• Artikel

SSL-Zertifikate für das Self-Service-Portal

 

Veröffentlicht: Juli 2016

Gilt für: System Center 2012 SP1 - Service Manager, System Center 2012 R2 Service Manager, System Center 2012 - Service Manager

Es wird dringend empfohlen, SSL-Zertifikate (Secure Sockets Layer) in Verbindung mit dem Self-Service-Portal in System Center 2012 – Service Managerzu verwenden. Das Self-Service-Portal umfasst zwei Komponenten: einen Microsoft SharePoint-Websiteserver und einen Webinhaltsserver. Wenn Sie SSL im Self-Service-Portalverwenden, müssen Sie SSL-Zertifikate in beiden Komponenten verwenden.

Wenn mit dem Client eine Verbindung mit dem Self-Service-Portalhergestellt wird, wird eine Verbindung mit dem SharePoint-Websiteserver hergestellt. Das Framework des Portals wird dem Client vom SharePoint-Websiteserver bereitgestellt. Der Browser wird vom SharePoint-Server angewiesen, die Silverlight-Komponenten vom Webinhaltsserver herunterzuladen. Daraufhin wird von den Silverlight-Komponenten eine Verbindung mit dem WCF-Dienst (Windows Communication Foundation) auf dem Webinhaltsserver hergestellt. Die URL für den Webinhaltsserver definieren Sie bei der Bereitstellung des SharePoint-Websiteservers. Sie ist die URL des Webinhaltsservers, die dem Client bereitgestellt wird.

Wenn beim Herstellen einer SSL-Verbindung zwischen einem Client und dem Self-Service-Portalein zertifikatbezogenes Problem auftritt, wird eine Zertifikatwarnung angezeigt. Wenn beispielsweise der Name des Clients, der für die URL eingegeben wird, mit dem Computernamen im Zertifikat nicht übereinstimmt, wird eine Namenskonfliktwarnung angezeigt. Der Client hat die Möglichkeit, den Verbindungsaufbau fortsetzen. Wenn jedoch beim Herunterladen von Silverlight-Komponenten vom Webinhaltsserver durch den Computer des Clients ein zertifikatbezogener Fehler auftritt, gibt es keine Möglichkeit, auf die Zertifikatwarnung manuell zu reagieren. Dies führt dazu, dass ein Teil der Self-Service-Portal -Webseite leer bleibt.

Daher sollten Sie folgende Aspekte bei der Verwendung von SSL-Zertifikaten berücksichtigen:

  • Die für das Self-Service-Portal verwendeten Zertifikate müssen von einer Zertifizierungsstelle ausgestellt werden, die vom Client als vertrauenswürdig eingestuft wird.

  • Der Name im Zertifikat für den SharePoint-Websiteserver muss mit der URL übereinstimmen, die Ihre Benutzer im Browser eingeben. Beispiel: Wenn der Benutzer die URL „https://portal/SMPortal“ eingibt, muss das Zertifikat für „portal“ ausgestellt worden sein, und nicht etwa für „portal.woodgrove.com“.

  • Der Name des Zertifikats für den Webinhaltsserver muss mit dem Namen übereinstimmen, den Sie beim Bereitstellen des SharePoint-Websiteservers eingegeben haben.

Port 443 ist der Standardport für SSL. Damit Ihre Benutzer im Browser keine Portnummer eingeben müssen, wenn sie eine Verbindung mit dem Self-Service-Portalherstellen, sollten Sie beim Bereitstellen des SharePoint-Websiteservers Port 443 angeben. Da die URL für den Webinhaltsserver von Benutzern nicht eingegeben wird (die URL des Webinhaltsservers wird dem Client bereitgestellt, wenn Benutzer eine Verbindung mit dem SharePoint-Websiteserver herstellen), können Sie für den SSL-Port auf dem Webinhaltsserver einen anderen Port als Port 443 (z. B. Port 444) verwenden. Wenn Sie den SharePoint-Websiteserver und den Webinhaltsserver auf einem Computer bereitstellen, werden Sie zuerst aufgefordert, die Optionen für den Webinhaltsserver einzugeben. Danach installieren Sie den SharePoint-Websiteserver. Wenn Sie also zum ersten Mal aufgefordert werden, eine Portnummer einzugeben, gilt diese für den Webinhaltsserver, und Sie sollten nicht Port 443 verwenden, wenn Sie den SharePoint-Websiteserver auf demselben Computer installieren möchten. Wenn Sie während der Bereitstellung aufgefordert werden, die zweite Portnummer einzugeben, gilt diese für den SharePoint-Websiteserver. Nun sollten Sie Port 443 angeben.

