10.10. Per SSL auf das Admin-Panel zugreifen¶

Bei der Konfiguration von Acronis Cyber Infrastructure müssen Sie auch sensible Informationen wie Anmeldedaten (z.B. für Benutzer- und E-Mail-Konten, S3-Services etc.) und ähnliches eingeben. Das System verwendet standardmäßig ein vorgeneriertes, selbstsigniertes Zertifikat. Sie können aber auch ein Zertifikat hochladen, welches von einer vertrauenswürdigen Zertifizierungsstelle (CA, Certificate Authority) ausgestellt wurde.

Beachten Sie folgende Hinweise, bevor Sie fortfahren:

1. Sie können ein SSL-Zertifikat hochladen, bevor Sie den HV-Cluster erstellen. Wenn Sie jedoch dann den HA-Cluster später erstellen, wird das Admin-Panel zu der gewählten virtuellen IP-Adresse wechseln. Falls Sie das Zertifikat für die aktuelle IP-Adresse des Admin-Panels ausgestellt haben, müssen Sie ein neues SSL-Zertifikat erwerben, das für die virtuelle IP-Adresse ausgestellt ist. Falls Sie das Zertifikat für den Domain-Namen ausgestellt haben, müssen Sie sicherstellen, dass dieser Domain-Name auch tatsächlich in die entsprechende virtuelle IP-Adresse aufgelöst wird.

2. Wenn Sie den HV-Cluster erstellen, rekonfigurieren oder zerstören, wird das aktuelle Zertifikat durch ein vom System generiertes, selbstsigniertes Zertifikat überschrieben. Sie werden Ihr Zertifikat und Ihren Schlüssel nach Abschluss einer der beiden Operationen erneut hochladen müssen.

3. Wenn Sie ein SSL-Zertifikat von einer Zwischenzertifizierungsstelle (Certificate Authority, CA) erworben haben, sollten Sie über ein Endbenutzerzertifikat zusammen mit einem CA-Bundle verfügen, welches die Stamm- und Zwischenzertifikate enthält. Um diese Zertifikate verwenden zu können, müssen Sie diese zunächst zu einer Kette zusammenführen. Eine Zertifikatskette umfasst das Endbenutzerzertifikat, die Zertifikate der Zwischenzertifizierungsstellen und das Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle (Root-CA). In diesem Fall kann einem SSL-Zertifikat nur dann vertrauenswürdig sein, wenn jedes Zertifikat in der Kette ordnungsgemäß ausgestellt und gültig ist.

   Wenn Sie beispielsweise ein Endbenutzerzertifikat, zwei Zertifikate von Zwischenzertifizierungsstellen und ein Zertifikat einer Stammzertifizierungsstelle haben, müssen Sie eine neue Zertifikatsdatei erstellen und dieser alle Zertifikate in folgender Reihenfolge hinzufügen:

   # End-user certificate issued by the intermediate CA 1
   -----BEGIN CERTIFICATE-----
   MIICiDCCAg2gAwIBAgIQNfwmXNmET8k9Jj1X<...>
   -----END CERTIFICATE-----
   # Intermediate CA 1 certificate issued by the intermediate CA 2
   -----BEGIN CERTIFICATE-----
   MIIEIDCCAwigAwIBAgIQNE7VVyDV7exJ9ON9<...>
   -----END CERTIFICATE-----
   # Intermediate CA 2 certificate issued by the root CA
   -----BEGIN CERTIFICATE-----
   MIIC8jCCAdqgAwIBAgICZngwDQYJKoZIhvcN<...>
   -----END CERTIFICATE-----
   # Root CA certificate
   -----BEGIN CERTIFICATE-----
   MIIDODCCAiCgAwIBAgIGIAYFFnACMA0GCSqG<...>
   -----END CERTIFICATE-----
   

Gehen Sie folgendermaßen vor, um ein SSL-Zertifikat hochzuladen:

1. Klicken Sie auf der Registerkarte Einstellungen –> Management-Knoten –> SSL-Zugriff auf den Befehl Upload.
2. Laden Sie ein SSL-Zertifikat hoch, welches für die aktuelle IP-Adresse des Admin-Panels ausgestellt wurde.
3. Laden Sie den privaten Schlüssel hoch. Diese Option wird angezeigt, nachdem ein gültiges Zertifikat hochgeladen wurde.
4. Klicken Sie auf Speichern.

Das hochgeladene Zertifikat wird in die Konfiguration des Webservers aufgenommen, der das Admin-Panel hostet. Anschließend können Sie per HTTPS darauf zugreifen.

Sie können außerdem ein neues, selbstsigniertes Zertifikat anstelle des standardmäßig verwendeten generieren. Es wird jedoch nicht als vertrauenswürdig gelten, weswegen Sie es es in Ihrem Browser manuell akzeptieren müssen.