TLS-Zertifikat von Let’s Encrypt verwenden

help • 6 Swyx Connectivity Setup Tool • TLS-Zertifikat von Let’s Encrypt verwenden

6.1 TLS-Zertifikat von Let’s Encrypt verwenden

Wenn Ihre SwyxWare online lizenziert ist, haben Sie die Möglichkeit einen eindeutigen Servernamen (FQDN) vom SwyxON DNS-Dienst zu bekommen. Für diesen FQDN fordert SCST beim Let’s Encrypt-Dienst ein TLS-Serverzertifikat an und installiert es in der SwyxWare.

Siehe auch Let’s Encrypt/de/how-it-works

SCST übernimmt die Kommunikation zum SwyxON DNS-Dienst und Let’s Encrypt-Dienst und erledigt die Zertifizierung in wenigen Schritten.

Das TLS-Zertifikat wird von SCST automatisch vor dem Ablaufdatum aktualisiert. Dazu wird in Windows ein geplanter Vorgang registriert, der regelmäßig im Hintergrund prüft, ob das TLS-Zertifikat bald abläuft.

FQDN-Validierung

Damit SCST das TLS-Zertifikat bei Let’s Encrypt anfordern und regelmäßig aktualisieren kann, müssen folgende Voraussetzungen erfüllt sein:

Der SwyxServer-Rechner muss über eine funktionierende DNS-Konfiguration verfügen, d. h. DNS-Abfragen für den FQDN und alle seine Domänen müssen erfolgreich sein. Wenn der in Windows konfigurierte DNS nicht funktioniert, versucht SCST die folgenden DNS-Server zu erreichen: 8.8.8.8, 1.1.1.1, 8.8.4.4.

Der SwyxServer-Rechner und Ihr lokales Netzwerk müssen ausgehende Verbindungen via HTTPS erlauben. Verbindungen zu Let‘s Encrypt, die Registrierung beim SwyxON DNS und die Swyx Online-Lizenzierung erfordern jeweils das HTTPS-Protokoll.

So nutzen Sie ein TLS-Zertifikat von Let’s Encrypt

1 Starten Sie Swyx Connectivity Setup Tool unter „Start | Programme | SwyxWare | Swyx Connectivity Setup Tool“.

2 Klicken Sie auf WEITER.

Es erscheint die Seite Servername.

3 Wählen Sie die Option Namen vom SwyxON DNS erhalten, um einen FQDN für die öffentliche IP-Adresse anzufordern.

4 Klicken Sie auf WEITER.

Es erscheint die Seite Namen vom SwyxON DNS erhalten.

5 Geben Sie ggf. die öffentliche IP-Adresse Ihres Netzwerks ein, wenn SwyxWare eine statische öffentliche IP-Adresse hat und Sie keine automatische Erkennung verwenden möchten.

6 Klicken Sie auf Anfrage.

Unter Bereitgestellter FQDN erscheint der zufallsgenerierte FQDN und die festgestellte öffentliche IP-Adresse.

Achten Sie darauf die entsprechenden Daten in der Split DNS-Konfiguration zu verwenden.

7 Klicken Sie auf WEITER.

Es erscheint die Seite Automatischer Zertifikatsmodus.

Bezeichnung	Erläuterung
E-Mail-Adresse	Geben Sie eine E-Mail-Adresse ein, um Benachrichtigungen von Let’s Encrypt zu erhalten.
Anfordern und installieren	Klicken Sie auf die Schaltfläche, um ein TLS-Zertifikat von Let’s Encrypt anzufordern. Wenn die Anfrage erfolgreich war, erscheinen die Zertifikat-Informationen, siehe die nächste Tabelle.

8 Klicken Sie auf Anfordern und installieren.

Die Anfrage kann einige Minuten in Anspruch nehmen.

Das TLS-Zertifikat wird installiert.

Die zertifizierten SIP-Telefone werden erneut bereitgestellt.

Anschließend erscheinen die folgenden Informationen:

Bezeichnung	Erläuterung
Zertifikat	Name Zertifikatsbezeichnung wird von Let’s Encrypt definiert und enthält i.d.R. den FQDN und das Erzeugungsdatum zur Information. Ablaufdatum Das Datum, an welchem die Gültigkeit des Zertifikats abläuft. Das neue Zertifikat wird automatisch von Let’s Encrypt aktualisiert, Sie erhalten eine Benachrichtigung per E-Mail.
Zertifikat Installationszustand	Installiert Status der Installation des Zertifikats in den SwyxWare Diensten.

