Untergeordnete Seiten
  • Hipchat Server Dokumentation - Erstellung oder Beziehung von SSL-Zertifikaten und -Schlüsseln
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Auf dieser Seite:

Auf dieser Seite wird beschrieben wie Sie einen privaten Schlüssel und ein SSL-Zertifikat für Ihren Hipchat Server erhalten. Diese werden benötigt, um die webbasierten Administrations-Seiten und die in Hipchat Server verschickte Nachrichten mit HTTPS zu verschlüsseln.


Wie die SSL-Zertifikate funktionieren

Sind Sie mit SSL-Zertifikaten nicht vertraut oder benötigen Sie eine Auffrischung? Lesen Sie wie SSL-Zertifikate funktionieren (auf Englisch).


Hipchat Server und SSL-Zertifikate

Jede Hipchat Server Installation verfügt bereits über einen individuellen privaten Schlüssel und ein selbst signiertes Zertifikat. Dadurch ist es Ihnen möglich, Hipchat Server während der Testphase zu benutzen. Sobald Sie Hipchat Server produktiv in Ihrem Unternehmen einsetzen möchten, empfehlen wir Ihnen unbedingt Ihren eigenen privaten Schlüssel und ein eigenes SSL-Zertifikat zu verwenden.

Verwenden Sie Ihren eigenen privaten Schlüssel und ein eigenes SSL-Zertifikat, wenn Sie Hipchat Server in Ihrem Unternehmen einführen. Das selbst signierte Zertifikat limitiert die nativen Hipchat Clients und Hipchat Integrationen in einigen Funktionen und, wie bei allen selbst signierten Zertifikaten, macht es Sie für sogenannte "Man-in-the-Middle-Angriffe" verwundbar.

So erhalten Sie einen eigenen privaten Schlüssel und ein SSL-Zertifikat:

  • Eventuell bestehen bereits ein privater Schlüssel und ein SSL-Zertifikat in Ihrem Unternehmen. Fragen Sie also zuerst in Ihrem IT-, Netzwerk-, oder Sicherheitsteam nach. Wenn Sie den privaten Schlüssel und das SSL-Zertifikat Ihres Unternehmens haben, können Sie zum folgenden Punkt auf dieser Seite springen.
  • Besitzt Ihr Unternehmen keinen privaten Schlüssel und kein SSL-Zertifikat, dann folgen Sie den Schritten im folgenden Abschnitt.


Generierung eines privaten Schlüssels und CSR, um ein SSL-Zertifikat zu erhalten

Besitzt Ihr Unternehmen noch keinen privaten Schlüssel und kein SSL-Zertifikat, dann folgen Sie der Anleitung dieses Abschnitts. Er erklärt wie Sie Ihren eigenen privaten Schlüssel und ein "certificate signing request" (CSR) generieren, den Sie dazu verwenden können um ein eigenes SSL-Zertifikat zu erhalten.

  1. Generieren Sie einen privaten Schlüssel.
  2. Generieren Sie einen "certificate signing request" (CSR).
  3. Senden Sie den CSR an eine Zertifizierungsstelle. Diese senden Ihnen dann wiederum ein SSL-Zertifikat (Sie können online nach Zertifizierungsstellen suchen).
  4. Sobald Sie Ihre SSL-Zertifizierung haben, ersetzen Sie den standardmäßigen, privaten Schlüssel und das selbst signierte Zertifikat von Hipchat Server mit Ihrem eigenen. 

Generieren Sie einen privaten Schlüssel

Falls Sie nicht bereits einen privaten Schlüssel haben, können Sie Ihren eigenen mit Openssl erstellen.

  1. Gehen Sie zur Befehlszeilen-Schnittstelle (CLI):
    - Wenn Sie Hipchat Server mit einer Open Archive (OVA) Datei aufgesetzt haben, dann öffnen Sie die Konsole Ihrer virtuellen Maschine.
    - Wenn Sie Hipchat Server mithilfe einer Amazon Machine Image (AMI) aufgesetzt haben, dann öffnen Sie die Befehlszeilen-Schnittstelle (CLI) und tippen Sie folgendes ein:

    ssh admin@Hipchat.example.com

    Anstelle von Hipchat.example.com geben Sie Ihren vollständigen Domänennamen (FQDN) ein. (Sie können auch die IP-Adresse von Hipchat Server verwenden.)

