Wenn Sie ein Server-Zertifikat für den Hub nicht von einer öffentlichen Zertifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Directory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzertifizierungsstelle auf alle Rechner verteilen, die per https auf den Hub zugreifen sollen.
- Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
- Anschließend öffnen Sie auf einem Member-Server (z. B. dem Druckserver, auf dem Sie die ThinPrint Engine installiert haben) die Zertifikatsverwaltung in der MMC.
- Markieren Sie den Zertifikatspeicher Certificates (Local Computer)→ Personal, und wählen Sie All Tasks→ Advanced Operations→ Create Custom Request.
Member-Server: Anforderung eines Webserverzertifikats für den Hub starten - Im Menü Custom Request wählen Sie das Template Web Server.
Member-Server: Template des Webserverzertifikats wählen - Bei älteren Zertifizierungsstellen kann es vorkommen, dass der Zertifikatstyp Web Server standardmäßig nicht angezeigt wird. In diesem Fall müssen Sie diesen erst auf der Zertifizierungsstelle aktivieren, indem Sie im Certification-Authority-Manager die Template-Verwaltung öffnen ...
ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern - ... dort die Eigenschaften des Web-Server-Templates öffnen und im Reiter Security der Gruppe Authenticated Users das Recht Enroll gewähren.
ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern
- Zurück zum Member-Server: Im Menü Certificate Information wählen Sie Details und dann Properties.
Member-Server: Eigenschaften des Webserverzertifikats öffnen - In den Eigenschaften des zu generierenden Web-Server-Zertifikats geben Sie im Reiter Subject den Common Name und den DNS-Namen an. Beide müssen dem Namen des Zertifikates und der Rechneradresse entsprechen (dies ist eine Voraussetzung für Chrome-Browser). In der Regel ist das der FQDN des Webservers resp. des Hubs (aber auch Hostname oder IP-Adresse sind möglich).
Member-Server: Common Name und DNS-Namen konfigurieren
- Markieren Sie im Reiter Private Key den privaten Schlüssel des Zertifikates als exportierbar (um das Zertifikat später auf dem Hub installieren zu können). Bestätigen Sie mit OK, und fahren Sie im Menü Certification Information mit Next fort.
Member-Server: den privaten Schlüssel als exportierbar markieren
- Speichern Sie die Zertifikatsanforderung als Textdatei (Dateityp .txt oder .req).
Member-Server: Zertifikatsanforderung als Textdatei speichern - Wechseln Sie zu Ihrer Zertifizierungsstelle, und öffnen Sie dort den Certification-Authority-Manager.
- Dort markieren Sie Ihre Zertifizierungsstelle, und wählen All Tasks→ Submit new request.
Zertifizierungsstelle: Zertifikatsanforderung bearbeiten - Wählen Sie die eben gespeicherte Zertifikatsanforderung.
Zertifizierungsstelle: Zertifikatsanforderung öffnen
- Speichern Sie das Zertifikat im Format .cer.
Zertifizierungsstelle: Zertifikat speichern
- Wechseln Sie zurück zu dem Member-Server, auf dem Sie die Zertifikatsanforderung generiert haben. Installieren Sie hier das eben generierte Zertifikat in Certificates (Local Computer)→ Personal.
- Exportieren Sie das Zertifikat mit seinem Schlüssel (Dateiformat .pfx).
Member-Server: Webserverzertifikat des Hubs exportieren
- Vergeben Sie beim Export ein Passwort.
Member-Server: Schlüssel des Zertifikates mit einem Passwort schützen