help • 6 Swyx Connectivity Setup Tool • TLS-Zertifikat von Let’s Encrypt verwenden
6.1 TLS-Zertifikat von Let’s Encrypt verwenden
Wenn Ihre SwyxWare online lizenziert ist, haben Sie die Möglichkeit einen eindeutigen Servernamen (FQDN) vom SwyxON DNS-Dienst zu bekommen. Für diesen FQDN fordert SCST beim Let’s Encrypt-Dienst ein TLS-Serverzertifikat an und installiert es in der SwyxWare.
SCST übernimmt die Kommunikation zum SwyxON DNS-Dienst und Let’s Encrypt-Dienst und erledigt die Zertifizierung in wenigen Schritten.
Das TLS-Zertifikat wird von SCST automatisch vor dem Ablaufdatum aktualisiert. Dazu wird in Windows ein geplanter Vorgang registriert, der regelmäßig im Hintergrund prüft, ob das TLS-Zertifikat bald abläuft.
FQDN-Validierung
Damit SCST das TLS-Zertifikat bei Let’s Encrypt anfordern und regelmäßig aktualisieren kann, müssen folgende Voraussetzungen erfüllt sein:
*Der SwyxServer-Rechner muss über eine funktionierende DNS-Konfiguration verfügen, d. h. DNS-Abfragen für den FQDN und alle seine Domänen müssen erfolgreich sein. Wenn der in Windows konfigurierte DNS nicht funktioniert, versucht SCST die folgenden DNS-Server zu erreichen: 8.8.8.8, 1.1.1.1, 8.8.4.4.
*Der SwyxServer-Rechner und Ihr lokales Netzwerk müssen ausgehende Verbindungen via HTTPS erlauben. Verbindungen zu Let‘s Encrypt, die Registrierung beim SwyxON DNS und die Swyx Online-Lizenzierung erfordern jeweils das HTTPS-Protokoll.
So nutzen Sie ein TLS-Zertifikat von Let’s Encrypt
1 Starten Sie Swyx Connectivity Setup Tool unter „Start | Programme | SwyxWare | Swyx Connectivity Setup Tool“.
2 Klicken Sie auf WEITER.
*Es erscheint die Seite Servername.
3 Wählen Sie die Option Namen vom SwyxON DNS erhalten, um einen FQDN für die öffentliche IP-Adresse anzufordern.
4 Klicken Sie auf WEITER.
*Es erscheint die Seite Namen vom SwyxON DNS erhalten.
5 Geben Sie ggf. die öffentliche IP-Adresse Ihres Netzwerks ein, wenn SwyxWare eine statische öffentliche IP-Adresse hat und Sie keine automatische Erkennung verwenden möchten.
6 Klicken Sie auf Anfrage.
*Unter Bereitgestellter FQDN erscheint der zufallsgenerierte FQDN und die festgestellte öffentliche IP-Adresse.
* 
Achten Sie darauf die entsprechenden Daten in der Split DNS-Konfiguration zu verwenden.
 
7 Klicken Sie auf WEITER.
*Es erscheint die Seite Automatischer Zertifikatsmodus.
Bezeichnung
Erläuterung
E-Mail-Adresse
Geben Sie eine E-Mail-Adresse ein, um Benachrichtigungen von Let’s Encrypt zu erhalten.
Anfordern und installieren
Klicken Sie auf die Schaltfläche, um ein TLS-Zertifikat von Let’s Encrypt anzufordern. Wenn die Anfrage erfolgreich war, erscheinen die Zertifikat-Informationen, siehe die nächste Tabelle.
8 Klicken Sie auf Anfordern und installieren.
Die Anfrage kann einige Minuten in Anspruch nehmen.
*Das TLS-Zertifikat wird installiert.
*Die zertifizierten SIP-Telefone werden erneut bereitgestellt.
Anschließend erscheinen die folgenden Informationen:
Bezeichnung
Erläuterung
Zertifikat
Name
Zertifikatsbezeichnung wird von Let’s Encrypt definiert und enthält i.d.R. den FQDN und das Erzeugungsdatum zur Information.
 
Ablaufdatum
Das Datum, an welchem die Gültigkeit des Zertifikats abläuft. Das neue Zertifikat wird automatisch von Let’s Encrypt aktualisiert, Sie erhalten eine Benachrichtigung per E-Mail.
Zertifikat Installationszustand
Installiert
Status der Installation des Zertifikats in den SwyxWare Diensten.
9 Klicken Sie auf WEITER.
*Es erscheint die Seite RemoteConnector Zugriff.
