Laden Sie Zertifikate für Secure Access ( ESA ) herunter und installieren Sie sie.
Laden Sie Zertifikate für Secure Access ( ESA ) herunter und installieren Sie sie.
Anforderungen an vertrauenswürdige Zertifikate für eine sichere Authentifizierung
Während des Authentifizierungsprozesses über HTTPS muss der Client die TLS-Zertifikatskette des Servers anhand einer vertrauenswürdigen Wurzel in seinem Truststore validieren.
Die genauen erforderlichen Stammzertifikate hängen von Ihren Authentifizierungsanwendungsfällen und den verwendeten Identitätsanbietern ab. Überprüfen Sie vor der Bereitstellung Ihre geplanten Authentifizierungsabläufe und legen Sie fest, welche externen Dienste kontaktiert werden sollen. Identifizieren Sie für jeden Dienst die vollständige TLS-Zertifikatskette und stellen Sie sicher, dass die entsprechenden Stammzertifikate in den Secure Access ( ESA )-Truststore importiert werden.
Beispielsweise wird bei der Authentifizierung gegenüber Microsoft Entra ID die TLS-Kette normalerweise von DigiCert Global Root CAs und Entrust Root CA signiert. Diese müssen im Secure Access ( ESA )-Truststore vorhanden sein, um eine erfolgreiche sichere Authentifizierung zu ermöglichen.
Fügen Sie Microsoft-bezogene Zertifikate zu Secure Access hinzu
Microsoft-bezogene Stammzertifikate für Secure Access ( ESA ) und Native Connectors (EPE) sind hier aufgeführt:
https://learn.microsoft.com/en-us/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list#root-certificate-authorities
Diese werden benötigt, um eine sichere Verbindung zwischen Entra ID und Secure Access -Systemen herzustellen.
So laden Sie diese 4 Stammzertifikate für Secure Access herunter und importieren sie
Stellen Sie zunächst eine SSH-Verbindung zu Ihrem Host her
Machen Sie sich selbst zum Root-Benutzer
Keystore-Passwort abrufen:
Hinweis! ESA Truststore-Passwort befindet sich in Consul unter dem Schlüssel „/<tenant goes here>/esa/keystore-password“. Falls es dort nicht vorhanden ist, handelt es sich um das Standard Java -Keystore-Passwort. Um das für Consul festgelegte Passwort anzuzeigen, führen Sie auf dem Host diesen Befehl aus: config-manager.py get /[TENANT]/esa/keystore-password
Stellen Sie eine SSH-Verbindung zum ESA Docker her (ssh demo2025-esa) (ssh <Ihr Mandant>-esa)
Führen Sie diese Befehle im ESA Docker aus
Gehen Sie zum esa-Ordner: cd /opt/esa
Holen Sie sich 4 Stammzertifikate:
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootCA.crt -o DigiCertGlobalRootCA.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG2.crt -o DigiCertGlobalRootG2.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG3.crt -o DigiCertGlobalRootG3.crt
curl -fSL https://files.entrust.com/root-certificates/entrust_g2_ca.cer -o entrust_g2_ca.cer
Verwenden Sie das Truststore-Passwort, um diese vier Zertifikate in den ESA-Truststore zu importieren:
keytool -importcert -file DigiCertGlobalRootCA.crt -keystore truststore.jks -alias DigiCertGlobalRootCA
keytool -importcert -file DigiCertGlobalRootG2.crt -keystore truststore.jks -alias DigiCertGlobalRootG2
keytool -importcert -file DigiCertGlobalRootG3.crt -keystore truststore.jks -alias DigiCertGlobalRootG3
keytool -importcert -file entrust_g2_ca.cer -keystore truststore.jks -alias entrust_g2_ca
keytool wird Sie bei jedem Zertifikat fragen: "Diesem Zertifikat vertrauen" Antwort: Ja
Beenden Sie den ESA-Docker zum Host mit dem Befehl: exit
Nach diesem Vorgang muss ESA Container neu gestartet werden, um neue Zertifikate anzuwenden, indem Sie diese Befehle auf dem Host ausführen (ersetzen Sie [TENANT] durch Ihren Mandantennamen):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa
Signicat bezogene Zertifikate zum Secure Access hinzufügen
Zertifikate können unter https://letsencrypt.org/certificates/ und https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates eingesehen werden.
