Nederlands Deutsch English (US)

Artikelen in deze sectie

SSL certificaten vervangen, zelf doen

Avatar
Hao-Yen Mok (Service Engineer)
Gemaakt
Bijgewerkt
Volgen

Een certificaat dat Corsa/Liber of ander BCT product gebruikt gaat verlopen, wat nu?

Het vervangen van certificaten valt niet onder standaard service, en kan desgewenst als betaalde dienstverlening worden afgenomen worden.

Voor klanten is het toegestaan om certificaten zelfstandig opnieuw te plaaten en trusten, dit is op eigen risico. Indien er herstel-acties door BCT uitgevoerd moeten worden om e.e.a. weer werkend te krijgen, dan wordt dit uitgevoerd als betaalde dienstverlenging.

Wij adviseren om voldoende tijd en resources hiervoor te plannen, om de druk op de organisatie te minimaliseren indien er iets onverhoopt mis gaat.

In dit artikel staan een aantal handvaten met betrekking tot het vervangen van certificaten.

 

Voorbereiding

  • Kijk/vraag wat voor certificaat gaat vervallen,
    is dat van type …

    Standaard (voor een enkele domeinnaam)
    Voorbeeld: www.bctsoftware.com

    Multi domein (voor meerdere (sub)domeinnamen )
    Voorbeelden: intranet.corsa.com, webmail.mycorsa-nxt.com, www.bctsoftware.com, support.bctsoftware.com

    Wildcard (voor een onbeperkt aantal subdomeinen )
    Voorbeelden: *.bctsoftware.com, *.corsa.com, *.mycorsa-nxt.com

    ... met private- of public certificaat deel...

    Private certificaat deel ..
    • Self signed: Zelf vanuit de server aanmaken (info volgt);
    • Certificaat provider: Nieuwe aanvragen, houd rekening met de expiratie tijd en de duur van de aanvraag;

Public certificaat deel ...

    • Van BCT: Zodra een private certificaat is vervangen, dan kan daaruit een public deel worden gemaakt. Dit kan aan andere applicatie leveranciers worden venstrekt. Sommig applicaties kunnen zelf het nieuwe certificaat ophalen bij het endpoint van de Corsa applicatie.
    • Van andere applicatieleverancier: De leverancier levert zelf het publieke deel, stelt download beschikbaar of geeft aan wanneer die is op te halen via het endpoint. Dit moet worden inlezen op de plekken waar het huidig\oude certificaat staat. 

Controleer, noteer, maak screenshots ...

    • Issued to: Dit geeft aan voor welke specifieke domein/machine (bijv. corsaprod.bct.local) of wildcard voor domein inclusief alle subdomeinen. Kijk of dit klopt.
    • Expiratiedatum: Kijk op basis van (door klant aangegeven) datum of die binnenkort gaat vervallen;
    • Thumbprint: Dit is het uniek ID van het certificaat, dat handig is voor controle op de plekken waar die staat.

  • Kijk welke servers voor BCT producten (Corsa/Liber) zijn, kijk bijvoorbeeld in de TIM documenten bij PreGo, zoek de plekken op waar het huidige certificaat (dat vervangen moet worden) staat ...

  • Kijk of je het certificaat 1 op 1 kunt vervangen of erbij moet plaatsen...
    • Wanneer 1 op 1 vervangen:
      • Het oude certificaat is al verlopen;
      • Of andere applicatieleverancier hebben de nieuwe publieke sleutel en al bij hun applicatie omgeving bijgeplaatst of willen gelijktijdig met BCT doen;
      • En herstarten van services is mogelijk.

    • Wanneer bijplaatsen:
      • Het oude certificaat is nog geldig;
      • De nieuwe gaat op volgen op het moment dat het oude certificaat verloopt, geen gebruikers of koppelapplicaties last van hebben en herstart van processen kan dan automatisch plaats kan vinden.
  • Bewaar wachtwoord van nieuw ontvangen certificaat bestand (*.pfx) goed.
    Een nieuw private plus public certificaat wordt meestal geleverd in een .pfx bestand met een wachtwoord. Bewaar het wachtwoord goed, bij importen in Stores of exporteren van het private certificaat zal die nodig zijn. 

