/
enaio® server und die Clients (enaio 11.10)

enaio® server und die Clients (enaio 11.10)

Owned by Michael Peschke (Unlicensed)
Last updated: May 22, 2025 by Technische Redaktion

Die hier aufgeführten Konfigurationsschritte werden nur benötigt, wenn auch die Kommunikation von enaio® client zu enaio® server, bzw. von den Services zu enaio® server über ein benutzerdefiniertes Zertifikat abgesichert werden soll. Ansonsten wird diese Kommunikation über ein eingebautes Zertifikat gesichert.

Falls Sie ein SSL-Zertifikat für enaio® server einbinden wollen, dann müssen Sie folgende Konfigurationsdateien anpassen:

  • Jeweils für enaio® server, enaio® client, für die administrativen Clients und für Komponenten wie enaio® capture: osssl.cfg

  • Jeweils für enaio® client, für die administrativen Clients und für Komponenten wie enaio® capture: asinit.cfg

  • Für enaio® gateway: application-prod.yml

  • Für enaio® service-manager: application-blue.yml

  • Für enaio® documentviewer: config.properties

  • Für enaio® appconnector: osrest.properties

enaio® server

osssl.cfg von enaio® server

Die Konfigurationsdatei osssl.cfg wird in das Installationsverzeichnis von enaio® server installiert. Folgende Dateien müssen angepasst werden.

Server: osssl.cfg

Anpassung

Server: osssl.cfg

Anpassung

[osclient_ssl_section]

VerifyMode = Peer 

IgnoreInternalCert = true

...

[osclient_ssl_section]

VerifyMode = Peer

IgnoreInternalCert = true 

Die Option IgnoreInternalCert muss gesetzt werden, um auszuschließen, dass die Kommunikation aufgrund interner enaio Zertifikate aufgebaut werden kann.

Das Root Zertifikat muss in den Microsoft Certification Store zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt werden. Dies entspricht der Datei CustomRootCA.crt (siehe Beispiele für die Erstellung der selbstsignierten Zertifikate).

image-2025-3-28_11-38-57-20250522-142152.jpg

Wichtig: Bei einem Multi-Server-Setup, bei dem die enaio®-Server direkt miteinander kommunizieren, kann ein Server auch im Client-Modus arbeiten, weshalb dieser Abschnitt benötigt wird.

[osserver_ssl_section]

Certificate = dateiname

...

Pfad zu einer Datei im PEM-Format, die das Serverzertifikat enthält, z. B. D:/server/tls/<my-cert>.pem.

Die PEM-Datei sollte sowohl das Serverzertifikat (vollständige Zertifizierungskette bis einschließlich des Stammzertifikats) als auch den privaten Schlüssel des Serverzertifikats enthalten.

Bei der Verwendung von selbstsignierten Zertifikaten ist dies enaioCertificateFullChainWithKey.pem.

[osserver_private_section]
pwd = <passwort>

...

Passwort für das (selbstsignierte) Serverzertifikat, z. B. enaioCertificateFullChainWithKey.pem.

Bitte beachten Sie, dass das Passwort mit dem enaio® server-Tool axencryptpwd.exe verschlüsselt werden muss, das sich im Ordner Tools auf dem Installationsmedium befindet. Da das verschlüsselte Passwort mit "$" beginnt, muss es mit "\" (Backslash) maskiert werden.

Diese Änderungen müssen für jeden enaio® server vorgenommen werden.

enaio® server Zertifikate

enaio® server werden zum Installationszeitpunkt über ihre IP-Adresse in der Lizenzdatei identifiziert, daher findet die Identifikation der enaio® server über deren IP-Adressen statt. Aus diesem Grund müssen in den gelieferten Zertifikaten die entsprechenden IP-Adressen aller enaio® server in den X509v3 Subject Alternative Name eingetragen werden. Im Falle, dass die Zertifikate nicht darauf vorbereitet wurden, kann für die Kommunikation zwischen enaio® servern zwischenzeitig die Prüfung des Common Name über die Registrierungen der entsprechenden Server im Schalter Security/SSL/MSIgnoreB2BCommonName ausgeschaltet werden.

Clients

Bitte beachten Sie, dass die folgenden enaio®-Komponenten als Clients mit dem Server kommunizieren und alle Konfigurationsdateien aktualisiert werden müssen:

  • enaio® client → <enaio Installationspfad>\clients\client32\osssl.cfg und <enaio Installationspfad>\clients\client32\asinit.cfg

  • enaio® administrator → <enaio Installationspfad>\clients\administration\osssl.cfg und <enaio Installationspfad>\clients\administration\asinit.cfg

    • enaio® enterprise-manager

    • enaio® editor

    • enaio® editor-for-workflow

    • enaio® administrator-for-workflow

  • enaio® capture → <enaio Installationspfad>\clients\capture\osssl.cfg und <enaio Installationspfad>\clients\capture\asinit.cfg

osssl.cfg der Clients

Die Konfigurationsdatei osssl.cfg wird in das Installationsverzeichnis aller Clients installiert. Diese Dateien müssen angepasst werden.

Clients: osssl.cfg

Anpassung

Clients: osssl.cfg

Anpassung

[osclient_ssl_section]

VerifyMode = Peer 

IgnoreInternalCert = true

...

[osclient_ssl_section]

VerifyMode = Peer

IgnoreInternalCert = true

Die Option IgnoreInternalCert muss gesetzt werden, um auszuschließen, dass die Kommunikation aufgrund interner enaio Zertifikate aufgebaut werden kann.

Das Root Zertifikat muss in den Microsoft Certification Store zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt werden. Dies entspricht der Datei CustomRootCA.crt (siehe Beispiele für die Erstellung der selbstsignierten Zertifikate).

image-2025-3-28_11-38-57-20250522-142458.jpg

asinit.cfg der Clients

Clients: asinit.cfg

Anpassung

Clients: asinit.cfg

Anpassung

[ARCHIVE]
Comstring=<Server_FQDN>#<ServerPort>
COMMODULE=axavapps.dll

[SERVER]
info=loeschen Sie das Semikolon vor dem Sektionsnamen "Server", um die Auswahl der Server beim Start des Clients zu aktivieren
SERVER0=<Server_FQDN>#<ServerPort>

[REGISTRATION]

...

Stellen Sie sicher, dass alle Einträge in der Datei asinit.cfg, die sich auf die Adresse von enaio® server beziehen, aktualisiert werden und die FQDNs enthalten.

Beispiel:

'[ARCHIVE]' → CommString=<Server_FQDN>#<ServerPort>

'[SERVER]' → SERVER0=<Server_FQDN>#<ServerPort>

usw.

Der Standard-Serverport ist 4000 (wie in der Dokumentation definiert). Falls ein benutzerdefinierter Server-Port verwendet wird, müssen Sie ihn auch hier ändern.

Andere Konfigurationsdateien

Datei application-prod.yml von enaio® gateway

Ergänzen Sie in der Datei application-prod.yml aus dem Verzeichnis \Services\gateway\apps\os_gateway\config\ folgende Zeile:

application-prod.yml

ecm.server.useCustomSSLcontext: true server.balanced: <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht, einschließlich Port und Gewichtung>

Datei application-blue.yml von enaio® service-manager

Ergänzen Sie in der Datei application-blue.yml aus dem Verzeichnis \service-manager\config\ folgende Zeile:

application-blue.yml

enaio.dms.useCustomSSLcontext: true enaio.dms.server: <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

Datei config.properties von enaio® documentviewer

Ergänzen Sie in der Datei config.properties aus dem Verzeichnis \webapps\osrenditioncache\WEB-INF\classes\config von enaio® documentviewer folgende Zeile:

config.properties

session.useCustomSSLcontext = true rendition.restAddress = https://<FQDN vom server, wo der documentviewer Service läuft, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:8070/renditionplus/rest/renCache server.balanced = <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

Datei osrest.properties von enaio® appconnector

Ergänzen Sie in der Datei osrest.properties aus dem Verzeichnis \configuration von enaio® appconnector folgende Zeile:

osrest.properties

useCustomSSLcontext = true connection.string = <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Server-Zertifikats verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich vom Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:

  • enaio® gateway

  • enaio® service-manager

  • enaio® appconnector

  • enaio® documentviewer

Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft. Bitte lesen Sie die entsprechenden Dokumentationsseiten im Abschnitt enaio® gateway (enaio 11.10) bzw. Serviceübergreifende Kommunikation (enaio 11.10).