So laden Sie diese Stammzertifikate für Secure Access herunter und importieren sie
Stellen Sie zunächst eine SSH-Verbindung zu Ihrem Host her
Machen Sie sich selbst zum Root-Benutzer
Keystore-Passwort abrufen:
Hinweis! ESA Truststore-Passwort befindet sich in Consul unter dem Schlüssel „/<tenant goes here>/esa/keystore-password“. Falls es dort nicht vorhanden ist, handelt es sich um das Standard Java -Keystore-Passwort. Um das für Consul festgelegte Passwort anzuzeigen, führen Sie auf dem Host diesen Befehl aus: config-manager.py get /[TENANT]/esa/keystore-password
Stellen Sie eine SSH-Verbindung zum ESA Docker her (ssh demo2025-esa) (ssh <Ihr Mandant>-esa)
Führen Sie diese Befehle im ESA Docker aus
Gehen Sie zum esa-Ordner: cd /opt/esa
Holen Sie sich diese Stammzertifikate:
curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem
Holen Sie sich diese Stammzertifikate und konvertieren Sie sie in das richtige Format:
curl -fSL https://secure.globalsign.net/cacert/root-r1.crt -o root-r1.der
curl -fSL https://secure.globalsign.net/cacert/root-r3.crt -o root-r3.der
curl -fSL https://secure.globalsign.net/cacert/root-r5.crt -o root-r5.der
curl -fSL https://secure.globalsign.net/cacert/root-r6.crt -o root-r6.der
openssl x509 -inform DER -in root-r1.der -out root-r1.pem
openssl x509 -inform DER -in root-r3.der -out root-r3.pem
openssl x509 -inform DER -in root-r5.der -out root-r5.pem
openssl x509 -inform DER -in root-r6.der -out root-r6.pem
Verwenden Sie das Truststore-Passwort, um diese vier Zertifikate in den ESA-Truststore zu importieren:
keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed
keytool -importcert -file root-r1.pem -keystore truststore.jks -alias GlobalSignRootR1
keytool -importcert -file root-r3.pem -keystore truststore.jks -alias GlobalSignRootR3
keytool -importcert -file root-r5.pem -keystore truststore.jks -alias GlobalSignRootR5
keytool -importcert -file root-r6.pem -keystore truststore.jks -alias GlobalSignRootR6
keytool wird Sie bei jedem Zertifikat fragen: "Diesem Zertifikat vertrauen" Antwort: Ja
Beenden Sie den ESA-Docker zum Host mit dem Befehl: exit
Nach diesem Vorgang muss ESA Container neu gestartet werden, um neue Zertifikate anzuwenden, indem Sie diese Befehle auf dem Host ausführen (ersetzen Sie [TENANT] durch Ihren Mandantennamen):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa
Fügen Sie Zertifikate für Signicat Preprod-Umgebung zum Secure Access hinzu
Wenn Sie Ihren Secure Access für die Vorproduktions-/Testversion Signicat ( signicat ) konfigurieren, laden Sie diese Zertifikate herunter und importieren Sie sie.
Zertifikate können unter https://www.buypass.com/security/buypass-root-certificates eingesehen werden.
So laden Sie diese Stammzertifikate für Secure Access herunter und importieren sie
Stellen Sie zunächst eine SSH-Verbindung zu Ihrem Host her
Machen Sie sich selbst zum Root-Benutzer
Keystore-Passwort abrufen:
Hinweis! ESA Truststore-Passwort befindet sich in Consul unter dem Schlüssel „/<tenant goes here>/esa/keystore-password“. Falls es dort nicht vorhanden ist, handelt es sich um das Standard Java -Keystore-Passwort. Um das für Consul festgelegte Passwort anzuzeigen, führen Sie auf dem Host diesen Befehl aus: config-manager.py get /[TENANT]/esa/keystore-password
Stellen Sie eine SSH-Verbindung zum ESA Docker her (ssh demo2025-esa) (ssh <Ihr Mandant>-esa)
Führen Sie diese Befehle im ESA Docker aus
Gehen Sie zum esa-Ordner: cd /opt/esa
Holen Sie sich diese Stammzertifikate:
curl -fSL https://crt.buypass.no/crt/BPClass3CA2.pem -o BPClass3CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA2.pem -o BPClass2CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA5.pem -o BPClass2CA5.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem
Verwenden Sie das Truststore-Passwort, um diese sechs Zertifikate in den ESA-Truststore zu importieren:
keytool -importcert -file BPClass3CA2.pem -keystore truststore.jks -alias BPClass3CA2
keytool -importcert -file BPClass2CA2.pem -keystore truststore.jks -alias BPClass2CA2
keytool -importcert -file BPClass2CA5.pem -keystore truststore.jks -alias BPClass2CA5
keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed
keytool wird Sie bei jedem Zertifikat fragen: "Diesem Zertifikat vertrauen" Antwort: Ja
Beenden Sie den ESA-Docker zum Host mit dem Befehl: exit
Nach diesem Vorgang muss ESA Container neu gestartet werden, um neue Zertifikate anzuwenden, indem Sie diese Befehle auf dem Host ausführen (ersetzen Sie [TENANT] durch Ihren Mandantennamen):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa