/
Wie richtet man beim Gateway SSL/HTTPS ein?

Wie richtet man beim Gateway SSL/HTTPS ein?

Stand 16.02.2026

Um SSL sind mehrere Schritte erforderlich. Grundvoraussetzung ist ein gültiges Zertifikat. Da das Zertifikat ein selbst signiertes ist, muss im Zertifikat CN und SAN (alternativer Name) enthalten sein. Aktuelle Windows-Sicherheit erfordert sogar das Hinzufügen der IP-Adresse. Die Namen, die bei SAN eingetragen sind, können verwendet werden (und nur diese) - Wildcards sind möglich. Anderenfalls kommt eine Windows-Sicherheitsmeldung und die Vorschau im Client ist schlimmstenfalls nicht verfügbar oder verlangt ein Login.
Daher sollte zuerst das Zertifikat geprüft werden, bevor es eingerichtet wird.

Diese Formate unterstützen wir: Welche Zertifikats-Formate werden vom Gateway unterstützt?

Vollumfängliche Dokumentation: Ende-zu-Ende-Verschlüsselung (TLS/SSL)

 

Grundsätzlich: 

  • Ab 8.00 kann SSL aktiviert werden, siehe KB-144/14. 

  • Ab 8.50 kann man bereits bei der Installation des Gateways auswählen, ob man SSL bzw. HTTPS haben möchte oder nicht. Ansonsten nach KB-160/15 vorgehen = dieser Artikel.

  • Es kann auch nachträglich SSL eingerichtet werden.

  • ab enaio 11.10 kann wahlweise cacert-Datei oder Windows-Zertifikatsspeicher eingestellt werden.

 

Wichtig:
Aufgrund erhöhter Sicherheitsrichtlinien muss das Zertifikat in den Java-Zertifikatsspeicher (=cacert-Dateien)! Ab enaio 11.10 kann alternativ Windows-Zertifikatsspeicher verwendet werden.

Dies bitte beim Gateway und beim Servicemanager (mit Webclient und DMS-Service) und ggfls. auch Appconnector (dies ist von den verwendeten Schnittstellen abhängig) ausführen. Anderenfalls werden die REST-Aufrufe geblockt, auch wenn nur das Gateway auf SSL gestellt ist. 

Schritt-für-Schritt-Anleitung

 

  1. eine BAT-Datei erstellen in einem beliebigen Verzeichnis mit diesem Inhalt:
    <pfad zum gateway>\jdk\bin\keytool.exe -v -list -keystore <pfad zum Zertifikat>\<zertifikatsdatei> > <pfad zum log>\<Info-Datei, z. Bsp. zertinfo.txt> 
    Beispiel:

    C:\enaio\services\gateway\jdk\bin\keytool.exe -v -list -keystore "C:\enaio\services\Gateway\apps\os_gateway\config\gw_keystore.pkcs" > C:\temp\zertinfo.txt

  2. die BAT mit "als Administrator ausführen" ausführen 

  3. Nun kommt eine Passworteingabe. Das Zertifikats-Passwort eingeben. 

  4. Danach die erstellte Datei mit einem Editor öffnen und prüfen.
    Wichtig sind: Aliasname, CN und SAN (=  SubjectAlternativeName)
    Diese müssen vorhanden sein.
    SAN muss Server und FQDN-Name enthalten - Wildcard ist möglich, die verwendet werden sollen. D.h. für das Gateway, dass der Gateway-Server in der Liste stehen muss (oder ein passender Wildcardeintrag). Empfehlung: Auch die IP-Adresse hinzufügen.

    Beispiel für ungültiges Zertifikat:
    Problem = Servernamen weichen ab. 



    Beispiel für ein Zertifikat, das verwendet werden kann - Wildcard-Verwendung:

    image-20250822-160300.png



Zertifikat im Gateway einbinden:

  1. Empfehlung: Das Zertifikat in das config-Verzeichnis des Gateway kopieren (services\gateway\apps\os_gateway\config).

  2. application-prod.yml anpassen: die korrekten Daten laut Zert-info.txt eintragen. Bei bestimmten Sonderzeichen sollten die Daten für Alias, Passwort und Zertifikatsdatei in Hochkomma geschrieben werden.
    https: {
      enabled: true,
      keyAlias: <aliasname siehe Zert-info.txt>,
      keystorePass: <passwort des Zertifikats>,
      keystoreFile: config/<zertifikats-Dateiname mit Dateiendung>,
      keystoreType: PKCS12}

Detailbeschreibung für Port umstellen auf 443 (= HTTPS), siehe
Gateway: Wie kann man den Port ändern?

Das Zertifikat muss nun noch vertrauenswürdig gemacht werden. Dazu das Zertifikat in die cacerts-Dateien importieren.

Ab 11.10 kann alternativ der Windows-Zertifikatsspeicher verwendet werden. Anleitung am Beispiel Gateway NG erklärt: Wie kann man Windows-Zertifikatsspeicher-Verwendung einstellen - Beispiel Gateway-NG (Stichworte: SSL/HTTPS, Windows-Root-Zertifikat)?

 

Für den Import in die cacerts-Dateien stehen zur Verfügung:

  1. Import per Keytool:
    wichtige Empfehlung: Die cacert-Datei vorher sichern
    Standardpasswort: changeit
    Achtung: Der Befehl des Tools kann sich nach Version und aktueller Sicherheitsanforderungen ändern. Es ist kein Tool aus unserem Hause.

