FLOWFACT API – Eigenes SSL Zertifikat anlegen

in 4. FLOWFACT FAQ

Einleitung & Problemstellung

Die FLOWFACT GmbH empfiehlt das in der API Installation mitgelieferte selbst signierte SSL Zertifikat, welches lediglich eine Verschlüsselung des Datenverkehrs, nicht aber einer Validitätsprüfung des Servers genügt, gegen ein Zertifikat einer Trusted Authority auszutauschen. Sollte dieser Schritt nicht unternommen werden, kann es zu unten gezeigten Hinweisen in Browsern von Kunden kommen, die die Features S-Expose sowie Einschreiben-Email nutzen:

 

Dieser Hinweis besagt bildlich gesprochen, dass das ausgestellte Zertifikat nicht auf den Host registriert ist, welcher in der Browserleiste oben angezeigt wird. Dieser Mechanismus ist im Internet weit verbreitet und ist ein wichtiger Bestandteil von Sicherheit im Internet.

Wie man ein gekauftes Zertifikat in die API Installation integriert, wird an dieser Stelle anhand eines sogenannten Chain-Zertifikats von RapidSSL (Bezogen von DomainFactory, Produktname dort: „GeoTrust RapidSSL“) erläutert, welches die günstigste Variante eines sicheren Zertifikats darstellt.


 

Voraussetzungen zum Kauf eines SSL-Zertifikats

Zur Ausstellung eines Zertifikats benötigen Sie eine Internet Domain (im Folgenden auch: DNS Name) wie zum Beispiel „google.com“ und „flowfact.de“ welche sind, nur eben mit einem Domainnamen, der noch nicht existiert. Interessant für Sie könnten insbesondere die Endungen „.immobilien“ und „*.immo“ sein. Bitte kontaktieren Sie Ihren Provider, um den Erwerb einer Domain durchzuführen.

Durch den Kauf bzw. die Miete einer Domain haben Sie darüber hinaus mehrere Vorteile:

  • Sollte nachträglich der Provider geändert werden, muss kein neues Zertifikat erworben werden
  • Das Auftreten bei Beteiligten des S-Expose oder Einschreiben-Email Features wirkt mit einer sprechenden und gut gewählten Domain wesentlich professioneller

Im folgenden wird davon ausgegangen, dass wir im Besitz der Domain immoglueck.de sind und diese Domain so konfiguriert ist, dass ein Aufruf von http://immoglueck.de:8443/com.flowfact.server/api/rest/public/v1.0/sysinfo (A-Record Umleitung auf eine feste IP) die System-Info-Resource der Ziel-API erfolgreich aufruft (evtl. nach vorherigem Akzeptieren der obigen Browserwarnung)

Stellen Sie bitte zudem sicher, dass Sie auf der zu registrierenden Domain eines der folgenden Emailkonten eingerichtet und abrufbar haben:

hostmaster@ihredomain.de
admin@ihredomain.de
administrator@ihredomain.de
webmaster@ihredomain.de
postmaster@ihredomain.de



Feste IP obligatorisch

Um eine A-Record Umleitung für Ihre Domain einzurichten, müssen Sie darüber hinaus im Besitz einer festen IP (statischen IP) sein, die auf den Webspace / Server konfiguriert ist, der Ihre API beheimatet. Diese können Sie bei Ihrem Provider beziehen.


 

Kauf des SSL-Zertifikats

Wie bereits erwähnt muss ein Zertifikat bei einem Provider gekauft werden. Viele Provider bieten diesen Service an. Exemplarisch wird hier der Prozess bei DomainFactory durchlaufen, welcher aber analog auch bei anderen Anbietern durchgeführt werden muss.

Hinweis:
Wir empfehlen Ihnen das Zertifikat für drei Jahre zu erwerben, da Sie sonst den Vorgang jedes Jahr durchführen müssen.

Nachdem man sich in das Nutzerkonto eingeloggt hat, kann man auf der Linken Seite den Menüpunkt „SSL-Zertifikate“ wählen. Danach zeigt sich folgendes Bild:

Mit einem Klick auf „Neues Zertifikat bestellen“ gelangen wir in den Prozess der Bestellung.

Man kann nun auswählen zu welchem Produkt das SSL Zertifikat zugeordnet werden soll. Dies ist jedoch nur eine organisatorische Eigenheit von DomainFactory! So ist es zum Beispiel ebenfalls möglich ein Zertifikat für eine Domain zu bestellen, die nicht bei Domainfactory gehostet wird.

