunikation zwischen dem Server und einem verknüpften Clientprojekt auf einem anderen System nicht möglich. Gesichert: (Empfohlen) Bei Auswahl dieser Option können Sie über die Konfiguration des Proxy-Ports und der Zertifikate eine gesicherte Kommunikation einrichten. Nicht gesichert: Diese Option erlaubt es Ihnen, eine nicht gesicherte und nicht verschlüsselte Client-Server-Kommunikation einzurichten.
Server-Proxy-Port	Dieses Feld ist nur aktiviert, wenn der Kommunikationstyp auf Gesichert eingestellt ist. Dieser Port wird für die sichere Client-Server-Kommunikation verwendet. Der Standardwert der Portnummer lautet 5678. Geben Sie die Portnummer ein oder verwenden Sie das Drehfeld, um die Portnummer schrittweise nach oben oder unten zu ändern.
Zertifikatstyp	Dieses Feld ist nur aktiviert, wenn der Kommunikationstyp auf Gesichert eingestellt ist. Bei Zertifikatstyp ist als Vorgabe Windows-Zertifikatsspeicher aktiviert. Sie können dies ändern und die Option Dateibasiert (.pem) wählen. Windows-Zertifikatsspeicher: Wenn Sie diese Option auswählen, können Sie den Windows-Zertifikatsspeicher durchsuchen, um bereits importierte Root- und Host-Zertifikate auszuwählen. Dateibasiert (.pem): Wenn Sie diese Option auswählen, können Sie das System durchsuchen und dateibasierte (.pem) Root- und Host-Zertifikate auswählen. Bei dateibasierten (.pem) Zertifikaten müssen Sie zusätzlich ein Hostschlüsselzertifikat auswählen.
Root-Zertifikat	Dieses Feld ist nur aktiviert, wenn die Client-Server-Kommunikation Gesichert gewählt ist. Es zeigt als Vorgabe das Root-Zertifikat an, das Sie als Standard festgelegt haben. Abhängig vom ausgewählten Zertifikatstyp können Sie den Windows-Zertifikatsspeicher oder die Festplatte durchsuchen, um das Root-Zertifikat auszuwählen. Hinweis 1: Wenn Sie ein Zertifikat aus dem Windows-Zertifikatsspeicher verwenden wollen, wird nach Klicken von Durchsuchen das Dialogfeld Zertifikat auswählen geöffnet. Im Dialogfeld Zertifikat auswählen können Sie als Speicherort entweder Lokale Zertifikate oder Benutzerzertifikate angeben und dann das Root-Zertifikat im Register Stammzertifizierungsstellen auswählen.
Host-Zertifikat	Dieses Feld ist nur aktiviert, wenn der Kommunikationstyp auf Gesichert eingestellt ist. Es zeigt als Vorgabe das Host-Zertifikat an, das Sie als Standard festgelegt haben. Abhängig vom ausgewählten Zertifikatstyp können Sie den Windows-Zertifikatsspeicher oder die Festplatte durchsuchen, um das Host-Zertifikat auszuwählen. Hinweis 1: Wenn Sie ein Zertifikat aus dem Windows-Zertifikatsspeicher verwenden wollen, wird nach Klicken von Durchsuchen das Dialogfeld Zertifikat auswählen geöffnet. Im Dialogfeld Zertifikat auswählen können Sie als Speicherort entweder Lokale Zertifikate oder Benutzerzertifikate angeben und dann das Host-Zertifikat im Register Eigene Zertifikate auswählen. Hinweis 2: Stellen Sie sicher, dass das Host-Zertifikat aus dem angegebenen Root-Zertifikat erstellt wird und dass das Host-Zertifikat einen privaten Schlüssel enthält, der als exportierbar gekennzeichnet ist. Hinweis 3: Für Zertifikate aus dem Windows-Zertifikatspeicher werden nur Zertifikate mit RSA-Signaturalgorithmus unterstützt. CNG-Zertifikate werden nicht unterstützt.
Host-Zertifikatbenutzer	Dieses Feld ist nur für gesicherte Client-Server-Kommunikation und Zertifikate des Windows-Zertifikatsspeichers verfügbar. Nur Benutzer oder Gruppen, die für das gewählte Host-Zertifikat zugelassen sind, können den installierten Client auf dem Client/FEP starten. Sie können der Liste Benutzer hinzufügen und Benutzer aus der Liste löschen. Hinweis: Sie müssen einen einzelnen, auf dem Client/FEP angemeldeten Benutzer und den Pmon-Benutzer des Client/FEP-Projekts auch dann hinzufügen, wenn er einer auf der Liste der Host-Zertifikatbenutzer genannten Gruppe angehört, damit ihm die Berechtigungen am privaten Schlüssel des Host-Zertifikats zugewiesen bleiben und er den installierten Client auf dem Client/FEP erfolgreich starten kann. Der Benutzer muss derselbe sein, der Berechtigungen für den Projektordner und die Unterordner des konfigurierten Serverprojekts besitzt. Besonderheiten bei Sicherheitseinstellungen in Kiosk-Modus-Konfigurationen: – Damit ein Kiosk-Modus-Benutzer (GMSDefaultUser) im Kiosk-Modus arbeiten kann, müssen ihm für den privaten Schlüssel des für die Client-Server-Kommunikation konfigurierten Host-Zertifikats explizit Berechtigungen zugewiesen werden. Dies ist auch dann erforderlich, wenn der Kiosk-Modus-Benutzer (GMSDefaultUser) Mitglied einer Benutzergruppe (z.B. Administratorgruppe) ist, die Berechtigungen für den privaten Schlüssel des Host-Zertifikats besitzt. – Wenn Sie auf einem Client/FEP den Kiosk-Modus konfigurieren, müssen Sie dem lokalen Serverbenutzer (GMSDefaultUser) Berechtigungen für den Serverprojektordner erteilen, damit er vom Client/FEP aus darauf zugreifen kann. Der auf dem Client angemeldete Windows-Benutzer ist ein lokaler GMSDefaultuser.
Hostschlüssel	Dies ist nur aktiviert, wenn Sie den Kommunikationstyp als gesichert und den Zertifikatstyp als dateibasiert (.pem) festlegen. Sie können auf der Festplatte nach dem Hostschlüsselzertifikat suchen. Dieses Feld ist nur für dateibasierte Zertifikate (.pem) verfügbar.