Controle en Vervanging

 

Corsa full client:
Voor een machine en Adfs certificaat

Controle:

  1. Log bij Corsa full client in met beheerder account of system account;
  2. Ga naar Systeem > Installatie > Programma's, dan verschijnt het venster Programma uitvoeren;
  3. Bij vinkje aan op 'Gedefinieerd programma' kijk of je daaronder bij 'Programma:' het drop-down menu 'Configuratie instellingen' ziet, zo ja selecteer die. 
    Zie je die niet, dan vink je 'Gedefinieerd programma' uit en vul achter 'Programma:' std/w-vconfig.r in en klik je op OK;
  4. Kijk bij tab StUF, selecteer bij 'Actie': 'Zoevraag stellen' en 'Afnemersindicatie plaatsen' en kijk wat er bij 'Ceftificaat1:' en 'Certificaat 2:' staat. Als er iets staat, dan is dat van het pad waar het certificaat staat;
  5. Kijk bij tab Corsa Fed. Auth. en kijk wat er achter de knoppen Signing Certificate Select staat. of daar het certificaat is gedefinieerd dat binnenkort gaat aflopen;

Vervanging:

  1. Het nieuwe certificaat ergens lokaal plaatsen;
  2. Via de knop 'Signing Certificate Select' kun je het nieuwe certificaat selecteren, op de locatie waar je die hebt geplaatst, en inlezen.
      1.  

Windows Store:
Voor een machine eigen certificaat, netwerk wilcard certificaat , certificaat ander leverancier


Controle:

  1. Open mmc en maak een Certificates snap-in ...voor "My user account" en "Computer account
  2. Kijk bij de volgende mappen:
    "Personal" (voor eigen private certificaten)
    "Trusted Root Certification Authorities" (voor publieke certificaten van andere product leveranciers)
    ( Certficaten die via IIS in de Personal map worden geïmporteerd en komen in
    "Computer account > Personal" terecht.)

Vervanging:

  1. Log in Windows in met de gebruiker die de OpenEdge Admin Service startof open mmc namens die gebruiker;
  2. Open mmc.msc (Microsoft Management Console)
  3. Ga naar Bestand > Module toevoegen/verwijderen ... , dan verschijnt het venster "Modules toevoegen of verwijderen";
  4. Selecteer bij linker selectielijst "Certificaten" en klik op knop Toevoegen, dan komt er in het rechter selectielijst te staan: Certificaten - Huidige gebruiker;
  5. Herhaal stap 3 voor Lokale computer;
  6. Klik op OK , dan komt een groter venster tevoorschijn;
  7. Voor private certificaten (indien van toepassing):
    Ga naar  "Certificaten - Huidige gebruiker > Persoonlijk > Certificaten" en
    selecteer je de Certificaten map, klik op rechtermuistoets en Alle taken > Importeren, dan verschijnt het venster Wizard Certificaat importeren;
    Dan zul je het wachtwoord van het nieuwe certificaat daarbij nodig hebben.
    Kopieer het geïmporteerde certificaat ook naar "Lokale computer > Persoonlijk > Certificaten"
  8. Voor public certificaten (indien van toepassing):
    Ga naar  "Certificaten - Huidige gebruiker > Trusted Root Certification Authorities> Certificaten" en selecteer je de Certificaten map, klik op rechtermuistoets en Alle taken > Importeren, dan verschijnt het venster Wizard Certificaat importeren;
    Bij archief locatie is Huidige gebruiker aangevinkt, klik op Volgende, dan verschijnt de mogelijkheid om het certificaat bestand te selecteren.
    Selecteer het certificaat .cer/.crt, klik op Volgende. Dan verschijnt een dialoog met een voorgestelde locatie. Indien dit "Trusted Root Certification Authorities" is, klik dan op volgende;
    Bij het volgende venster "Completing the Certificate Import Wizard" klik je op Finish.

