Webserverzertifikat für den Personal-Printing-Server generieren
Webserverzertifikat dem Personal-Printing-Server zuweisen
Webserverzertifikat für die Release Station generieren
Webserverzertifikat der Release Station zuweisen
Stammzertifikat hinterlegen und Server-URL clientseitig konfigurieren
Personal Printing bietet die Möglichkeit, folgende Verbindungen per https zu verschlüsseln:
- vom Webbrowser zum Webinterface der Release Station
- von der Release Station oder einem anderen Authentifizierungsgerät (wie Drucker oder Smartphone) zum Personal-Printing-Server; diese Verschlüsselung kann verwendet werden für:
- den Aufruf des JobViewers
- die Authentifizierung am Drucker
(Hierbei werden Daten wie Nutzer-ID und Passwort von den Authentifizierungsgeräten zum Personal-Printing-Server übermittelt.)
Webserverzertifikat für den Personal-Printing-Server generieren
Wenn Sie ein Server-Zertifikat für den Personal-Printing-Server nicht von einer öffentlichen Zertifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Directory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzertifizierungsstelle auf alle Rechner verteilen, die per https auf den Personal-Printing-Server zugreifen sollen.
- Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
- Anschließend wechseln Sie auf den Personal-Printing-Server und öffnen dort die Zertifikatsverwaltung in der MMC.
- Markieren Sie den Zertifikatspeicher Certificates (Local Computer)→ Personal, und wählen Sie All Tasks→ Request New Certificate.
Personal-Printing-Server: Anforderung eines Webserverzertifikats für den lokalen Rechner starten
- Im Menü Active Directory Enrollment Policy öffnen Sie die Eigenschaften des zu generierenden Web-Server-Zertifikats.
Personal-Printing-Server: Eigenschaften des Webserverzertifikats ändern
- Bei älteren Zertifizierungsstellen kann es vorkommen, dass der Zertifikatstyp Web Server standardmäßig nicht angezeigt wird. In diesem Fall müssen Sie diesen erst auf der Zertifizierungsstelle aktivieren, indem Sie im Certification-Authority-Manager die Template-Verwaltung öffnen ...
ältere Zertifizierungsstelle: Zertifikat-Templates verwalten
- ... und dort die Eigenschaften des Web-Server-Templates öffnen und im Reiter Security der Gruppe Authenticated Users das Recht Enroll gewähren.
ältere Zertifizierungsstelle: der Gruppe Authenticated Users das Recht Enroll gewähren
- Zurück zum Personal-Printing-Server: In den Eigenschaften des zu generierenden Web-Server-Zertifikats geben Sie im Reiter Subject den Common Name und den DNS-Namen an. Beide müssen dem Namen des Zertifikates und der Serveradresse entsprechen (dies ist eine Voraussetzung für Chrome-Browser). In der Regel ist das der FQDN des Webservers resp. des Personal-Printing-Servers (aber auch Hostname oder IP-Adresse sind möglich).
Personal-Printing-Server: Common Name und DNS-Namen konfigurieren
- Im Reiter Private Key können Sie den privaten Schlüssel des Zertifikates als exportierbar markieren (wenn Sie das Zertifikat nicht vom Zielserver aus anfordern oder, um es später erneut installieren zu können).
Personal-Printing-Server: optional den privaten Schlüssel als exportierbar markieren
- Wenn Sie in Ihrem Active Directory mehrere Zertifizierungsstellen betreiben, wählen Sie im Reiter Certification Authority die Zertifizierungsstelle aus. Deren Stammzertifikat müssen Sie auf die Authentifizierungsgeräte verteilen (s. u.).
Personal-Printing-Server: ggf. eine bestimmte Zertifizierungsstelle wählen
- Markieren Sie abschließend den Zertifikatstyp Web Server und klicken auf Enroll, um das Webserverzertifikat auf dem lokalen Rechner zu installieren. Dieses wird automatisch abgelegt im Zertifikatspeicher Zertifikate (Lokaler Computer)→ Eigene Zertifikate resp. Certificates (Local Computer)→ Personal).
Personal-Printing-Server: Webserverzertifikats auf dem lokalen Rechner installieren
Webserverzertifikat dem Personal-Printing-Server zuweisen
Im Zertifikatspeicher Zertifikate (Lokaler Computer)→ Eigene Zertifikate resp. Certificates (Local Computer)→ Personal benötigen Sie ein auf die Adresse des Personal-Printing-Servers ausgestelltes Serverzertifikat (s. o.) .
