Datenschutzhinweis

 

Beim Laden dieses Inhalts werden Nutzungsinformationen an Vimeo übertragen und dort ggf. verarbeitet.

 

             

Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Zertifikatsverwaltung

            Geändert am Mi, 4 Mär um 2:35 NACHMITTAGS

            8.5.0


            Die Zertifikatsverwaltung ermöglicht die zentrale und benutzerspezifische Verwaltung von Zertifikaten, Schlüsselpaaren und Schlüsselbunden. Sie dient der Absicherung von Verbindungen, der E-Mail-Verschlüsselung, der Dokumentsignatur sowie der sicheren Kommunikation zwischen Systemkomponenten.


            Inhalt


            Ebenen der Zertifikatsverwaltung

            Die Verwaltung ist in drei Ebenen gegliedert.


            Systemebene

            Zertifikate und Einstellungen gelten mandantenübergreifend. Hier werden globale Zertifikate gepflegt und Standardverhalten definiert. Zudem können alle Benutzerzertifikate eingesehen werden.


            Zertifikatsverwaltung auf Systemebene


            Mandantenebene

            Zertifikate wirken ausschließlich innerhalb des jeweiligen Mandanten. Diese Ebene ist relevant, wenn Mandanten eigene Verbindungs- oder Signaturzertifikate benötigen.


            Zertifikatsverwaltung auf Mandantenebene


            Benutzerebene

            Einzelne Benutzer verwalten ihre persönlichen Zertifikate, z.B. für E-Mail-Signatur oder Dokumentensignatur. Die verfügbaren Zertifikatstypen sind hier auf ''E-Mail-Schutz'' und ''Dokumenten-Signatur'' eingeschränkt. Erweiterte Filterfunktionen stehen nicht zur Verfügung und der Schlüsselbund ist fest vorgegeben.



            Zertifikatsverwaltung auf Benutzerebene


            Verwaltung von Schlüsselbund und Keystore-Struktur

            Ein Schlüsselbund, erkennbar am Symbol, ist ein Container für Zertifikate und zugehörige Schlüsselpaare. Ein Keystore kann mehrere Zertifikate enthalten. Für ein Schlüsselpaar wird ein Passwort vergeben, dieses kann leer sein, wird jedoch aus Sicherheitsgründen empfohlen.


            Keystores lassen sich mit Passwortschutz importieren. Wird das letzte Zertifikat innerhalb eines Schlüsselbundes gelöscht, verschwindet auch der zugehörige Schlüsselbund automatisch.


            Der Import ist ausschließlich für Zertifikate und Keystores möglich. Beim Export stehen alle Formate zur Verfügung.



            Zertifikatsübersicht mit Schlüsselbund-Struktur


            Zertifikatstypen

            Beim Erstellen eines Zertifikats stehen folgende Typen zur Auswahl:

            • Dokumenten-Signatur - für das Signieren von PDF-Dokumenten
            • E-Mail-Schutz - für S/MIME-Verschlüsselung und -Signatur von E-Mails
            • TLS Web Client Authentifizierung - für die Absicherung von Verbindungen zu Drittsystemen
            • Zertifizierungsstelle (Certificate Authority, CA) - Root- oder Intermediate-CA, mit der weitere Zertifikate signiert werden können


            Auswahl des Zertifikatstyps im Zertifikatsassistenten


            Zertifikate erstellen

            Neue Zertifikate werden über den Zertifikatsassistenten erzeugt. Dabei werden Angaben wie Organisation, Organisationseinheit, Ort, Staat und Land erfasst. Zusätzlich kann der Zertifikatstyp gewählt werden, beispielsweise eine Zertifizierungsstelle.


            Erweiterte Einstellungen wie Schlüsselalgorithmus oder Schlüssellänge sind optional einblendbar, um die Konfiguration bewusst einfach zu halten.


            Zertifikatsassistent zur Erstellung eines neuen Zertifikats


            Zertifikate exportieren

            Beim Export kann sowohl das zu exportierende Element als auch das Dateiformat gewählt werden.