9 Klicken Sie auf WEITER.

Es erscheint die Seite RemoteConnector Zugriff.

Bezeichnung	Erläuterung
Remote-Zugriff aktivieren	Aktivieren Sie diese Option, wenn Client-Verbindungen via Internet zu SwyxServer erlaubt werden sollen.
Authentifizierungsserver (FQDN)	Der öffentliche Endpunkt (als FQDN) des Firmennetzwerks, über welchen der Authentifizierungsdienst erreichbar ist, wird automatisch vergeben. Der Standardport für den Authentifizierungsdienst ist 9101. Wenn Sie einen anderen als den Standardport 9101 verwenden, muss dieser Port in den Client-Einstellungen explizit eingegeben werden.
RemoteConnector-Server (FQDN)	Der öffentliche Endpunkt (als FQDN) des Firmennetzwerks, über welchen der RemoteConnector erreichbar ist, ist automatisch vergeben. Der Standardport für den RemoteConnector ist 16203.

10 Klicken Sie auf WEITER.

Es erscheint die Seite RemoteConnector-Zertifikat.

Bezeichnung	Erläuterung
Automatische Kennwortverwaltung	Aktivieren Sie diese Option, wenn das Kennwort für das Stammzertifikat automatisch generiert werden soll.
Client-Zertifikate erzeugen	Aktiveren Sie diese Option, wenn für jeden Benutzer automatisch ein RemoteConnector Client-Zertifikat erzeugt werden soll.
Manuelle Kennwortverwaltung	Aktivieren Sie diese Option, wenn Sie das Kennwort für das Stammzertifikat selber vergeben wollen. In diesem Fall kann SwyxWare keine Client-Zertifikate automatisch erzeugen. Sie müssen dies für jeden Benutzer einzeln erledigen und dabei jeweils das hier vergebene Kennwort eingeben, siehe 11.2.1.3 Registerkarte „RemoteConnector“
Kennwort	Geben Sie ggf. ein Kennwort ein.
Zertifikate erzeugen	Klicken Sie auf die Schaltfläche, um die Stamm- und Serverzertifikate erzeugen zu lassen. Anschließend erscheinen die entsprechenden Fingerabdrücke.

11 Klicken Sie auf WEITER.

Es erscheint die Seite Zusammenfassung mit dem Überblick über Ihre Konfiguration.

Bezeichnung	Erläuterung
Server-Konfiguration	Öffentliche IP-Adresse Diese IP-Adresse wurde vom SwyxON DNS-Dienst als die öffentliche IP-Adresse Ihres Netzwerks ermittelt. Servername Dieser FQDN wurde vom SwyxON DNS-Dienst zufällig generiert und der öffentlichen IP-Adresse zugeordnet. Clients müssen diesen Servernamen für die Kommunikation mit dem SwyxServer verwenden.
TLS-Konfiguration	TLS-Zertifikatsmodus Automatisch: TLS-Zertifikat wurde von Let’s Encrypt bereitgestellt. TLS-Zertifikat gültig bis Das Datum, an welchem die Gültigkeit des Zertifikats abläuft. Das Zertifikat wird automatisch von SCST aktualisiert. Sie erhalten eine Benachrichtigung von Let‘s Encrypt per E-Mail. TLS-Zertifikatsname Die Zertifikatsbezeichnung wird von Let’s Encrypt definiert und enthält i.d.R. den FQDN und das Erzeugungsdatum zur Information.
Zertifikat Installationszustand	Installiert Status der Installation des Zertifikats in den SwyxWare Diensten.
RemoteConnector Konfiguration	RemoteConnector Zugriff Aktiviert: Client-Verbindung via Internet zu SwyxServer ist erlaubt. Autom. Kennwortverwaltung Aktiviert: Das Kennwort für das RemoteConnector Stammzertifikat wurde automatisch generiert und wird von SwyxWare verwendet. oder Manuelle Kennwortverwaltung Aktiviert: Das Kennwort für das RemoteConnector Stammzertifikat ist vom Administrator festgelegt worden und muss zur Generierung von RemoteConnector Client-Zertifikaten eingegeben werden. Client-Zertifikate erzeugen Aktiviert: Client-Zertifikate für alle Benutzer werden automatisch erzeugt. oder Deaktiviert: Der Administrator muss für jeden gewünschten Benutzer ein Client-Zertifikat erzeugen lassen.

12 Klicken Sie auf BEENDEN, um SCST zu schließen.

Versenden Sie ggf. erneut eine Willkommens-E-Mail an die entsprechenden SwyxWare Benutzer mit den neuen RemoteConnector-Zugangsdaten.