TLS-Zertifikatsverwaltung

Für die verschlüsselte HTTPS-Kommunikation werden zwei voneinander unabhängige TLS-Zertifikate verwendet – eines für die EasySightPro® API und eines für die WebHMI API. Beide funktionieren nach demselben Prinzip und werden über je eine eigene Konfigurationsdatei gesteuert.

Hinweis: Die hier beschriebenen Einstellungen sind für den normalen Betrieb nicht erforderlich. Sie sind nur relevant, wenn Browserwarungen wegen des Zertifikats unterdrückt oder ein eigenes Unternehmenszertifikat verwendet werden soll.

Speicherorte

Die Zertifikatskonfiguration und die exportierte Zertifikatsdatei befinden sich in folgenden Ordnern:

  • EasySightPro® API: C:\Program Files\RELISTE GesmbH\EasySightPro\Certificate

  • WebHMI API: C:\Program Files\RELISTE GesmbH\EasySightPro\WebHMI\Certificate

In jedem dieser Ordner liegen die Konfigurationsdatei certsettings.json sowie die exportierte Zertifikatsdatei (EasySightPro.cer bzw. WebHMI.cer).

Automatisches Zertifikat (Standardmodus)

Beim ersten Start des jeweiligen Programms mit Administratorrechten wird automatisch ein selbstsigniertes Zertifikat erstellt und im Windows-Zertifikatsspeicher des Rechners hinterlegt. Alle weiteren Programmstarts funktionieren ohne Administratorrechte. Das Zertifikat ist 398 Tage gültig und wird rechtzeitig vor Ablauf automatisch erneuert – der nächste Adminstart löst die Erneuerung aus.

Hinweis: Da es sich um ein selbstsigniertes Zertifikat handelt, können Browser beim ersten Aufruf eine Sicherheitswarnung anzeigen. Dies ist erwartetes Verhalten und kein Fehler. Die Warnung kann durch das Installieren der .cer-Datei auf dem zugreifenden Gerät dauerhaft unterdrückt werden.

Zertifikat auf anderen Geräten als vertrauenswürdig einstufen

Damit Browser auf anderen Rechnern oder Tablets keine Sicherheitswarnung anzeigen, muss die .cer-Datei des jeweiligen Dienstes einmalig auf dem zugreifenden Gerät installiert werden. Die Datei befindet sich im oben genannten Zertifikatsordner auf dem Rechner, auf dem EasySightPro® installiert ist.

Vorgehensweise auf einem Windows-Gerät:

  1. Die .cer-Datei auf das Zielgerät kopieren.

  2. Doppelklick auf die Datei → Zertifikat installieren.

  3. Speicherort Lokaler Computer wählen (erfordert Administratorrechte).

  4. Zertifikatsspeicher manuell auswählen: Vertrauenswürdige Stammzertifizierungsstellen.

  5. Installation abschließen und den Browser neu starten.

Hinweis: Wird das Zertifikat automatisch erneuert, muss die neue .cer-Datei erneut auf den Zielgeräten installiert werden.

Eigenes Zertifikat verwenden (Custom-Modus)

Soll statt des automatisch erstellten Zertifikats ein eigenes Unternehmens- oder Domänenzertifikat verwendet werden, ist der sogenannte Custom-Modus verfügbar. Dieser Vorgang erfordert Administratorrechte und muss für EasySightPro® und WebHMI jeweils separat durchgeführt werden.

Schritt 1 – Zertifikat importieren

Das Zertifikat muss als .pfx-Datei (mit privatem Schlüssel) in den Windows-Zertifikatsspeicher des Computers importiert werden. Dies geschieht einmalig als Administrator.

Über die Eingabeaufforderung (als Administrator):

certutil -importpfx -p <Passwort> <Pfad zur .pfx-Datei>

Alternativ über die Microsoft Management Console (MMC): Zertifikate → Computerkonto → Eigene Zertifikate.

Schritt 2 – Thumbprint ermitteln

Der Thumbprint (Fingerabdruck) ist eine eindeutige Kennung des Zertifikats, die für die Konfigurationsdatei benötigt wird.

Über die MMC: Zertifikat öffnen → Reiter Details → Feld Fingerabdruck.

Über PowerShell:

Get-ChildItem Cert:\LocalMachine\My

Schritt 3 – certsettings.json anpassen

Die Datei certsettings.json im jeweiligen Zertifikatsordner mit einem Texteditor öffnen und wie folgt anpassen:

  • Mode auf "Custom" setzen.

  • CustomThumbprint mit dem ermittelten Thumbprint befüllen – ohne Leerzeichen.

Beispiel:

{ "Mode": "Custom", "CustomThumbprint": "02B968986B9E9C5C6EF5178D8F16F09CE5C9F94B", "AutoThumbprint": "", "CerPath": "Certificate\\WebHMI.cer" }

Hinweis: Das Feld AutoThumbprint wird vom Programm selbst verwaltet und darf nicht manuell geändert werden.

Schritt 4 – Dienst neu starten

Den jeweiligen Dienst als Administrator neu starten, damit das neue Zertifikat übernommen wird.

Übersicht der Konfigurationsfelder

  • ModeAuto (Standard) oder Custom. Legt fest, welches Zertifikat verwendet wird.

  • CustomThumbprint – Thumbprint des eigenen Zertifikats. Wird nur im Custom-Modus ausgewertet.

  • AutoThumbprint – Wird automatisch vom Programm gesetzt. Nicht manuell ändern.

  • CerPath – Pfad, unter dem der öffentliche Schlüssel als .cer-Datei abgelegt wird.