Einrichten der Zertifikatsverschlüsselung
1. Zertifikate generieren |
Zunächst muss im Reiter Verschlüsselung der Hinweisgruppen-Einstellungen ein Zertifikat-Paar im IBI-aws Admin generiert werden. |
2. Client-Zertifikate exportieren |
Das gerade eben generierte Zertifkat-Paar muss nun über die Option "Client-Zertifikate exportieren" exportiert werden. |
3. Zertifikate verteilen |
Damit die IBI-aws Clients die später mit dem Zertifikat-Paar verschlüsselte Hinweisdatei lesen können, wird dieses Zertifikat-Paar für die Entschlüsselung benötigt. Hierzu muss das Zertifikat-Paar allen Clients verfügbar gemacht werden. Zertifikat austauschenSoll ein Zertifikat-Paar ausgetauscht werden, müssen bis zur (in einem späteren Schritt) durchgeführten Aktivierung des neuen Zertifkat-Paares, sowohl das neue als auch das alte Zertifkat-Paar verteilt werden Dazu stehen folgende Möglichkeiten zur Verfügung
Weitere Details zur Konfiguration der beiden Varianten sind unter CertificateSource zu finden. |
4. Warten bis das Zertifikat überall verfügbar ist |
Das Zertifikat-Paar kann erst verwendet werden, wenn es überall verfügbar ist. Bitte informieren Sie sich über den aktuellen Verteilungsstand bei den entsprechenden Personen. |
5. IBI-aws Client Aufruf erweitern |
Wenn die Client-Zertifikate als Datei oder nicht über den Zertifikat-Store |
6. Warten bis der angepasste IBI-aws Aufruf überall durchgeführt wurde |
Dieser Schritt ist nur nötig, wenn im vorherigen Schritt der IBI-aws Client Aufruf angepasst wurde. Stellen Sie sicher, dass alle IBI-aws Clients mit dem erweiterten Start-Parameter gestartet wurden/werden, z.B. indem Sie das entsprechende Start-Script anpassen. Fahren Sie erst fort, wenn dies sichergestellt ist. |
7. Zertifikate aktivieren |
Wenn die Client-Zertifikate überall verfügbar sind und, falls nötig, der IBI-aws Client Aufruf angepasst wurde, kann das Zertifikat-Paar im IBI-aws Admin als "aktiv" markiert werden. Weitere Informationen dazu finden Sie unter Verschlüsselung. |
8. Hinweisgruppe veröffentlichen |
Zum Abschluss sollte die Hinweisgruppe veröffentlicht werden, damit die Hinweisdatei verschlüsselt geschrieben wird. |
9. Nur verschlüsselte Daten im IBI-aws Client aktivieren (Optional) |
Führen Sie diesen Schritt erst durch, wenn Sie sicher sind, dass alle IBI-aws Clients die Verschlüsselung verwenden. Mit der Angabe des Start-Parameters AcceptEncryptedDataOnly können Sie verhindern, dass der IBI-aws Client unverschlüsselte Hinweisdateien weiterhin verarbeitet und somit den Schutz vor unbefugter Manipulation erhöht. |