Einstellungen für das TLS-Zertifikat - Wickr Enterprise
Let's EncryptAngeheftetes ZertifikatAnbieter von ZertifikatenGenerieren eines selbstsignierten Zertifikats

Dieses Handbuch enthält Dokumentation für Wickr Enterprise. Wenn Sie AWS Wickr verwenden, finden Sie weitere Informationen im AWS Wickr Administration Guide oder im AWS Wickr User Guide.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellungen für das TLS-Zertifikat

Laden Sie ein PEM-Zertifikat und einen privaten Schlüssel zum Beenden von TLS hoch. Der alternative Name des Antragstellers auf dem Zertifikat muss mit dem Hostnamen übereinstimmen, der in den Einstellungen Ihrer Wickr Enterprise-Bereitstellung konfiguriert wurde.

Verketten Sie für das Feld „Zertifikatskette“ vor dem Hochladen alle Zwischenzertifikate (falls erforderlich) mit dem Root-CA-Zertifikat.

Let's Encrypt

Wählen Sie diese Option, um mithilfe von Let's Encrypt automatisch ein Zertifikat zu generieren. Zertifikate werden mithilfe der HTTP-01-Challenge über den cert-manager-Operator ausgestellt.

Die HTTP-01-Herausforderung erfordert, dass der gewünschte DNS-Name zum Eingangspunkt für Ihren Cluster (normalerweise ein Load Balancer) aufgelöst wird und der Datenverkehr zum TCP-Port 80 öffentlich zugänglich ist. Diese Zertifikate sind kurzlebig und werden regelmäßig erneuert. Es ist notwendig, Port 80 offen zu halten, damit die Zertifikate automatisch erneuert werden können.

Anmerkung

Dieser Abschnitt bezieht sich ausdrücklich auf das Zertifikat, das von der Wickr Enterprise-Anwendung selbst verwendet wird.

Angeheftetes Zertifikat

Wickr Enterprise erfordert das Pinning von Zertifikaten, wenn selbstsignierte Zertifikate oder Zertifikate verwendet werden, denen Client-Geräte nicht vertrauen. Wenn das von Ihrem Load Balancer vorgelegte Zertifikat selbst signiert ist oder von einer anderen Zertifizierungsstelle als der Wickr Enterprise-Installation signiert wurde, laden Sie das CA-Zertifikat hier hoch, damit sich die Clients stattdessen daran anheften können.

In den meisten Situationen ist diese Einstellung nicht erforderlich.

Anbieter von Zertifikaten

Wenn Sie vorhaben, ein Zertifikat zur Verwendung mit Wickr Enterprise zu erwerben, finden Sie unten eine Liste von Anbietern, deren Zertifikate bekanntermaßen standardmäßig ordnungsgemäß funktionieren. Wenn ein Anbieter unten aufgeführt ist, wurden seine Zertifikate explizit mit der Software validiert.

  • Digicert

  • Schnelles SSL

Generieren eines selbstsignierten Zertifikats

Wenn Sie Ihr eigenes selbstsigniertes Zertifikat für die Verwendung mit Wickr Enterprise erstellen möchten, enthält der folgende Beispielbefehl alle erforderlichen Flags für die Generierung.

openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"

Wenn Sie ein IP-basiertes, selbstsigniertes Zertifikat erstellen möchten, verwenden Sie stattdessen den folgenden Befehl. Um das IP-basierte Zertifikat zu verwenden, stellen Sie sicher, dass das Feld Wildcard Hostname in den Ingress-Einstellungen aktiviert ist. Weitere Informationen finden Sie unter Ingress-Einstellungen.

openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
Anmerkung

Ersetzen Sie $YOUR_DOMAIN im Beispiel durch den Domainnamen oder die IP-Adresse, die Sie verwenden möchten.