Hinweis! Das Serverzertifikat muss denselben Namen wie der Personal-Printing-Server haben (FQDN, Hostname oder IP-Adresse).
Beim Aufruf des JobViewers muss die Adresse im Browser dann so angegeben werden, wie in der Spalte Ausgestellt für resp. Issued By dargestellt (siehe Screenshot). Steht dort beispielsweise eine IP-Adresse, wird der JobViewer aufgerufen mit:
https://192.168.149.75/JobViewer (Beispiel)
In der Release Station und auf Lexmark-Druckern wird in diesem Fall die URL angegeben mit:
https://192.168.149.75 (Beispiel)
Auf Samsung- und Konica-Minolta-Druckern wird in diesem Fall lediglich die IP-Adresse angegeben.
Serverzertifikat auf dem Personal-Printing-Server
- Öffnen Sie anschließend den IIS-Manager resp. Internet-Informationsdienste-Manager (IIS). Wählen Sie hier Sites→ Default Web Site→ Bindings.
Internetinformationsdienste-Manager: Bindungen
- Sollte (z. B. nach einem Update) noch keine Bindung vom Typ https existieren, fügen Sie eine neue Sitebindung durch Klick auf Add hinzu.
- Hatten Sie bei der Installation von Personal Printing die Option Selbstsigniertes Zertifikat erstellen gewählt, dann tauschen Sie hier das automatisch generierte (selbstsignierte) Webserverzertifikat gegen Ihr Webserver-Zertifikat aus.
Wählen Sie im nächsten Fenster folgendes aus:
| Type | https |
| Port | 443 |
| SSL certificate | Ihr Webserverzertifikat (s. o.) |
Sitebindung: Protokoll https hinzufügen und Zertifikat auswählen (sie finden die neu eingerichtete Sitebindung anschließend in der Übersicht)
- Kontrollieren Sie zur Sicherheit, ob ausschließlich Authentifizierung mit Verschlüsselung zugelassen ist. Wählen Sie hierzu Sites→ Default Web Site→ SSL Settings.
Verschlüsselungseinstellungen
- Hier muss das Häkchen bei Require SSL gesetzt sein, wenn die Authentifizierung ausschließlich über https erfolgen soll. (Ist Require SSL nicht aktiviert, funktioniert die Authentifizierung sowohl über http als auch über https.)
Kommunikationsprotokoll auf https beschränkt
- Starten Sie abschließend den IIS-Dienst neu.
IIS-Dienst des Personal-Printing-Servers neu starten
Webserverzertifikat für die Release Station generieren
Wenn Sie ein Server-Zertifikat für die Release Station nicht von einer öffentlichen Zertifizierungsstelle erwerben wollen, dann können Sie dies auch in ihrem Active Directory mit einer eigenen Zertifizierungsstelle generieren. In diesem Fall müssen Sie allerdings das Stammzertifikat und ggf. das Zertifikat der Zwischenzertifizierungsstelle auf alle Rechner verteilen, die per https auf die Release Station zugreifen sollen.
- Hierzu aktivieren Sie auf dem Active-Directory- oder einem Member-Server die Rolle Active Directory Certificate Services mit dem Setup-Typ Enterprise.
- Anschließend öffnen Sie auf einem Member-Server (z. B. dem Personal-Printing-Server) die Zertifikatsverwaltung in der MMC.
- Markieren Sie den Zertifikatspeicher Certificates (Local Computer)→ Personal, und wählen Sie All Tasks→ Advanced Operations→ Create Custom Request.
Member-Server: Anforderung eines Webserverzertifikats für die Release Station starten
- Im Menü Custom Request wählen Sie das Template Web Server.
Member-Server: Template des Webserverzertifikats wählen
- Bei älteren Zertifizierungsstellen kann es vorkommen, dass der Zertifikatstyp Web Server standardmäßig nicht angezeigt wird. In diesem Fall müssen Sie diesen erst auf der Zertifizierungsstelle aktivieren, indem Sie im Certification-Authority-Manager die Template-Verwaltung öffnen ...
ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern
- ... dort die Eigenschaften des Web-Server-Templates öffnen und im Reiter Security der Gruppe Authenticated Users das Recht Enroll gewähren.
ältere Zertifizierungsstelle: Eigenschaften des Webserverzertifikats ändern
- Zurück zum Member-Server: Im Menü Certificate Information wählen Sie Details und dann Properties.
Member-Server: Eigenschaften des Webserverzertifikats öffnen
- In den Eigenschaften des zu generierenden Web-Server-Zertifikats geben Sie im Reiter Subject den Common Name und den DNS-Namen an. Beide müssen dem Namen des Zertifikates und der Rechneradresse entsprechen (dies ist eine Voraussetzung für Chrome-Browser). In der Regel ist das der FQDN des Webservers resp. der Release Station (aber auch Hostname oder IP-Adresse sind möglich).
Member-Server: Common Name und DNS-Namen konfigurieren
- Markieren Sie im Reiter Private Key den privaten Schlüssel des Zertifikates als exportierbar (um das Zertifikat später auf der Release Station installieren zu können). Bestätigen Sie mit OK, und fahren Sie im Menü Certification Information mit Next fort.
Member-Server: den privaten Schlüssel als exportierbar markieren
- Speichern Sie die Zertifikatsanforderung als Textdatei (Dateityp .txt oder .req).
Member-Server: Zertifikatsanforderung als Textdatei speichern
- Wechseln Sie zu Ihrer Zertifizierungsstelle, und öffnen Sie dort den Certification-Authority-Manager.
- Dort markieren Sie Ihre Zertifizierungsstelle, und wählen All Tasks→ Submit new request.
Zertifizierungsstelle: Zertifikatsanforderung bearbeiten
- Wählen Sie die eben gespeicherte Zertifikatsanforderung.
Zertifizierungsstelle: Zertifikatsanforderung öffnen
- Speichern Sie das Zertifikat im Format .cer.
Zertifizierungsstelle: Zertifikat speichern
- Wechseln Sie zurück zu dem Member-Server, auf dem Sie die Zertifikatsanforderung generiert haben. Installieren Sie hier das eben generierte Zertifikat in Certificates (Local Computer)→ Personal.
- Exportieren Sie das Zertifikat mit seinem Schlüssel (Dateiformat .pfx).
Member-Server: Webserverzertifikat der Release Station exportieren
- Vergeben Sie beim Export ein Passwort.
Member-Server: Schlüssel des Zertifikates mit einem Passwort schützen
- Wechseln Sie zum Webinterface der Release Station. Zum Importieren des Zertifikates wählen Sie Upload Certificate im Certificates-Menü.
Release Station: Webserverzertifikat importieren
- Geben Sie hierbei das oben vergebene Passwort ein.
Release Station: Passwort des Schlüssels eingeben
- Weisen Sie das Zertifikat dem Webinterface der Release Station zu.
Release Station: Zertifikat dem Webinterface zugewiesen
- Führen Sie einen Neustart der Release Station durch. Wählen Sie hierzu System→ Neustart resp. Reboot.
- Nachdem Sie das Stammzertifikat auf einer Workstation installiert haben (s. u.), können Sie das Webinterface der Release Station per https öffnen. Wählen Sie hierbei dieselbe Adresse, die Sie für die Generierung des Zertifikates verwendet haben (hier:
https://releasestation-03).
Workstation: Webinterface der Release Station per https öffnen am Beispiel des Chrome-Browsers
Webserverzertifikat der Release Station zuweisen
Siehe hierzu den Abschnitt Zertifikate importieren.
Stammzertifikat hinterlegen und Server-URL clientseitig konfigurieren
- Installieren Sie ggf. das zum Webserverzertifikat des Personal-Printing-Servers gehörige Stammzertifikat auf den Authentifizierungsgeräten und/oder das der Release Station auf den Workstations der Nutzer (wenn dieses nicht standardmäßig vorinstalliert ist) im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen und/oder Drittanbieter-Stammzertifizierungsstellen und ggf. das Zwischenzertifikat in Zwischenzertifizierungsstellen.
Für die Release Station siehe den Abschnitt Zertifikate importieren. - Konfigurieren Sie die URL des Personal Printing Servers als https-Adresse auf den Authentifizierungsgeräten.
Siehe hierzu das jeweilige Kapitel: