Transportverschlüsselung: TLS/SSL x509 Zertifikat installieren

Es gibt grundsätzlich drei Möglichkeiten, für Dr.DOC Web ein TLS x509 Zertifikat für die Verbindungsverschlüsselung zu installieren.

• A: Automatisch mit Slef-Signed Zertifikat
• B: Automatisch mit LetsEncrypt / Certbot
  • Weitgehend automatisierte Aktualisierung
  • Kostenlos, aber eine kleine Spende wäre nett: https://letsencrypt.org/donate/
  • Port 443 MUSS am Server für Dr.DOC Web verfügbar sein
  • Port Forwarding MUSS am Router für TCP Port 443 und TCP Port 80, mit Verweis auf den Server, aktiv sein
    • Bei Fritz Box: "Internet -> Freigaben -> Portfreigaben -> "Gerät für Freigaben hinzufügen" -> "Neue Freigabe" ->
      • Anwendung "HTTP-Server"
      • Anwendung "HTTPS-Server"
        oder
      • Anwendung "Andere Anwendung", Protokoll "TCP", Port "80"
      • Anwendung "Andere Anwendung", Protokoll "TCP", Port "443"
  • Sicherheitsfeatures nicht anpassbar
• C: Manuelle Installation mit eigenem Zertifikat
  • Zu bevorzugen, wenn man eine PKI in der Organisation hat
  • Etwas komplizierter in der Einrichtung aber dafür mehr Anpassungsmöglichkeiten (Port, Schlüssellänge, Laufzeiten etc.)
  • Theoretisch sicherer, aber in der Praxis läuft bei den allermeisten CAs/TSPs der Signierungsprozess unsicher ab, da die CA den private Key erzeugt. Sicher(er) wäre, wenn die Organisation einen Private Key erzeugt, sowie einen Signing Request an die CA sendet und die CA den Signing Request bzw. das Zert signiert.

Option A: Automatisch mit Slef-Signed Zertifikat

1. Schritt

Dr.DOC Web Server Dienst beenden
sc.exe stop "Dr.DOC Web Server"

2. Schritt

Öffnen Sie in Ihrem Dr.DOC Web Basisverzeichnis im Unterverzeichnis "configs" die Datei "server.ini"
Pfad: <Web-Basisverzeichnis>\configs\server.ini
z.B. C:\DrDOC\WEB\configs\server.ini

Bitte passen Sie folgende Einträge an:

[SERVER]
HOSTNAME=<Ihr Hostname>
PORT=443
Access-Control-Allow-Origin=<Sichere Quellen>
SSL_ACTIVE=true

3. Schritt

Dr.DOC Web Server Dienst starten
sc.exe start "Dr.DOC Web Server"

Dr.DOC Web erstellt nun automatisch ein Self-Signed Zertifikat und trägt es ein.

Option B: Automatisch mit LetsEncrypt / Certbot

1. Schritt

Dr.DOC Web Server Dienst beenden
sc.exe stop "Dr.DOC Web Server"

2. Schritt

Öffnen Sie in Ihrem Dr.DOC Web Basisverzeichnis im Unterverzeichnis "confisgs" die Datei "server.ini"
Pfad: <Web-Basisverzeichnis>\configs\server.ini
z.B. C:\DrDOC\WEB\configs\server.ini

Bitte passen Sie folgende Einträge an:

[SERVER]
HOSTNAME=<Ihr Hostname>

3. Schritt

Als Administrator ausführen:
Pfad: <Web-Basisverzeichnis>\cert.bat
z.B. C:\DrDOC\WEB\cert.bat

Die LetsEncrypt Zertifikate laufen ca. alle drei Monate ab und müssen erneuert werden. Der Certbot aktualisiert die Zertifikat automatisch.

Folgende Aktionen werden ausgeführt:

• CertBot (LetsEncrypt) installieren
• Port setzen
• PEM Datei Pfad setzen (SSL_CERT_FILE_PRIVATE, SSL_CERT_FILE_PUBLIC)
• Server starten
• Zertifikat für Web Server setzen

Option C: Manuelle Installation mit eigenem Zertifikat

1. Schritt

Dr.DOC Web Server Dienst beenden
sc.exe stop "Dr.DOC Web Server"

2. Schritt

Öffnen Sie in Ihrem Dr.DOC Web Basisverzeichnis im Unterverzeichnis "configs" die Datei "server.ini"
Pfad: <Web-Basisverzeichnis>\configs\server.ini
z.B. C:\DrDOC\WEB\configs\server.ini

Bitte passen Sie folgende Einträge an:

[SERVER]
HOSTNAME=<Ihr Hostname>
PORT=443
Access-Control-Allow-Origin=<Sichere Quellen>
SSL_ACTIVE=true

SSL_CERT_FILE=<Pfad zur *.pfx Datei ODER Fingerprint des Zertifikats im Windows Zertifikate Store>
SSL_CERT_PASSWORD=<Passwort zur *.pfx Datei>

; oder PEM Zertifikat mit je einer Datei für Private- und Public Key

SSL_CERT_FILE_PRIVATE=<Pfad zur private key Datei>
SSL_CERT_FILE_PUBLIC=<Pfad zur PEM Cert Datei>

3. Schritt

Dr.DOC Web Server Dienst starten
sc.exe start "Dr.DOC Web Server"