Wie importiert man ein SSL-Zertifikat in MKG?

1. Vorbereitung: CSR-Datei erhalten

Für die Beantragung oder Verlängerung eines SSL-Zertifikats benötigen Sie eine CSR-Datei. Für die Verlängerung beim SSL-Anbieter muss jedes Mal dieselbe (ursprüngliche) CSR-Datei verwendet werden. 

Sie finden die CSR unter \\apps\mkg_pas12XX\conf\mkgapi.<domain>.csr auf dem MKG-Server. Sollte diese nicht mehr vorhanden sein, folgen Sie den untenstehenden Schritten, um die CSR erneut zu generieren:

1. Starten Sie einen MKG-Client und melden Sie sich mit einem Konto mit Administratorrechten an.
2. Gehen Sie zu Systemanalyse > Initiale CSR-Datei erneut generieren.
3. Geben Sie die Organisationsdaten ein.
4. Bei Keystore-Daten:
   • Geben Sie das Keystore-Passwort ein.
     • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keypass).
   • Geben Sie den Alias ein.
     • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keyalias).
5. Die CSR erscheint in einem Pop-up und wird im angegebenen Verzeichnis gespeichert.

2. Vorbereitung: SSL-Zertifikat beantragen 

Beantragen Sie das SSL-Zertifikat bei Ihrem SSL-Anbieter mithilfe der CSR. Bei einigen SSL-Anbietern ist es nicht notwendig, die CSR erneut einzureichen. Sie erhalten dann ein Zertifikatspaket, bestehend aus u.a. einem:

• Endbenutzerzertifikat (die Domain)
• Zwischenzertifikat
• Root-Zertifikat

3.1 (Standard) SSL-Zertifikat importieren

Methode 1 - Über den MKG-Client (benutzerfreundlichste Methode)

Erforderlich: MKG-Client, MKG-Konto mit Administratorrechten, neues Zertifikatspaket. 

Schritte:

1. Starten Sie MKG und melden Sie sich mit einem Konto mit Administratorrechten an.
2. Gehen Sie zu Systemanalyse > Standard-SSL-Zertifikat importieren.
3. Wählen Sie Root-, Zwischen- und Endbenutzerzertifikate (*.crt / *.cer) aus.
   • Das Root- und Zwischenzertifikat befindet sich häufig im Unterordner ‘Root certificates’ innerhalb des Zertifikatspakets.
   • Das Root-Zertifikat ist in den meisten Fällen an der Bezeichnung ‘root’ zu erkennen.
   • Das Endbenutzerzertifikat (Kunde) befindet sich auf der obersten Ebene des Zertifikatspakets und wird in der Regel den Domainnamen in der Bezeichnung enthalten.

4. Geben Sie den allgemeinen Namen (CN) ein. Beispiel: mkgapi.metaalbedrijf-jansen.nl
5. Geben Sie das Keystore-Passwort ein. 
   • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keypass).

6. Geben Sie den Alias ein. Standard ist ‘mkgapi’. 
   • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keyalias).

7. Starten Sie den MKG Application 12XX Server-Dienst neu, um das Zertifikat zu aktivieren.

Hinweis: Benutzer erleben eine kurze Unterbrechung in MKG. Vorheriges Abmelden ist nicht erforderlich.

Methode 2 - KeyStore Explorer (Open Source GUI-Tool von Drittanbietern)

Erforderlich: KeyStore Explorer (Open Source), neues Zertifikatspaket und privater Schlüssel.
Download-Link: https://keystore-explorer.org/downloads.html  (einschließlich JRE)

Schritte:

1. Öffnen Sie die bestehende JKS oder PFX in KeyStore Explorer. (optional)
2. Exportieren Sie den privaten Schlüssel und die einzelnen Zertifikate. (optional)
3. Erstellen Sie eine neue JKS. (Datei > Neue JKS)
4. Klicken Sie auf Tools > Schlüsselpaar importieren > OpenSSL > Wählen Sie Privater Schlüssel + Endbenutzerzertifikat aus. 
5. Es wird nach dem Alias gefragt. Standard ist 'mkgapi'.
   • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keyalias).
6. Fügen Sie das Zwischen- und Root-Zertifikat über Zertifikatkette bearbeiten > Zertifikat anhängen hinzu

7. Speichern Sie die Datei als .jks. Es wird nach einem Passwort gefragt. Verwenden Sie hierfür das bestehende Keystore-Passwort.
   • Sie können dies im \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server finden. (siehe Zeile psc.as.https.keyalias)

3.2 Wildcard SSL-Zertifikat importieren

Gleiches Prinzip, aber bei Methode 1 - Über den MKG-Client:

• Wählen Sie in Systemanalyse > Wildcard-SSL-Zertifikat importieren.
• Sie benötigen auch den privaten Schlüssel zusätzlich zum Zertifikatspaket.
• Achten Sie auf den korrekten Alias & Keystore-Passwort.

4. Validierung 

Ablaufdatum des SSL-Zertifikats überprüfen:

• Im MKG-Client: Hilfe > MKG API > Registerkarte Verwaltung > SSL-Ablaufdatum.
• In Browser-Zertifikatsdaten abrufen: https://<domain>:<port>/mkgbridge.

Fehlerbehebung

Häufige Probleme:

• Falsche CSR verwendet → private key mismatch. Verwenden Sie die richtige CSR.
• Falsches Keystore-Passwort →  Keystore wurde manipuliert oder Passwort war falsch. Verwenden Sie das Keystore-Passwort aus der catalina.properties Datei.
• Falsche Reihenfolge von Root- und Zwischenzertifikat. Überprüfen Sie die Reihenfolge.

Zusätzliche Netzwerk-/Systemeinstellungen

Um MKG-Funktionalitäten wie die API extern zugänglich zu machen, müssen die folgenden Schritte durchgeführt werden.

1. Firewall MKG-Server: Port 443 (Standard) TCP auf dem MKG-Server öffnen.
   • Es kann eine abweichende SSL-Portnummer geben. Diese kann in der \\apps\mkg_pas12XX\conf\catalina.properties Datei auf dem MKG-Server gefunden werden. (siehe Zeile psc.as.https.port).
2. Firewall-Regel: Weiterleitung (TCP) von WAN → LAN (SSL-Port) einrichten.

3. DNS-Eintrag erstellen, z.B. mkgapi.ihrefirma.de → WAN-IP.