Schützen von Verbindungen mit Zertifikaten

Mit Zertifikaten können verschiedene Verbindungen geschützt werden.

Die icom Data Suite baut nur dann eine Verbindung zum Mail-Server auf, wenn das Server-Zertifikat von einer CA erzeugt wurde, deren Zertifikat in der icom Data Suite gespeichert ist.

Situation

Die Verbindung zu einem Server soll mit einem CA-Zertifikat dieses Servers geschützt werden.

Lösung

Dieser Configuration Guide beschreibt, wie die Verbindung zum Cumulocity Server geschützt wird. Für andere Verbindungen entsprechend vorgehen.

Herunterladen der Zertifikatsdatei

Zuerst muss die Zertifikatsdatei des Servers, mit dem man sich verbinden will, heruntergeladen werden. Im Folgenden ist das Herunterladen mit dem geläufigen Browser Firefox beschrieben. Andere Browser verhalten sich ähnlich. Es wird vorausgesetzt, dass Ihr PC über Internet-Zugang verfügt.

Die Server-Adresse in einen Browser eingeben und gegebenenfalls anmelden.
Auf das Schloss-Symbol () klicken, um die Sicherheitsinformationen anzuzeigen.
Auf den Pfeil hinter der Server-Adresse () und auf Weitere Informationen klicken.
Im Fenster Seiteninformationen auf Zertifikat anzeigen klicken und den Reiter Details auswählen.
Das Root-CA-Zertifikat in der Zertifikatshierarchie auswählen und auf Exportieren klicken, um das Zertifikat auf Ihrem Computer zu speichern. ^[1]

Konfiguration der icom Data Suite

Es wird vorausgesetzt, dass Sie Zugriff auf das Web-Interface der icom Data Suite haben. Das Smart Device muss über Internet-Zugriff verfügen. Das CA-Zertifikat ist wie oben beschrieben auf Ihrem Computer gespeichert.

Das Web-Interface der icom Data Suite mit einem Browser aufrufen:
- 192.168.1.10 oder ids.local ^[2]
- Benutzername: insys (Voreinstellung)
- Kennwort: icom (Voreinstellung)
Im Menü Administration → Zertifikate auf Durchsuchen… klicken.
Oben heruntergeladenes CA-Zertifikat auswählen und auf Zertifikate importieren klicken.
Im Menü Nachrichten → Cumulocity einen neuen Server () hinzufügen falls dieser nicht schon eingerichtet ist.
Die Konfiguration Ihres Cumulocity Servers bearbeiten ():
- Beschreibung: cumulocity server
- Protokoll: HTTPS
- Server: die Server-URL Ihres Cumulocity-Servers eingeben ^[3]
- Serverzertifikat verifizieren: ^[4]
- Hostname des Servers verifizieren: ^[5]
- Gerätename: einen beschreibenden Namen für Ihr Gerät angeben
- Gerätetyp: insys-device
- Selbstregistrierung: ^[6]
Auf Einstellungen speichern klicken.
Das Profil aktivieren ().

Fehlersuche

Für eine Fehlersuche ist es hilfreich, das Log Cumulocity im Menü Status → Log-Ansicht zu betrachten.

Ressourcen

Folgende ASCII-Konfiguration kann per Copy & Paste übernommen werden. Dabei ist zu beachten, dass die einzelnen Parameter entsprechend der eigenen Anwendung anzupassen sind. Bei nummerierten Parameter ist die korrekte Nummerierung zu beachten. Außerdem ist zu beachten, dass keine bestehenden Parameter mit derselben Nummer überschrieben werden. Eine ordentliche Funktionalität kann nur gewährleistet werden, wenn das geöffnete Profil zuvor aus den Werkseinstellungen erzeugt wurde.

ASCII-Konfiguration

messages.cumulocity.server.add
messages.cumulocity.server[1].active=1
messages.cumulocity.server[1].name=c8yServ1
messages.cumulocity.server[1].description=cumulocity server
messages.cumulocity.server[1].protocol=https
messages.cumulocity.server[1].server=tenant.cumulocity.com
messages.cumulocity.server[1].verify_peer=1
messages.cumulocity.server[1].verify_host=1
messages.cumulocity.server[1].device_name=INSYS Smart Device
messages.cumulocity.server[1].self_registration=1
messages.cumulocity.server[1].username=serial_number
messages.cumulocity.server[1].password=
messages.cumulocity.server[1].device_id=

administration.certificates.ca_certs.ca_cert.add
administration.certificates.ca_certs.ca_cert[1].name=ca_cert1
administration.certificates.ca_certs.ca_cert[1].description=Issuer Root Certificate Authority
administration.certificates.ca_certs.ca_cert[1].ca_certificate=-----BEGIN CERTIFICATE-----
...
<certificate data>
...
-----END CERTIFICATE-----

administration.certificates.ca_certs.ca_cert[1].downloadable=1
administration.timezone.timezone=router_timezone
administration.ip_settings.mode=automatic
administration.ip_settings.default_gateway=
administration.ip_settings.dns_server=

Herunterladen der ASCII-Konfiguration (Rechtsklick und Speichern unter)

Zurück zu den Configuration Guides für die icom Data Suite

Zurück zur Übersicht

1. Das Root-Zertifikat ist das oberste Zertifikat in der Hierarchie.

2. Diese IP-Adresse und der Hostname gelten nur für eine Standard-Installation mit Werkseinstellungen.

3. Diese Daten von Cumulocity anfordern.

4. Dies stellt sicher, dass verifiziert wird, ob das Zertifikat des Servers mit einem der in der icom Data Suite gespeicherten CA-Zertifikate übereinstimmt. Ist die Checkbox nicht markiert, werden alle Zertifikate des Servers ohne Überprüfung akzeptiert.

5. Dies stellt sicher, dass verifiziert wird, ob der Hostname des Servers mit dem Common Name im Zertifikat übereinstimmt; ansonsten kann keine Verbindung zum Server aufgebaut werden. Ist die Checkbox nicht markiert, wird keine Überprüfung vorgenommen.

6. Siehe den Cumulocity Device Guide zur Registrierung eines Geräts wenn dies noch nicht registriert ist.