Key- en TrustStore:

Voor een machine eigen certificaat, netwerk wilcard certificaat , certificaat ander leverancier

Controle:

  1. Key- en TrustStore (KeyStore: private certificaten, TrustStore: public certificaten):
    Kijk op de server bij <Drive>:\bct\certs\ map of er een KeyStore,jks en/of TrustStore.jks bestand aanwezig is.
  2. Op de Key- en/of TrustStore zit een wachtwoordbeveiliging. Het wachtwoord staat in de configuratiebestanden van de applicaties die van de JavaStores gebruikmaken.
    Bij aanwezigheid van een BCE (Berichtencentrale) zou dit te vinden zijn in D:\bct\3party\BCE3.5\....wrapper.conf (wachtwoord: b********!)
    Zoek/vraag en noteer het wachtwoord.
  3. Open het bestand met het wachtwoord en kijk of je het huidge\oude certificaat ziet.
    (De KeyStore,jks en TrustStore.jks kun je openen door dubbel erop te klikken als het icoon twee sleuteltjes zijn. Ze worden geopend met de tool Keystore Explorer (**, zie beneden).
  4. Kijk bij <Drive>:\bct\certs map. of een *.cer / *.crt bestand (het publieke deel)
    en daaraan gelijk aan naam en/of datum een *.key bestand (het private deel)
  5. Kijk of ze op naam moeten worden toegepast. Zoek bijvoorbeeld met Notpad++ of andere editor/tekstzoeker op de naam of je deze bestanden vanaf de <Drive>:\bct\ map.
    Ze worden door meestal door Apache toegepast en zijn meestal in <Drive>:\bct\3party\apache24\conf\extra\httpd-bct.conf gedefinieerd,
    kijk of de definities niet in commentaar (achter #) staan.

Vervanging:

  1. Klant: Nieuw certificaat in .pfx plus tekstbestandje met wachtwoord beschikbaar stellen op een locatie bij de server(s) (prod/test) waar je bij kunt komen; En geef dit ook BCT zodat die kan worden geplaatst;
  2. Maak in D:\bct\certs een nieuwe map bijv. New20XX;
  3. Maak kopie van KeyStore.jks en/of Truststore.jks en .cer en .key bestand van het huidige/oude certificaat en plaats die in de New20XX map;
  4. Open de KeyStore.jks* in New20XX map *(wachtwoord (b********!) zou in bestand D:\bct\3party\BCE3.5\....wrapper.conf staan, zelfde wachtwoord voor TrustStore.jks)
  5. Verwijder het oude private certificaat;
  6. Klik boven midden op de knop Import Key Pair;
  7. Selecteer PKCS #12 en klik OK;
  8. Selecteer het nieuwe *.pfx bestand en voer wachtwoord in en klik Import;
  9. Laat Alias waarde staan en klik OK;
  10. Voer twee maal het wachtwoord in van de KeyStore en klik OK;
  11. Sla het KeyStore.jks bestand op.
  12. Exporteert publieke certificaat:
    a. Met Rechtermuis klik je op het ingelezen certificaat, selecter Export > Export Certificate Chain;
    b. Bij Export File klik je op Browse, selecteer het .cer/.crt bestand in de New20XX map en klik Choose/OK;
    c. Bij de vraag of je het oude bestand wilt overschrijven en klik OK.
  13. Exporteer private certificaat:
    a. Met Rechtermuis klik je op het ingelezen certificaat, selecter Export > Private Key;
    b. Selecteer PKCS #12 en klik OK;
    c. Vink Encrypt uit, bij Export File klik je op Browse, Selecteer het .key bestand in de New20XX map en klik Choose/OK;
    d. Bij de vraag of je het oude bestand wilt overschrijven en klik OK.
  14. Vergelijk de nieuwe (in...\bct\certs\New20XX) en oude (in...\bct\certs) .cer/.crt en .key bestanden met bijv. Notepad++, of ze op structuur ongeveer hetzelfde zijn, dus niet verschillende headers);
  15. Lees het publieke certificaat (.cer/.crt bestand) in TrustStore (optioneel, check of dit nodig is):
  16. Open de TrustStore.jks* in New20XX map *(wachtwoord (b********!) zou in bestand D:\bct\3party\BCE3.5\....wrapper.conf staan, zelfde wachtwoord voor TrustStore.jks);
  17. Verwijder huidige/oude certificaat;
  18. Klik boven midden op de knop Import Trusted Certificate;
  19. Selecteer het .cer/.crt bestand in de New20XX map en klik Import;
  20. Vertrouw certificaat en klik OK;
  21. Bekijk eventueel op details en klik OK;
  22. Accepteer certificaat als vertrouwed door Klik YES;
  23. Alias mag detault staan en klik op OK;
  24. Vertrouwde certificaat is succesvol geimporterd en klik OK;
  25. Apache stoppen bij Services (services.msc);
  26. BCE (Berichtencentrale) stoppen bij Services (services.msc);
  27. Maak in D:\bct\certs een nieuwe map bijv. Backup20XX;
  28. KeyStore.jks en/of Truststore.jks en .cer en .key bestand van het huidige/oude certificaat (van ...\bct\certs) en verplaats je naar Backup20XX;
  29. Andere verlopen certificaten enz. kunnen ook naar Backup20XX;
  30. Hetgeen dat in New20XX staat kopieer je naar ...\bct\certs map;
  31. BCE (Berichtencentrale) starten bij Services (services.msc);
  32. Apache starten bij Services (services.msc);
  33. Controleren of alles weer werkt;
  34. Indien alles weer werkt, kunnen de Backup20XX en New20XX mappen weer worden gezipt of verwijderd.