  2. Um den privaten Schlüssel zu generieren, starten Sie den folgenden Befehl:
     

    openssl genrsa -out <fqdn>.key 2048

    Anstelle von "fqdn" schreiben Sie Ihren vollständigen Domänennamen hin, z. B. Hipchat.example.com.
    Dieser Befehl gibt Ihnen einen neuen privaten Schlüssel, z. B. Hipchat.example.com.key.

  3. Zum Downloaden des privaten Schlüssels vom Server auf das aktuelle Verzeichnis Ihrer lokalen Maschine, starten Sie den folgenden Befehl: 
     

    scp admin@fqdn.com:/path/to/fqdn.key .
    1. Anstelle von "fqdn", schreiben Sie Ihren vollständigen Domänennamen hin, z. B. Hipchat.example.com.
      (Warnung) Sie können auch diesen Befehl starten less fqdn.key  um den privaten Schlüssel einzusehen und diesen anschließend zu kopieren.
      (Warnung) Wenn Sie die Amazon Machine Image (AMI) verwenden, benutzen Sie die -i Option um Ihren privaten SSH-Schlüssel zu erhalten.

  4. Geben Sie das SSH-Passwort von Hipchat Server ein, wenn es abgefragt wird.
  5. Speichern Sie Ihren privaten Schlüssel an einer sicheren Stelle. Atlassian empfiehlt dafür einen sicheren Passwortmanager wie KeePass.
  6. Folgen Sie den Schritten im nächsten Abschnitt.

 

Generierung eines CSRs 

  1. Gehen Sie zur Befehlszeilenschnittstelle (CLI):
    Wenn Sie Hipchat mit einer Open Archive (OVA) Datei aufgesetzt haben, öffnen Sie die Konsole Ihrer virtuellen Maschine.
    Wenn Sie Hipchat mit einer Amazon Machine Image (AMI) aufgesetzt haben, öffnen Sie die Befehlszeilen-Schnittstelle (CLI) und tippen Sie folgendes ein:
     

    ssh admin@Hipchat.example.com

    Anstelle von "Hipchat.example.com", schreiben Sie Ihren vollständigen Domänennamen (FQDN) hin (oder Sie verwenden die Hipchat IP-Adresse).

  2. Starten Sie folgenden Befehl:

    openssl req -new -key <fqdn>.key -out <fqdn>.csr

    Anstelle von "<fqdn>.key" , schreiben Sie den privaten Schlüssel hinein, den Sie im vorherigen Abschnitt generiert haben und ersetzen Sie "fqdn" mit Ihrem vollständigen Domänennamen, wie z. B. Hipchat.example.com

  3. Beantworten Sie anschließend die Fragen, die Ihnen gestellt werden.
    Beachten Sie: Die Web-Analyse-Tools mancher Zertifizierungs-Stellen akzeptieren keine CSRs mit E-Mail Adressfeldern oder anderen, optionalen Feldern.
  4. Wenn Sie Hipchat Server mithilfe einer Open Archive (OVA) Datei aufgesetzt haben:
    1. Um den CSR vom Server auf das Verzeichnis Ihrer lokalen Maschine herunterzuladen, starten Sie den folgenden Befehl:
       

      scp admin@fqdn.com/fqdn.csr

      Anstelle von "fqdn", schreiben Sie Ihren vollständigen Domänennamen hin, z. B. Hipchat.example.com.
      Beachten Sie: Sie können auch den Befehl "less fqdn.csr" eingeben, um Ihren CSR einzusehen und anschließend zu kopieren.

    2. Geben Sie das SSH-Passwort von Hipchat Server ein, wenn Sie danach gefragt werden.
  5. Wenn Sie Hipchat Server mithilfe der Amazon Machine Image (AMI) aufgesetzt haben, starten Sie folgenden Befehl:

    scp -i path/to/aws.key admin@fqdn.com/fqdn.csr

    Anstelle von "fqdn", schreiben Sie Ihren vollständigen Domänennamen hin, z. B. Hipchat.example.com und "aws.key" ist der private Schlüssel von Hipchat Server.
    Beachten Sie: Sie können auch den Befehl "less fqdn.csr" ausführen, um Ihren CSR einzusehen und ihn anschließend zu kopieren.