Bezeichnung
Erläuterung
Remote-Zugriff aktivieren
Aktivieren Sie diese Option, wenn Client-Verbindungen via Internet zu SwyxServer erlaubt werden sollen.
Authentifizierungsserver (FQDN)
Der öffentliche Endpunkt (als FQDN) des Firmennetzwerks, über welchen der Authentifizierungsdienst erreichbar ist, wird automatisch vergeben.
Der Standardport für den Authentifizierungsdienst ist 9101.
Wenn Sie einen anderen als den Standardport 9101 verwenden, muss dieser Port in den Client-Einstellungen explizit eingegeben werden.
RemoteConnector-Server (FQDN)
Der öffentliche Endpunkt (als FQDN) des Firmennetzwerks, über welchen der RemoteConnector erreichbar ist, ist automatisch vergeben.
Der Standardport für den RemoteConnector ist 16203.
10 Klicken Sie auf WEITER.
*Es erscheint die Seite RemoteConnector-Zertifikat.
Bezeichnung
Erläuterung
Automatische Kennwortverwaltung
Aktivieren Sie diese Option, wenn das Kennwort für das Stammzertifikat automatisch generiert werden soll.
Client-Zertifikate erzeugen
Aktiveren Sie diese Option, wenn für jeden Benutzer automatisch ein RemoteConnector Client-Zertifikat erzeugt werden soll.
Manuelle Kennwortverwaltung
Aktivieren Sie diese Option, wenn Sie das Kennwort für das Stammzertifikat selber vergeben wollen.
In diesem Fall kann SwyxWare keine Client-Zertifikate automatisch erzeugen. Sie müssen dies für jeden Benutzer einzeln erledigen und dabei jeweils das hier vergebene Kennwort eingeben, siehe 11.2.1.3 Registerkarte „RemoteConnector“
Kennwort
Geben Sie ggf. ein Kennwort ein.
Zertifikate erzeugen
Klicken Sie auf die Schaltfläche, um die Stamm- und Serverzertifikate erzeugen zu lassen.
Anschließend erscheinen die entsprechenden Fingerabdrücke.
11 Klicken Sie auf WEITER.
*Es erscheint die Seite Zusammenfassung mit dem Überblick über Ihre Konfiguration.
Bezeichnung
Erläuterung
Server-Konfiguration
Öffentliche IP-Adresse
Diese IP-Adresse wurde vom SwyxON DNS-Dienst als die öffentliche IP-Adresse Ihres Netzwerks ermittelt.
Servername
Dieser FQDN wurde vom SwyxON DNS-Dienst zufällig generiert und der öffentlichen IP-Adresse zugeordnet. Clients müssen diesen Servernamen für die Kommunikation mit dem SwyxServer verwenden.
TLS-Konfiguration
TLS-Zertifikatsmodus
Automatisch: TLS-Zertifikat wurde von Let’s Encrypt bereitgestellt.
TLS-Zertifikat gültig bis
Das Datum, an welchem die Gültigkeit des Zertifikats abläuft. Das Zertifikat wird automatisch von SCST aktualisiert. Sie erhalten eine Benachrichtigung von Let‘s Encrypt per E-Mail.
TLS-Zertifikatsname
Die Zertifikatsbezeichnung wird von Let’s Encrypt definiert und enthält i.d.R. den FQDN und das Erzeugungsdatum zur Information.
Zertifikat Installationszustand
Installiert
Status der Installation des Zertifikats in den SwyxWare Diensten.
RemoteConnector Konfiguration
RemoteConnector Zugriff
Aktiviert: Client-Verbindung via Internet zu SwyxServer ist erlaubt.
Autom. Kennwortverwaltung
Aktiviert: Das Kennwort für das RemoteConnector Stammzertifikat wurde automatisch generiert und wird von SwyxWare verwendet.
oder
Manuelle Kennwortverwaltung
Aktiviert: Das Kennwort für das RemoteConnector Stammzertifikat ist vom Administrator festgelegt worden und muss zur Generierung von RemoteConnector Client-Zertifikaten eingegeben werden.
Client-Zertifikate erzeugen
Aktiviert: Client-Zertifikate für alle Benutzer werden automatisch erzeugt.
oder
Deaktiviert: Der Administrator muss für jeden gewünschten Benutzer ein Client-Zertifikat erzeugen lassen.
12 Klicken Sie auf BEENDEN, um SCST zu schließen.
* 
Versenden Sie ggf. erneut eine Willkommens-E-Mail an die entsprechenden SwyxWare Benutzer mit den neuen RemoteConnector-Zugangsdaten.