Wichtig an dieser Stelle ist lediglich, dass unter „Domainname“ der korrekte Domainname ohne „http“, „www“ und Portnummer eingetragen wird (siehe Grafik oben).

Auf der nun folgenden Seite kann man eine Zertifikatsart auswählen:

Für welches Zertifikat Sie sich entscheiden, hängt größtenteils von Ihrem Setup und Ihren Vorstellungen ab. Wünschen Sie beispielsweise mehrere Subdomains der gleichen Domain abzusichern (also z.B. mail.immoglueck.de, api.immoglueck.de, etc.), fiele die Wahl auf ein sogenanntes „Wildcard-Zertifikat“ für 9,99 € im Monat (Stand August 2014). Wünschen Sie ein „grünes Label“ in der Adressleiste wird die monatliche Gebühr entsprechend höher. Für die Frage welches Zertifikat das sinnvollste für Ihr Setup ist, wenden Sie sich bitte an Ihren Provider.

Zum Betrieb der API ohne Meldung im Browser genügt das günstigste Zertifikat, ein sogenanntes Chain-Certificate, dessen Ausstellung nur wenige Minuten dauert und keinen Identitätscheck per PostIdent oder Ähnlichem voraussetzt. Bei DomainFactory heißt dieses Zertifikat „GeoTrust RapidSSL“.

Aufmerksam durchlesen!

Auf der folgenden Seite sind Details zu diesem Zertifikat aufgeführt. Bitte lesen Sie alle Informationen aufmerksam durch und stellen sie nochmals sicher, dass der angegebene Wert bei „Subdomain“ auf Ihren DNS Namen lautet! Dies kann nachträglich nicht mehr geändert werden!

Sollten Sie Ihren Webserver nicht bei Domainfactory betreiben, so wählen Sie „bei einem anderen Provider/Server inkl. Übermittlung des Zertifikats per E-Mail“:

Bitte stellen Sie zudem sicher, dass

  1. bei Webserver-Typ „Tomcat“ ausgewählt ist
  2. das Feld bei „Certificate Signing Request“ leer bleibt. Sollten Sie bereits einen CSR erstellt haben, können Sie diesen hier einfügen. Dieser Weg wird jedoch in dieser Beschreibung nicht näher erläutert.

Klicken sie auf „Weiter“ um zur Auswahl der Bestätigungsemailadresse für den Bestellprozess zu gelangen:

Die Domain der auswählbaren Emailadressen lauten auf Ihre Domain. Dieser Sicherheitsmechanismus dient dazu eine gewisse Art von Identitätsprüfung zu gewährleisten und sicherzustellen, dass Sie der Eigentümer der entsprechenden Domain sind.

Wie auch auf der Seite beschrieben: Wählen sie hier eine der EMailadressen in der Liste aus, die funktionstüchtig ist, d.h. die Emails empfangen kann und dessen Emails Sie lesen dürfen!

Nach einem Klick auf „Weiter“ muss das Formular mit den korrekten Daten befüllt werden:

Beachten Sie besonders den Hinweis im blauen Kasten unterhalb. Wenn Sie einverstanden sind, fahren Sie fort mit „Weiter“. Sie gelangen auf die Seite „Zusammenfassung“:

 

Erneut prüfen

Bitte prüfen Sie nochmals die aufgelisteten Angaben auf Richtigkeit!

Haken Sie danach die Checkbox unten an und klicken Sie auf „Zahlungspflichtig bestellen“. Innerhalb weniger Minuten wird Ihnen das Zertifikat per Email an die angegebene E-Mail-Adresse zugestellt. Nachdem Sie das Zertifikat erhalten haben, erscheint es auch bei Domainfactory unter „SSL-Zertifikate“.

Einrichtung des gekauften Chain-Certificates in der API Installation

Nachdem das SSL-Zertifikat erfolgreich erworben wurde, ist es unter dem Punkt „“SSL-Zertifikate“ zu finden. Dort lassen sich nach einem Klick auf „Aktion“ in der entsprechenden Zeile auch Details anzeigen:

Dies sind im Einzelnen:

SSL-Zertifikatimmoglueck.de.crt
Privater Schlüsselimmoglueck.de.key
RapidSSL Intermediate CARapidSSL_Intermediate_CA.pem
PKCS#12-Formatimmoglueck.de.p12

 



Speichern Sie die heruntergeladenen Dateien auf Ihrem PC, wo Sie diese auch wiederfinden können und vereinbaren Sie einen Installationstermin mit uns.

Sofortkontakt