  6. Speichern Sie Ihren CSR an einem sicheren Ort.
  7. Senden Sie Ihren CSR an eine Zertifizierungsstelle (CA), die ein SSL-Zertifikat für Sie erstellt (Sie können online nach CAs suchen).
  8. Wenn Sie Ihr Zertifikat haben, ersetzen Sie den standardmäßigen privaten Schlüssel und das selbst signierte Zertifikat durch Ihre eigenen.

Ersetzen Sie den privaten Schlüssel und das selbst signierte Zertifikat von Hipchat Server

Sobald Sie Ihren eigenen privaten Schlüssel und Ihr signiertes Zertfikat haben, können Sie damit den privaten Schlüssel und das selbst signierte Zertifikat von Hipchat Server ersetzen.

 

Ihr privater Schlüssel darf nicht passwortgeschützt sein.

 

  1. Verknüpfen Sie Ihren privaten Schlüssel und Ihr SSL-Zertifikat in einem Text-Editor, im folgenden Format:

    -----BEGIN CERTIFICATE----- 
    (Primary SSL certificate: your_domain_name.crt) 
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE----- 
    (All required intermediate certificate files: intermediates.crt) 
    -----END CERTIFICATE----- 
    -----BEGIN RSA PRIVATE KEY----- 
    (The private key you generated: fqdn.key) 
    -----END RSA PRIVATE KEY-----



  2. Speichern Sie diese Datei mit einem wie folgt aufgebauten Dateinamen: Ihr_Domain_Name.pem
    Beachten Sie: Eine .pem-Datei ist bloß eine Base64-verschlüsselte .der-Datei.
  3. Kopieren Sie den Inhalt Ihrer .pem-Datei.
  4. Loggen Sie sich in Hipchat Server ein, indem Sie den vollständigen Domänennamen (zum Beispiel https://Hipchat.example.com) oder die Hipchat Server IP-Adresse (zum Beispiel https://IPv4) verwenden.
  5. Klicken Sie auf "Server admin" > "SSL".
  6. Fügen Sie den Text in das entsprechende Feld ein.
  7. Klicken Sie auf "Modify".
    Beachten Sie: Die Dienste werden wegen dem neuen privaten Schlüssel und dem SSL-Zertifikat neugestartet. Dies kann einige Minuten in Anspruch nehmen. Nachdem sie neugestartet wurden, sollten Sie ein Schloss-Symbol neben Ihrer Hipchat Server URL im Browser sehen (wenn Sie das Symbol nicht sehen, dann vertraut Ihr Browser dem SSL-Zertifikat nicht. Überprüfen Sie in diesem Fall bitte Ihren privaten Schlüssel und Ihr SSL-Zertifikat in Ihrer .pem-Datei auf deren Richtigkeit).
  8. Klicken Sie auf das Schloss-Symbol um zu verifizieren, dass das neue Zertifikat aktiv ist. Ob es aktiv ist und Ihr Browser dem Zertifikat vertraut, sehen Sie daran, dass die SSL-Details den Namen und die Organisation Ihres Zertifikats anzeigen.

 

Wir empfehlen ausdrücklich das Root-CA-Zertifikat nicht in die SSL-Zertifikatskette zu inkludieren, weil dadurch Vertrauensprobleme entstehen könnten.

Den aktuellen privaten Schlüssel und das SSL-Zertifikat einsehen

Sie können den privaten Schlüssel und das SSL-Zertifikat, die aktuell für Hipchat Server konfiguriert sind, über die Hipchat Server Weboberfläche einsehen.

  1. Loggen Sie sich über den vollständigen Domänennamen (zum Beispiel https://Hipchat.example.com) oder über die Hipchat Server IP-Adresse (zum Beispiel https://IPv4) in Hipchat Server ein.
  2. Klicken Sie auf "Server admin" > "SSL".
    Beachten Sie: Das mitgelieferte selbst signierte Zertifikat von Hipchat Server wird hierbei nicht angezeigt.