Expander Kommunikationssicherheit – Webserver-Kommunikation

Die Gruppe Webserver-Kommunikation im Expander Kommunikationssicherheit ermöglicht Ihnen, eine sichere Webkommunikation zwischen Serverprojekt und IIS (üblicherweise dem Remote-Webserver) zu konfigurieren, die über den CCom-Port stattfindet. Die Kommunikation wird mit einem Host-Zertifikat gesichert.

Zur Sicherung der Kommunikation zwischen dem Server und dem lokalen Webserver können Sie die Webserver-Kommunikation Lokal belassen.

Sie können die Webserverkommunikation während der Erstellung und Bearbeitung des Projekts auf Server- oder Client/FEP-Installationen konfigurieren.

Hinweis:
In der Version 5.0 wird der Kommunikationstyp Ungesichert durch Lokal ersetzt. Es wird empfohlen, die Kommunikation für alle entfernten Web-Applikationen auf Gesichert zu setzen, da die Ungesicherte Kommunikation nicht funktionieren wird.

Expander Kommunikationssicherheit
Element	Beschreibung
Kommunikation	Sie können die Kommunikation zwischen dem Server und dem Webserver (IIS) sichern, indem Sie den CCom-Port und ein Host-Zertifikat einstellen. Der Webserver (IIS) muss auf demselben Computer wie der Server (als lokaler Webserver) oder kann auf einem separaten Computer installiert sein (der als Remote-Webserver fungiert). Deaktiviert: (Standardauswahl) Gibt an, dass die Kommunikation zwischen dem CCom-Manager des Projekts auf dem Server und dem Webserver (IIS) deaktiviert ist. In diesem Fall können Sie nicht mit Windows App-Client arbeiten. Verwenden Sie diese Option für Standalone-Installationen, in denen keine Windows App-Clients auf dem Server installiert sind. Lokal: Die Auswahl dieser Option lässt Kommunikation zwischen dem CCom-Manager des Projekts auf dem Server und dem Webserver (IIS) ohne Zertifikate zu. Wählen Sie diese Option aus, wenn Sie den Webserver (IIS) auf der gleichen Station wie den Server installiert haben und alle Windows App-Clients in einem sicheren, dedizierten Netzwerk ausgeführt werden. Sie können Windows App-Clients zwar mit einer lokalen Kommunikation verwenden, es wird jedoch empfohlen, die Kommunikation zu sichern. Gesichert: Die Auswahl dieser Option lässt eine gesicherte Web-Kommunikation zwischen dem CCom-Manager des Projekts auf dem Server und dem Webserver (IIS) zu. Sie müssen die Kommunikation sichern, indem Sie ein Host-Zertifikat wählen. Wählen Sie diese Option aus, wenn der Webserver (IIS) auf einer anderen (Remote-) Station als der Server installiert ist oder wenn die Windows App-Clients in einem Netzwerk mit geringerer Sicherheit oder in einem nicht dedizierten Netzwerk ausgeführt werden.
CCom-Port	(Nur auf dem Server-SMC) Die Standard-Portnummer ist 8000 und der unterstützte Bereich ist 1 bis 65535. Der CCom-Port wird vom CCom-Manager eines Projekts verwendet, um mit dem Webserver (IIS) zu kommunizieren, der für die Arbeit mit dem Windows App Client erforderlich ist. Sie können die Portnummer eingeben oder das Drehfeld benutzen, um die Portnummer schrittweise nach oben oder unten zu ändern. Wenn Sie die CCom-Port-Nummer ändern, wird sie im Expander Serverprojektinfo automatisch aktualisiert, wenn Sie das Projekt speichern. Sie