SSL und cobra Mobile CRM

Um die SSL-Option in der cobra Mobile CRM Serverkomponente zu aktivieren, müssen folgende Schritte durchgeführt werden:

Allgemeine Hinweise zum SSL-Zertifikat bestellen

Für die SSL-Verbindung wird ein SSL-Zertifikat benötigt. Dieses muss bei einer Zertifizierungsstelle (z.B. »SSL Trust« oder »DigiCert«) oder Ihrem Hoster bestellt werden.

Bevor das Zertifikat bestellt werden kann, muss zunächst ein CSR (»Certificate Signing Request«) erstellt werden. Mit diesem wird das Zertifikat angefordert. Der »CSR« enthält exemplarisch folgende Daten:

• Allgemeiner Name (CN): z.B. »crm.meinefirma.de«.
• Organisation
• Organisationseinheit
• Stadt
• Bundesland
• Land

Der »CSR« enthält außerdem die Kryptografie-Einstellungen und wird als »TXT«- oder »CSR«-Datei gespeichert. Diese Datei wird beim Zertifikatsanbieter hochgeladen.

Nach Validierung erhalten Sie ein Serverzertifikat, Zwischenzertifikate (»Intermediate CA«) oder Root-Zertifikat. Viele Anbieter liefern eine kombinierte »P7B/PFX«-Datei, die den Import vereinfacht.

1 CSR erstellen via »Internetinformationsdienste-Manager« (IIS)

Im »Internetinformationsdienste-Manager« (IIS) wird eine neue Website erstellt. Diese stellt die Verbindung mit dem Zertifikat bereit.

• Melden Sie sich als Administrator auf dem Server an, auf dem cobra Mobile CRM installiert werden soll.
• Starten Sie den »Internetinformationsdienste-Manager« (IIS).
• Wählen Sie auf der linken Seite den relevanten Server aus.
• Öffnen Sie »Serverzertifikate« in der Rubrik »Sicherheit«.

• Klicken Sie rechts auf die Aktion »Zertifikatanforderung erstellen...«.

• Tragen Sie die obengenannten nötigen Informationen für das den RSA ein.

• Wählen Sie die angemessenen Kryptografie-Einstellungen (z.B. RSA 2048 Bit) aus.

• Geben Sie im letzten Schritt einen Dateinamen für den CSR an und klicken Sie abschließend auf »Fertig stellen«.

Alternativ: CSR-Erstellung via PowerShell

1. Starten Sie »CMD« als Administrator.
2. Erteilen Sie den Befehl »Powershell«.

Beispiel:

$cert = New-SelfSignedCertificate `
   -DnsName "crm.meinefirma.de" `
   -CertStoreLocation "Cert:\LocalMachine\My" `
   -KeyLength 2048 `
   -KeyExportPolicy Exportable

Export-Certificate -Cert $cert -FilePath C:\temp\crm.csr

2 SSL-Zertifikat bei einer Zertifizierungsstelle bestellen

Der CSR wird als »TXT«-Datei gespeichert, mit der das SSL-Zertifikat bei einem Anbieter angefordert werden kann.

Haben Sie alternativ eine »CSR«-Datei via PowerShell erstellt, reichen Sie diese bei Ihrem Anbieter ein.

• Bestellen Sie bei der geeigneten Stelle Ihr SSL-Zertifikat.

3 SSL-Zertifikat installieren und HTTPS-Binding einrichten

• Starten Sie den »Internetinformationsdienste-Manager« (IIS).
• Wechseln Sie in die Rubrik »Serverzertifikate«.

• Wählen Sie die Funktion »Zertifikatanforderung abschließen«.

In dem sich öffnenden Fenster müssen nun das Zertifikat und ein passender Name ausgewählt werden. Letzterer dient als reiner Anzeigename für den Administrator.

• Wechseln Sie nun wieder zur Rubrik Ihrer Website, auf die cobra Mobile CRM zugreift, und öffnen Sie die Funktion »Bindungen«.

• Wählen Sie die relevante Sitebindung aus und klicken Sie auf »Hinzufügen«.
• Tragen Sie in dem Dialog Ihre relevanten Verbindungsdaten ein und wählen Sie das zuvor hinterlegte SSL-Zertifikat aus.

Alternativ: Zertifikatimport einer PFX-Datei via PowerShell

1. Starten Sie »CMD« als Administrator.
2. Erteilen Sie den Befehl »Powershell«.

Beispiel:

Import-PfxCertificate -FilePath C:\temp\server.pfx `
   -CertStoreLocation Cert:\LocalMachine\My

4 SSL-Zertifikat an den Port binden

• Öffnen Sie die Eingabeaufforderung.
• Führen Sie den Befehl »mmc« aus.
• Erteilen Sie den Befehl »Datei: Snap-In hinzufügen«.
• Wählen Sie »Zertifikate« aus der Liste und klicken Sie auf »Hinzufügen«.

• Wählen Sie »Computerkonto« aus und klicken Sie auf »Weiter«.

• Wählen Sie »Lokalen Computer« aus und klicken Sie abschließden auf »Fertig stellen«.

Beachten Sie

Das relevante Zertifikat muss im Verzeichnis »Eigene Zertifikate« hinterlegt sein.

certhash (Fingerprint) und appid (GUID)

Die Bindung des SSL-Zertifikates auf den Port kann über die Kommandozeile (CMD) erfolgen:

1. Starten Sie »CMD« als Administrator.
2. Erteilen Sie den Befehl »Netsh«.
3. Erteilen Sie den Befehl »http«.
4. Erteilen Sie den Befehl »add sslcert ipport=IP-Adresse:Port certhash=Fingerprint appid={GUID}«.

Ersetzen Sie »IP-Adresse:Port«, »Fingerprint« und »GUID« mit Ihren Daten.

certhash (Fingerprint)

• Klicken Sie das Zertifikat doppelt an.
• Wechseln Sie in die Registerkarte »Details«.
• Wählen Sie die Zeile »Fingerabdruck« aus.

appid (GUID)

Die »appid« bzw. »GUID« kann hier erstellt werden.

Beispiel:

netsh http add sslcert ipport=172.16.1.32:30001 certhash=43953a5f065fb433c6b620dddcf37cb358ebbede appid={91291103-8638-4b7c-a3ab-649450d4c947}

Alternativ: Zertifikat manuell via PowerShell einbinden

1. Starten Sie »CMD« als Administrator.
2. Erteilen Sie den Befehl »Powershell«.

Beispiel:

New-WebBinding -Name "cobraCRM" -Protocol https -Port 443 -HostHeader "crm.meinefirma.de"

Beispiel zum Zuweisen des Zertifikates:

$thumb = (Get-ChildItem Cert:\LocalMachine\My | where {$_.Subject -match "crm.meinefirma.de"}).Thumbprint
New-Item "IIS:\SslBindings\0.0.0.0!443" -Thumbprint $thumb -SSLFlags 1

5 Sichere Verbindung (https) in cobra Mobile CRM aktivieren

Nachdem das Zertifikat erfolgreich hinzugefügt wurde, kann in der Serverkomponente von cobra Mobile CRM die Option »Sichere Verbindung (https)« aktiviert werden.