Sie können auch den folgenden Befehl in die CLI eingeben:

  1. Gehen Sie zur Befehlszeilenschnittstelle (CLI):
    Wenn Sie Hipchat Server mithilfe einer Open Archive (OVA) Datei aufgesetzt haben, öffnen Sie die Konsole Ihrer viruellen Maschine.
    Wenn Sie Hipchat Server mithilfe einer Amazon Machine Image (AMI) aufgesetzt haben, öffnen Sie die Befehlszeilenschnittstelle (CLI) und tippen Sie folgendes ein:

    ssh admin@Hipchat.example.com

    Anstelle von "Hipchat.example.com", schreiben Sie Ihren vollständigen Domänennamen (FQDN) hin, oder alternativ die Hipchat Server IP-Adresse.

  2. Geben Sie folgenden Befehl ein:

    Hipchat ssl --show

    Beachten Sie: Das mitgelieferte, selbst signierte Zertifikat von Hipchat Server wird hierbei nicht angezeigt.

SSL-Zertifikate für Integrationen installieren

Wenn Sie andere Applikationen in Hipchat Server integrieren, müssen Sie möglicherweise SSL-Zertifikate von anderen Zertifizierungsstellen (CAs) für diese Integrationen installieren.

  1. Kopieren Sie die Dateien des SSL-Zertfikats der entsprechenden Intragtion in das folgende Verzeichnis:
     

    /usr/local/share/ca-certificates
  2. Starten Sie folgende Befehle, um Ihre SSL-Zertifikate zu aktualisieren:
     

    sudo update-ca-certificates
    Hipchat service --restart

    Die Dienste werden durch die neuen SSL-Zertifikate neugestartet.

Tipps für Ubuntu Desktop Benutzer

Wenn Sie Ubuntu Desktop und den Hipchat Linux Client benutzen, dann können Sie die folgenden Befehle zur Aktualisierung und Verbindung Ihrer vertrauenswürdigen Root-CA-Zertifikate (und aller dazwischenliegenden Zertifikate) mit Hipchat Server verwenden:

/etc/ssl/certs							# the major default certificates (.crt)
/usr/local/share/ca-certificates		# user imported certificates
copy or create /usr/local/share/ca-certificates/MyNewCA.crt
sudo update-ca-certificates

Störungsbehebung

Viele Probleme im Bezug auf Zertifikate haben Ihren Ursprung in falsch angelegten .pem-Dateien. Probieren Sie folgendes aus:

  1. Erstellen Sie die .pem-Datei erneut. Stellen Sie sicher, dass die Zeilenumbrüche korrekt sind.
  2. Loggen Sie sich im Hipchat Server über den vollständigen Domänennamen (z. B. https://Hipchat.example.com) oder die IP-Adresse (z. B. https://IPv4) ein.
  3. Klicken Sie auf "Server admin" > "SSL".
  4. Fügen Sie den Schlüssel und den Zertifikatstext in das entsprechende Feld ein.
  5. Klicken Sie auf "Modify".

Wenn nach der Installation des SSL-Zertifikats oder des Schlüssels die Weboberfläche nach 10 Minuten immer noch nicht erreichbar ist, wechseln Sie wieder zum selbst signierten Zertifikat zurück.

 

Für weitere Informationen über Problemlösungen bei der Konfiguration von SSL-Zertifikaten, lesen Sie bitte die Hipchat Knowledge Base (auf Englisch) und den Hipchat Server SSL Installations- und Problemlösungs-Guide (auf Englisch).

Rückkehr zum selbst signierten Zertifikat

Wenn Sie Probleme mit dem von Ihnen installierten privaten Schlüssel oder dem SSL-Zertifikat haben, können Sie zum selbst signierten Zertifikat zurückkehren.

Um ein neues selbst signiertes Zertifikat zu generieren und zu aktivieren, starten Sie bitte den folgenden Befehl:

HipChat Befehlszeile
Hipchat certificates --selfsign

Das selbst signierte Zertifikat hat einen "CommonName", der identisch zum Domänennamen (FQDN) von Hipchat Server ist.



Hipchat Server


  • Keine Stichwörter