    Befehl:
    keytool -import -alias tomcat -keystore <your_keystore_filename> -file <your_certificate_filename>

    Beispiel: 

    keytool -import -alias server03 -keystore D:\enaio\gateway\jdk\jre\lib\security\cacerts -file D:\enaio\services\gateway\apps\os_gateway\config\cert_server03.p12

     

  2. Import per KeystoreExplorer: 

    1. Download der aktuellen Version: https://keystore-explorer.org/downloads.html
      Man kann wahlweise die exe oder die JAR-Datei öffnen per java.exe. 
      Achtung: Die Masken des Tools können sich nach Version und aktueller Sicherheitsanforderungen ändern. Es ist kein Tool aus unserem Hause.

    2. Öffnen Keystore-Explorer:

      • per exe:
        kse*.exe per rechte Maustaste und explizit “als Administrator ausführen” starten.

      • per JAR-Datei:
        Aus dem JDK-Verzeichnis des Gateway den Standort der java.exe ermitteln
        Commandline explizit mit "als Administrator ausführen" starten

        Aufruf Keystore:
        java.exe -jar <pfad zur keystore-jar-datei>

         

    3. cacert-Datei öffnen:
      per "Datei, Öffnen" die cacert-Datei, die geändert werden soll, auswählen (Passwort: changeit). Beispiel:

       

    4. Import Zertifikat.
      Achtung: Je nach Version des Tools kann die Maske für den Import anders aussehen.
      Nach dem Öffnen "Schlüsselpaar importieren" wählen.
      Bei einigen Versionen muss man das Format wählen.

       

      Danach das Zertifikat auswählen. An dieser Stelle muss das Passwort für das Zertifikat eingegeben werden. Bitte keine Passwörter ändern.

      Als nächstes muss man den Aliasnamen bestätigen. Einfach mit “OK” weiter.

      Sollte nach einem Passwort gefragt werden, changeit eingeben. 

    5. Die cacert-Datei speichern.

 

Empfehlung: Das Zertifikat auch in die cacert-Datei der anderen enaio Services importieren (enaio Appconnector, Servicemanager …). Aufgrund permanenter Erhöhung der Sicherheit können sonst Abfragen oder Anmeldungen nicht erfolgen, siehe 7. “Besonderheiten/Sonstiges”.

Das Gateway neu starten und das Log prüfen. 
Gibt es Fehlermeldungen? Kann die Config gelesen werden? 
Im Erfolgsfall steht dort, dass der Service erfolgreich mit HTTPS gestartet ist. 

Dazu den enaio Enterprisemanager starten und bei Servereigenschaften alle URLs ohne Port auf https stellen. Die URL muss passend zum Zertifikat (SAN) sein.
Beispiel: https://meinserver.meinedomain.com/

Empfehlung: Das Zertifikat auch in die cacert-Datei der anderen enaio Services importieren (enaio Appconnector, Servicemanager …). Aufgrund permanenter Erhöhung der Sicherheit können sonst Abfragen, Weiterleitungen oder Anmeldungen nicht erfolgen.

Sollte ein Servicemanager mit Webclient vorhanden sein oder Schnittstellen über den REST-Service arbeiten, dann muss das Zertifikat auch in die cacert-Datei des Servicemanagers - mindestens in den Servicemanager mit Webclient und DMS-Service

Empfehlung: Das Zertifikat in das config-Verzeichnis kopieren und von dort importieren. 
Dazu den Schritt 4 wiederholen für die cacerts-Dateien des Servicemanagers. Je nach enaio Version und Patch-Stand können es 2 Verzeichnisse sein. 

Beispiel aus enaio 10.10: 

 

Ab enaio 11.10 kann auch der Windows-Zertifikatsspeicher verwendet werden. Anleitung am Beispiel Gateway NG erklärt: Wie kann man Windows-Zertifikatsspeicher-Verwendung einstellen - Beispiel Gateway-NG (Stichworte: SSL/HTTPS, Windows-Root-Zertifikat)?

 

Am besten über die Windows-Diensteverwaltung, empfohlen ist eine Dienste-stoppen.bat und Dienste-starten.bat

Für den Funktionstest:

  1. zuerst die Logs der Services prüfen, ob es Fehler gibt. 

  2. Client starten und ein Dokument recherchieren. Funktioniert die Vorschau Indexdaten + Dokument?

  3. Webclient (sofern vorhanden) aufrufen und testen. Bitte beachten, dass HTTPS eingegeben werden muss und der FQDN-Name (bzw. wie im Zertifikat angegeben). 

 

Das Zertifikat sollte vom Kunden erstellt werden. Für die Erstellung sind normalerweise mehr Rechte erforderlich, als unser Dienstbenutzer oder Supportbenutzer besitzt. Zudem ist das ROOT-Zertifikat bereits vorhanden, so dass man nur da Client-Zertifikat vertrauenswürdig machen muss. Wir liefern ein Beispiel-Zertifikat aus, das beim Kunden nicht aktiviert werden sollte, da es keine Domain-Kennung enthält. 

Bitte auch daran denken, dass bei HTTPS der FQDN-Name (lt. Zertifikat und Proxy-Einstellungen) verwendet werden sollte, sonst ist das Zertifikat nicht gültig!! 

Erlaubte Einträge stehen im Zertifikat bei “SubjectAlternativeName”. Für aktuelle Windows-Sicherheit sollte sogar die IP-Adresse hinzugefügt werden.

 

Verwandte Artikel