SSL-Zertifikate für das Self-Service-Portal
Veröffentlicht: Juli 2016
Gilt für: System Center 2012 SP1 - Service Manager, System Center 2012 R2 Service Manager, System Center 2012 - Service Manager
Es wird dringend empfohlen, SSL-Zertifikate (Secure Sockets Layer) in Verbindung mit dem Self-Service-Portal in System Center 2012 – Service Managerzu verwenden. Das Self-Service-Portal umfasst zwei Komponenten: einen Microsoft SharePoint-Websiteserver und einen Webinhaltsserver. Wenn Sie SSL im Self-Service-Portalverwenden, müssen Sie SSL-Zertifikate in beiden Komponenten verwenden.
Wenn mit dem Client eine Verbindung mit dem Self-Service-Portalhergestellt wird, wird eine Verbindung mit dem SharePoint-Websiteserver hergestellt. Das Framework des Portals wird dem Client vom SharePoint-Websiteserver bereitgestellt. Der Browser wird vom SharePoint-Server angewiesen, die Silverlight-Komponenten vom Webinhaltsserver herunterzuladen. Daraufhin wird von den Silverlight-Komponenten eine Verbindung mit dem WCF-Dienst (Windows Communication Foundation) auf dem Webinhaltsserver hergestellt. Die URL für den Webinhaltsserver definieren Sie bei der Bereitstellung des SharePoint-Websiteservers. Sie ist die URL des Webinhaltsservers, die dem Client bereitgestellt wird.
Wenn beim Herstellen einer SSL-Verbindung zwischen einem Client und dem Self-Service-Portalein zertifikatbezogenes Problem auftritt, wird eine Zertifikatwarnung angezeigt. Wenn beispielsweise der Name des Clients, der für die URL eingegeben wird, mit dem Computernamen im Zertifikat nicht übereinstimmt, wird eine Namenskonfliktwarnung angezeigt. Der Client hat die Möglichkeit, den Verbindungsaufbau fortsetzen. Wenn jedoch beim Herunterladen von Silverlight-Komponenten vom Webinhaltsserver durch den Computer des Clients ein zertifikatbezogener Fehler auftritt, gibt es keine Möglichkeit, auf die Zertifikatwarnung manuell zu reagieren. Dies führt dazu, dass ein Teil der Self-Service-Portal -Webseite leer bleibt.
Daher sollten Sie folgende Aspekte bei der Verwendung von SSL-Zertifikaten berücksichtigen:
Die für das Self-Service-Portal verwendeten Zertifikate müssen von einer Zertifizierungsstelle ausgestellt werden, die vom Client als vertrauenswürdig eingestuft wird.
Der Name im Zertifikat für den SharePoint-Websiteserver muss mit der URL übereinstimmen, die Ihre Benutzer im Browser eingeben. Beispiel: Wenn der Benutzer die URL „https://portal/SMPortal“ eingibt, muss das Zertifikat für „portal“ ausgestellt worden sein, und nicht etwa für „portal.woodgrove.com“.
Der Name des Zertifikats für den Webinhaltsserver muss mit dem Namen übereinstimmen, den Sie beim Bereitstellen des SharePoint-Websiteservers eingegeben haben.
Port 443 ist der Standardport für SSL. Damit Ihre Benutzer im Browser keine Portnummer eingeben müssen, wenn sie eine Verbindung mit dem Self-Service-Portalherstellen, sollten Sie beim Bereitstellen des SharePoint-Websiteservers Port 443 angeben. Da die URL für den Webinhaltsserver von Benutzern nicht eingegeben wird (die URL des Webinhaltsservers wird dem Client bereitgestellt, wenn Benutzer eine Verbindung mit dem SharePoint-Websiteserver herstellen), können Sie für den SSL-Port auf dem Webinhaltsserver einen anderen Port als Port 443 (z. B. Port 444) verwenden. Wenn Sie den SharePoint-Websiteserver und den Webinhaltsserver auf einem Computer bereitstellen, werden Sie zuerst aufgefordert, die Optionen für den Webinhaltsserver einzugeben. Danach installieren Sie den SharePoint-Websiteserver. Wenn Sie also zum ersten Mal aufgefordert werden, eine Portnummer einzugeben, gilt diese für den Webinhaltsserver, und Sie sollten nicht Port 443 verwenden, wenn Sie den SharePoint-Websiteserver auf demselben Computer installieren möchten. Wenn Sie während der Bereitstellung aufgefordert werden, die zweite Portnummer einzugeben, gilt diese für den SharePoint-Websiteserver. Nun sollten Sie Port 443 angeben.
Bei der Bereitstellung von SharePoint-Websiteserver und Webinhaltsserver auf einem Computer benötigen Sie nur ein Zertifikat. Dieses Zertifikat kann für beide Ports verwendet werden. Bei der Bereitstellung von SharePoint-Websiteserver und Webinhaltsserver auf unterschiedlichen Servern (in einer Produktionsumgebung zu empfehlen) benötigen Sie ein Zertifikat für jeden Computer.