            Exportierbare Elemente:

            • Zertifikat - PEM, DER, PKCS#7
            • Öffentlicher Schlüssel - PEM
            • Privater Schlüssel - PKCS#8, PKCS#8 PEM (Keystore-Passwort erforderlich)
            • Schlüsselpaare - PKCS#12 (Keystore-Passwort erforderlich)
            • Certificate Signing Request (CSR) - PEM


            Element- und Formatauswahl


            CA-Zertifikate und Signierung

            Ein CA-Zertifikat (Root- oder Intermediate-CA) kann andere Zertifikate signieren. Als übergeordnetes (Parent-)Zertifikat darf nur ein Zertifikat mit CA-Eigenschaft verwendet werden. Zertifikate werden entweder von einer Root-CA oder einer Intermediate-CA signiert.


            Wird ein extern signiertes Zertifikat hochgeladen, wird es automatisch dem zugehörigen Ursprungszertifikat zugeordnet. Ein CSR-Export ist möglich, um ein Zertifikat extern signieren zu lassen.


            Automatische Erneuerung

            Für alle in formcycle neu erstellten Zertifikate ist die automatische Erneuerung standardmäßig aktiviert und muss bei Bedarf manuell deaktiviert werden. Für importierte Zertifikate steht diese Funktion nicht zur Verfügung.


            Ein erneuertes Zertifikat behält alle ursprünglichen Metadaten, enthält jedoch neue Schlüsselwerte und eine neue Seriennummer. In Workflows wird stets automatisch das aktuell gültige Zertifikat verwendet. Bei Ablauf erfolgt eine einmalige E-Mail-Benachrichtigung.


            Warnsystem und Statusanzeige

            Die Zertifikatsverwaltung verfügt über ein visuelles Warnsystem. Der Status wird über eine farbliche Kennzeichnung angezeigt - sowohl am einzelnen Zertifikat als auch am übergeordneten Schlüsselbund-Symbol:

            • Schwarz - Das Zertifikat ist gültig.
            • Gelb - Das Zertifikat läuft bald ab oder weist ein Problem auf.
            • Rot - Das Zertifikat ist abgelaufen.

            So lassen sich kritische Zertifikate auf einen Blick erkennen und rechtzeitig erneuern.



            Zertifikatsliste mit den jeweiligen Statusmarkierungen


            Trust-Prompt bei Verbindungen

            Beim Aufbau einer Verbindung zu einem Drittsystem (z.B. LDAP, WebDAV) kann der Zertifikatsassistent als Trust-Prompt-Dialog erscheinen. Dieser zeigt die Zertifikatskette des Servers an, inklusive SHA-256-Fingerabdruck und Ausstellerinformationen und ermöglicht die Auswahl des Schlüsselbunds, in dem das Zertifikat gespeichert werden soll.


            Solange einem Zertifikat nicht vertraut wird, wird keine Verbindung aufgebaut. Nach Bestätigung wird das Zertifikat dauerhaft in den gewählten Schlüsselbund übernommen und künftig als vertrauenswürdig behandelt. Es wird empfohlen, dem Root- oder Intermediate-Zertifikat zu vertrauen, um die Vertrauenskette korrekt zu etablieren.


            Für Datenbankverbindungen (aktuell nur PostgreSQL) müssen zusätzlich ein passendes Zertifikat und ein geeigneter Treiber vorhanden sein.



            Trust-Prompt-Dialog mit Zertifikatskette


            Frontend-Server und Zertifikate

            In den Systemeinstellungen unter ''Frontend-Server'' können SSL-Verbindungseinstellungen inklusive Zertifikatinformationen konfiguriert werden. Die Verbindungsinformationen (Erreichbarkeit, Ping, Zertifikatstatus, Verbindungsstatus, Ablaufdatum) sind direkt in der Oberfläche einsehbar.


            Wird ''Zertifikat neu erstellen'' ausgeführt, muss der Frontend-Server anschließend neu gestartet werden und das neue Zertifikat muss erneut als vertrauenswürdig bestätigt werden.



            Frontend-Server Verbindungseinstellungen mit Zertifikatsstatus


            application.properties (Frontend-Server)

            Für den Frontend-Server stehen neue Properties zur Konfiguration bereit. Eine vollständige Übersicht aller verfügbaren Properties findet man im Artikel Anwendungseinstellungen.


            Systemeinstellungen der Zertifikatsverwaltung

            Unter ''Systemeinstellungen -> Allgemein -> Zertifikatsverwaltung'' kann das Standardverhalten definiert werden. 

            Eine detaillierte Beschreibung aller Optionen findet man im Artikel ''Allgemein''


            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0
            © Copyright 2026 formcycle ein Produkt der XIMA Media GmbH
            Impressum | Datenschutz