wird in Rot angezeigt, was darauf hinweist, dass die Kommunikation über den CCom-Port lokal (ohne Zertifikate) ist. Es wird empfohlen, die Sicherheit zu aktivieren, indem Sie in der Dropdown-Liste Kommunikation die Option Gesichert auswählen. Hinweis: Wenn die Einstellungen für die Webserver-Kommunikation eines Projekts am Server geändert werden, müssen Sie die Web-Applikation, die auf dem Client/FEP mit dem Serverprojekt verknüpft ist, bearbeiten, mit dem Server abgleichen und speichern.
Host-Zertifikat	Dieses Feld ist nur aktiviert, wenn Sie aus der Dropdown-Liste der Web-Kommunikation Gesichert ausgewählt haben. Es zeigt als Vorgabe das Host-Zertifikat an, das Sie als Standard festgelegt haben. Sie können jedoch im Dialogfeld Zertifikat auswählen ein anderes Host-Zertifikat oder selbstsigniertes Zertifikat auswählen.

Auf einer Client/FEP-SMC im automatischen Modus

Wenn Sie ein Projekt auf einer Client/FEP-SMC bearbeiten, können Sie im Expander Kommunikationssicherheit unter Serverkommunikation sowohl im automatischen Konfigurationsmodus als auch im manuellen Konfigurationsmodus die Sicherheitseinstellungen konfigurieren.

Im automatischen Modus werden nach Auswahl des Servers und des Serverprojekts die entsprechenden Sicherheitseinstellungen für das Projekt automatisch eingestellt. Wenn Sie zum Beispiel ein ungesichertes bzw. Standalone-Projekt auswählen, werden alle Felder im Expander Kommunikationssicherheit deaktiviert.

Bei Auswahl eines gesicherten Serverprojekts wird der Zertifikatstyp entsprechend dem Typ im Serverprojekt eingestellt. Wenn Sie zum Beispiel ein gesichertes Serverprojekt auswählen, das für die sichere Kommunikation Zertifikate aus dem Windows-Speicher verwendet, wird während der Erstellung/Änderung des Client/FEP-Projekts für Zertifikatstyp automatisch Windows-Zertifikatsspeicher eingestellt. Beachten Sie, dass Sie für Zertifikate des Typs Windows-Zertifikatspeicher die Host-Zertifikat-Benutzer hinzufügen müssen, die den Desigo CC Client auf dem Client/FEP starten können.

Auf einer Client/FEP-SMC im manuellen Modus

Wenn Sie das Client/FEP-Projekt im manuellen Konfigurationsmodus bearbeiten, müssen Sie unter Serverkommunikation die gleichen Angaben machen wie im ausgewählten Serverprojekt.

Hinweis 1:
Wenn Sie bei der Änderung eines Projekts auf dem Client/FEP ein Serverprojekt mit gesicherter Client-Server-Kommunikation auswählen, müssen Sie dasselbe Root-Zertifikat wie für die Client-Server-Kommunikation des ausgewählten Serverprojekts bereitstellen. Es kann ein anderes Host-Zertifikat verwendet werden, dieses muss jedoch mit dem auf dem Client/FEP bereitgestellten Root-Zertifikat erstellt werden. Andernfalls startet die Desigo CC Client-Applikation nicht.
Hinweis 2:
Das Host-Zertifikat wird vom Desigo CC Client/FEP verwendet. Der am Client/FEP-Betriebssystem angemeldete Benutzer benötigt daher Zugriff auf den privaten Schlüssel des Host-Zertifikats im Windows-Zertifikatsspeicher.
Hinweis 3: Auf Server/Client-Bedienplätzen werden für Zertifikate aus dem Windows-Zertifikatspeicher nur Zertifikate mit RSA-Signaturalgorithmus unterstützt. CNG-Zertifikate werden nicht unterstützt.