Zertifikate werden nach dem Namen des Antragstellers bezeichnet, und Antragstellernamen in Zertifikaten müssen nicht eindeutig sein. Beim Setup von Service Manager werden Zertifikate nach Antragstellername aufgelistet. Daher ist es möglich, dass bei der Bereitstellung des Self-Service-Portals mehrere Zertifikate mit demselben Namen angezeigt werden. Wenn Sie das zweite Zertifikat in der Liste mit verfügbaren Zertifikaten auswählen, besteht die Möglichkeit, dass von Service Manager das erste Zertifikat in der Liste verwendet wird. Dies kann vor allem dann problematisch sein, wenn vom Client eine Verbindung mit dem Webinhaltsserver hergestellt wird, da es hier keine Möglichkeit des manuellen Eingriffs gibt. Ändern Sie zum Beheben dieses Problems das Zertifikat in Internetinformationsdienste-Manager (IIS).
In den folgenden Abschnitten werden die Schritte zum Beheben von SSL-bezogenen Problemen beschrieben, die im Zusammenhang mit dem Self-Service-Portalauftreten können.
„Ausgestellt für“-Name des Zertifikats
Die Adresse, die Sie im Browser eingeben, um eine Verbindung mit der SharePoint-Website herzustellen, und die Adresse des Webinhaltsservers, die auf der SharePoint-Website definiert wurde, müssen mit dem jeweiligen „Ausgestellt für“-Namen im zugehörigen Zertifikat oder in den zugehörigen Zertifikaten übereinstimmen. Wenn die Adresse, die Sie beim Herstellen einer Verbindung mit der SharePoint-Website im Browser eingeben, mit dem „Ausgestellt für“-Namen im Zertifikat nicht übereinstimmt, wird eine Zertifikatwarnung angezeigt. Zudem wird der Hintergrund der Adresszeile im Browser rot angezeigt. Wenn die auf der SharePoint-Website konfigurierte Adresse des Webinhaltsservers mit dem „Ausgestellt für“-Namen auf dem Zertifikat nicht übereinstimmt, bleibt der mittlere Frame im Browser leer, wie in der folgenden Abbildung dargestellt.
Namenskonflikt auf der SharePoint-Website
Wenn die Adresse, die Sie beim Herstellen einer Verbindung mit der SharePoint-Website im Browser eingeben, mit der „Ausgestellt für“-Adresse im Zertifikat nicht übereinstimmt, haben Sie folgende Möglichkeiten:
Den Vorgang nach der Warnung fortsetzen
Den Namen in der Adresszeile im Browser so ändern, dass er mit dem „Ausgestellt für“-Namen im Zertifikat übereinstimmt
Ein neues Zertifikat abrufen, bei dem der „Ausgestellt für“-Name mit der Adresse übereinstimmt, die Sie im Browser eingeben möchten
Namenskonflikt beim Webinhaltsserver
Wenn die auf der SharePoint-Website konfigurierte Adresse für den Webinhaltsserver mit der „Ausgestellt für“-Adresse im Zertifikat auf dem Webinhaltsserver nicht übereinstimmt, bleibt der mittlere Frame im Self-Service-Portal leer. In diesem Fall haben Sie folgende Möglichkeiten:
Ein neues Zertifikat für den Webinhaltsserver abrufen, das mit der auf der SharePoint-Website konfigurierten URL übereinstimmt
Die auf der SharePoint-Website gespeicherte Adresse für den Webinhaltsserver so konfigurieren, dass sie mit dem „Ausgestellt für“-Namen im Zertifikat übereinstimmt, das für den Webinhaltsserver verwendet wird
Zertifikate müssen vertrauenswürdig sein
Stellen Sie sicher, dass die Zertifizierungsstelle, von der Ihre Zertifikate ausgegeben wurden, im Speicher der vertrauenswürdigen Stammzertifizierungsstelle für die Clients mit Zugriff auf die Website aufgeführt wird. Informationen zum Ermitteln, ob ein Zertifikat vertrauenswürdig ist, finden Sie unter How to Examine Properties of a Certificate.
Themen zu SSL-Zertifikaten für das Self-Service-Portal
Überprüfen der Eigenschaften eines Zertifikats
Hier wird beschrieben, wie Sie erfahren, was der „Ausgestellt für“-Name für ein Zertifikat bedeutet, wie Sie ermitteln, ob das Zertifikat vertrauenswürdig ist, und wie Sie den Zertifikatfingerabdruck festlegen.
Neukonfigurieren der URL des Webinhaltsservers
Hier werden die Verfahren beschrieben, die verwendet werden, wenn Sie für den Webinhaltsserver ein anderes Zertifikat verwenden, als das, das Sie bei der Installation ursprünglich ausgewählt haben.
Auswählen eines Zertifikats für den Webinhaltsserver
Hier wird beschrieben, wie Sie das Zertifikat auswählen, das für den Webinhaltsserver verwendet wird.
Herstellen einer direkten Verbindung zum Webinhaltsserver unter Verwendung eines Browsers
Hier wird beschrieben, wie mit einem Browser eine Verbindung mit dem Webinhaltsserver hergestellt und ein Zertifikat getestet wird.