Systemweiter Admin
Wenn E-ConsentPro TLS-verschlüsselte Verbindungen zu Fremdsystemen beim Kunden aufbaut (z. B. über TLS zu einem SMTP-Server oder einem LDAP-Server), muss das Server-Zertifikat des Zielsystems von E-ConsentPro als vertrauenswürdig eingestuft werden. Diese Systeme sind meist lokal und besitzen daher kein von einer offiziellen Zertifizierungsstelle (CA) signiertes Server-Zertifikat. Stattdessen sind sie in der Regel von der Root-CA des Kunden signiert. Da E-ConsentPro diese Root-CA nicht kennt und ihr nicht vertraut, scheitert der Verbindungsaufbau.
E-ConsentPro als Tomcat- und damit Java-basierte Anwendung hat einen eigenen Satz von vertrauenswürdigen Zertifizierungsstellen (CA). Sie ist unabhängig von den Zertifikaten, die auf dem Host-Betriebssystem oder dem Browser installiert sind, d. h. es reicht nicht aus, dass das Betriebssystem der Root-CA des Kunden vertraut.
Die folgende Beschreibung erklärt, wie die kundenspezifische Root-CA installiert sein muss, dass E-ConsentPro ausgehende TLS-gesicherte Verbindungen zu diesen Drittsystemen herstellen kann.
Das Zertifikat, das am Anfang der Zertifikatskette des Server-Zertifikats des Zielsystems steht, erhalten Sie normalerweise von Ihrer IT-Abteilung. In der Regel liegt es in einem PEM- oder DER-Format vor.
>Kopieren Sie dieses Zertifikat in das Stammverzeichnis von E-ConsentPro. |
Der Java-Truststore enthält alle vertrauenswürdigen Root-CAs. Er befindet sich unter: E-ConsentPro\tomcat\jre\lib\security\cacerts.
>Kopieren Sie diese Datei in das Stammverzeichnis von E-ConsentPro. Vergeben Sie folgenden Namen: E-ConsentPro\cacerts_modified.
Das Arbeiten mit einer Kopie des Truststores stellt sicher, dass dieser Truststore bei einem Update nicht überschrieben wird.
|
Der Import kann mit einem Tool namens "Keytool" durchgeführt werden, das mit der Java-Laufzeitumgebung geliefert wird. Es befindet sich unter E-ConsentPro\tomcat\jre\bin\keytool.exe.
>Öffnen Sie eine Befehlszeile, navigieren Sie zum E-ConsentPro-Stammverzeichnis und führen Sie den folgenden Befehl aus:
tomcat\jre\bin\keytool.exe -keystore cacerts_modified -importcert -alias <customer root CA alias> -file <customer root CA file> -storepass changeit -noprompt
Damit wird das Zertifikat in die Kopie des Java-Truststores importiert. Verwenden Sie als Alias der kundenspezifischen Root-CA eine beliebige Zeichenfolge, mit der Sie das Zertifikat leicht finden können leicht finden können, z. B. den Namen der Einrichtung.
|
1.Öffnen Sie die Anwendung "Monitor E-ConsentPro" und navigieren Sie zum Reiter "Java".
2.Fügen Sie in den "Java-Optionen" die folgenden beiden Zeilen hinzu.
-Djavax.net.ssl.trustStore=C:\E-ConsentPro\cacerts_modified
-Djavax.net.ssl.trustStorePassword=changeit
3.Passen Sie den Pfad zum Truststore an Ihren E-ConsentPro-Installationspfad an.
4.Bestätigen Sie die Änderungen mit "OK".
5.Um die Änderungen zu aktivieren, starten Sie den Dienst "E-ConsentPro-Server" neu. |
Wichtige Hinweise:
Die Anpassung des Java-Truststores überdauert zwar teilweise mehrere Updates von E-ConsentPro, erfordert aber eine gewisse manuelle Pflege:
•Stammzertifizierungsstelle des Kunden hat sich ändert oder läuft aus:
Wiederholen Sie das oben beschriebene Verfahren.
•Online-Bogenaktualisierung schlägt fehl, weil der Thieme-Update-Server nicht vertrauenswürdig ist:
Wiederholen Sie das oben beschriebene Verfahren mit einer neuen Kopie des Truststores.