Bei der Bereitstellung von SharePoint-Websiteserver und Webinhaltsserver auf einem Computer benötigen Sie nur ein Zertifikat. Dieses Zertifikat kann für beide Ports verwendet werden. Bei der Bereitstellung von SharePoint-Websiteserver und Webinhaltsserver auf unterschiedlichen Servern (in einer Produktionsumgebung zu empfehlen) benötigen Sie ein Zertifikat für jeden Computer.

Zertifikate werden nach dem Namen des Antragstellers bezeichnet, und Antragstellernamen in Zertifikaten müssen nicht eindeutig sein. Beim Setup von Service Manager werden Zertifikate nach Antragstellername aufgelistet. Daher ist es möglich, dass bei der Bereitstellung des Self-Service-Portals mehrere Zertifikate mit demselben Namen angezeigt werden. Wenn Sie das zweite Zertifikat in der Liste mit verfügbaren Zertifikaten auswählen, besteht die Möglichkeit, dass von Service Manager das erste Zertifikat in der Liste verwendet wird. Dies kann vor allem dann problematisch sein, wenn vom Client eine Verbindung mit dem Webinhaltsserver hergestellt wird, da es hier keine Möglichkeit des manuellen Eingriffs gibt. Ändern Sie zum Beheben dieses Problems das Zertifikat in Internetinformationsdienste-Manager (IIS).

In den folgenden Abschnitten werden die Schritte zum Beheben von SSL-bezogenen Problemen beschrieben, die im Zusammenhang mit dem Self-Service-Portalauftreten können.

„Ausgestellt für“-Name des Zertifikats

Die Adresse, die Sie im Browser eingeben, um eine Verbindung mit der SharePoint-Website herzustellen, und die Adresse des Webinhaltsservers, die auf der SharePoint-Website definiert wurde, müssen mit dem jeweiligen „Ausgestellt für“-Namen im zugehörigen Zertifikat oder in den zugehörigen Zertifikaten übereinstimmen. Wenn die Adresse, die Sie beim Herstellen einer Verbindung mit der SharePoint-Website im Browser eingeben, mit dem „Ausgestellt für“-Namen im Zertifikat nicht übereinstimmt, wird eine Zertifikatwarnung angezeigt. Zudem wird der Hintergrund der Adresszeile im Browser rot angezeigt. Wenn die auf der SharePoint-Website konfigurierte Adresse des Webinhaltsservers mit dem „Ausgestellt für“-Namen auf dem Zertifikat nicht übereinstimmt, bleibt der mittlere Frame im Browser leer, wie in der folgenden Abbildung dargestellt.

Leerinhalt vom Webinhaltsserver

Namenskonflikt auf der SharePoint-Website

Wenn die Adresse, die Sie beim Herstellen einer Verbindung mit der SharePoint-Website im Browser eingeben, mit der „Ausgestellt für“-Adresse im Zertifikat nicht übereinstimmt, haben Sie folgende Möglichkeiten:

  • Den Vorgang nach der Warnung fortsetzen

  • Den Namen in der Adresszeile im Browser so ändern, dass er mit dem „Ausgestellt für“-Namen im Zertifikat übereinstimmt

  • Ein neues Zertifikat abrufen, bei dem der „Ausgestellt für“-Name mit der Adresse übereinstimmt, die Sie im Browser eingeben möchten

Namenskonflikt beim Webinhaltsserver

Wenn die auf der SharePoint-Website konfigurierte Adresse für den Webinhaltsserver mit der „Ausgestellt für“-Adresse im Zertifikat auf dem Webinhaltsserver nicht übereinstimmt, bleibt der mittlere Frame im Self-Service-Portal leer. In diesem Fall haben Sie folgende Möglichkeiten:

  • Ein neues Zertifikat für den Webinhaltsserver abrufen, das mit der auf der SharePoint-Website konfigurierten URL übereinstimmt

  • Die auf der SharePoint-Website gespeicherte Adresse für den Webinhaltsserver so konfigurieren, dass sie mit dem „Ausgestellt für“-Namen im Zertifikat übereinstimmt, das für den Webinhaltsserver verwendet wird

Zertifikate müssen vertrauenswürdig sein

Stellen Sie sicher, dass die Zertifizierungsstelle, von der Ihre Zertifikate ausgegeben wurden, im Speicher der vertrauenswürdigen Stammzertifizierungsstelle für die Clients mit Zugriff auf die Website aufgeführt wird. Informationen zum Ermitteln, ob ein Zertifikat vertrauenswürdig ist, finden Sie unter How to Examine Properties of a Certificate.

Themen zu SSL-Zertifikaten für das Self-Service-Portal