    (**) De KeyStore Explore zit meestal in D:\bct\3party\keystore explorer. Indien het openen niet lukt (tool te oud) of er is geen KeyStore Explorer, dan kun je die indien mogelijk lokaal op eigen werkomgeving installeren of kijken bij een andere server waar ook een KeyStore Explorer is. Op de site van de Keystore explorer staat ook een portable versie, kijk bij https://keystore-explorer.org/downloads.html onder Latest Release en in de tabel bij kolom 'Platform' bij 'All'.

Java cacerts-keystore:

Hierin slaat Java openbare certificaten van root-CA's op. Java gebruikt cacerts om de servers te authentiseren.

Controle:

  1. Kijk bij <Drive>:\bct\3party\java\jdkx.x.x_xx\jre\lib\security\ map of er een Cacerts store (cacerts of cacerts.jks)
  2. Op de Java cacerts-store zit een wachtwoordbeveiliging.
    Default wachtwoord: changeit
  3. Open het bestand met het wachtwoord en kijk of je het huidge\oude certificaat ziet.
    (cacerts.jks kun je openen door dubbel erop te klikken als je het icoon twee sleuteltjes zijn.
    Ze worden dan geopend met de tool Keystore Explorer (**). De cacerts bestanden zonder extensie, kun je vanuit KeyStore Explorer via Bestand > Openen.

Vervanging:

  1. Maak in <Drive>:\bct\3party\java\jdkx.x.x_xx\jre\lib\security\ een nieuw map New20XX;
  2. Kopieer cacerts.jks naar map New20XX;
  3. Open cacerts.jks in map New20XX;
  4. Verwijder het oude certificaat;
  5. Importeer via de knop "Import Trusted Certificate" (rode prijstekentje) het nieuwe certificaat;
  6. Maak in <Drive>:\bct\3party\java\jdkx.x.x_xx\jre\lib\security\ een nieuw map Backup20XX;
  7. Stop de applicatie die gebruikmaakt van het certificaat;
  8. Verplaats de huidige cacerts.jks naar Backup20XX;
  9. Kopieer cacerts.jks in map New20XX en zet die in <Drive>:\bct\3party\java\jdkx.x.x_xx\jre\lib\security
  10. Start de applicatie die gebruikmaakt van het certificaat;
  11. Test of alles weer werkt.

IIS (indirect in Windows Store):
Alleen voor private eigen machine of netwerk certificaten

Controle:

  1. Open IIS;
  2. In linker paneel met Treeview, selecteer de machine naam;
  3. In midden paneel en in kader IIS dubbelklik je op Server Certificates, dan krijg je een overzicht te zien van de certificaten die er zijn;
  4. In het overzicht zul het oude certificaat zien, die kun je die verwijderen tenzij de verloopdatum van de oude en de begindatum van de nieuwe nog niet zijn bereikt;

Vervanging:

  1. Importeer het nieuwe certificaat;
  2. Ga bij de rechter paneel met Treeview selecteer Default Web Site;
  3. Ga naar rechter panel en klik bij kader Edit Site en klik op "Bindings...", dan krijg je een overzicht van de bindings;
  4. Kijk of je daar bij kolomtype https ziet staan, selecteer de regel met https en klik op "Edit...", dan komt het venster Edit Binding;
  5. Bij "SSL certificates" selecteer je het nieuwe  certificaat en klik op OK;
  6. In het rechter panel staat Manage Website, klik daarop restart.

 

 

 

 

 

 

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Terug naar boven

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.

Verwante artikelen