SSL Zertifikat für FileMaker 19 Server erstellen (Linux, Mac, Windows)
Nachdem wir im vorherigen Blogbeitrag FileMaker Server 19.4 unter Linux installiert haben, müssen wie die Installation nun mit einem SSL Zertifikat sichern.
Die Schritte, um FileMaker per SSL abzusichern, sind unter allen drei unterstützten Serverplattformen, also Windows, macOS und Linux, gleich. Sie dürfen das also auch lesen, wenn Sie keinen Linux Server betreiben 🙂
Unser Server hat eine öffentliche IP Adresse, zum Beispiel 116.203.1.2.
Dafür bekommen Sie kein SSL Zertifikat.
Im ersten Schritt muss der Server einmal mit einem korrekten FQDN-Namen (Full qualified domain name) ausgestattet werden.
Mein Server wird fmserver.kundenname.schubec-hosting.com heißen.
Die Domain schubec-hosting.com wird vom Registrar DomainFactory betreut, daher konfiguriere ich den Bereich DNS im Admin Panel von DomainFactory.
Sie müssen sich ebenfalls in Ihre Domainverwaltung einloggen und dort einen sogenannten A-Record für die Domain fmserver.kundenname.schubec-hosting.com und Ihrer IP 116.203.1.2 anlegen, um beim oben genannten Beispiel zu bleiben.
(Zur Klarstellung: Sie verwenden natürlich ihre eigene Domain und konfigurieren diese bei Ihrem Anbieter!)
Je nach Anbieter dauert das jetzt 10 Sekunden oder 2 Stunden, bis der neue Eintrag aktiv ist.
Öffnen Sie die FileMaker Admin Console über den neuen DNS Namen. Die URL lautet nun https://fmserver.kundenname.schubec-hosting.com/admin-console
(Ab FileMaker Server 19.4, frühere Versionen verwenden andere Ports.)
Es erscheint eine Zertifikatswarnung, die wir “wegbestätigen” können. Das SSL Zertifikat ist ja noch nicht installiert. Das bedeutet auch, dass das DNS korrekt funktioniert.
Nun erscheint das Loginfenster der FileMaker Admin Console.
Nach dem Login fragt FileMaker Server, welches Zertifikat wir verwenden wollen.
Vorerst verwenden wir das FileMaker Standard Zertifikat.
…und akzeptieren das damit verbundene Risiko. Wir werden das ja im Anschluss sofort ändern!
Wir wechseln nun auf “Konfiguration” und “SSL-Zertifikat”.
Hier erstellen wir ein CSR (Certificate Signing Request).
Füllen Sie das Formular aus und passen Sie die Werte Ihren Gegebenheiten an. Achten Sie auf den Punkt Domänname. Hier ist der “DNS Name” oder FQND (Full qualified domain name) gemeint, also zB fmserver.kundenname.schubec-hosting.com
Vergeben Sie außerdem ein SSL Zertifikat Passwort. Merken Sie sich das, Sie brauchen das später und dann jedes Jahr für die Verlängerung.
Vertippen Sie sich nicht, sonst bekommen Sie später ein Problem. Lieber 2 mal prüfen!
Der CSR ist eine lange “Buchstabenwurst”. Das Ding ist aber wichtig! Heben Sie den CSR gut auf. Sie werden ihn dann jedes Jahr (für die Verlängerung des Zertifikates) benötigen!
Nun brauchen wir eine offizielle Stelle, die unseren “Certificate Request” auch bestätigt. Ich nutze dafür www.ssls.com
Kaufen Sie hier ein PositiveSSL für 1 Jahr oder nutzen Sie die 30 Tage kostenlose Trial Version. (Besser Sie kaufen es gleich, sonst haben Sie in 30 Tagen wieder einen Haufen Arbeit und so teuer sind die Zertifikate nicht).
Wenn Sie den Promocode sslscomrocks mit diesem Link nutzen, dann können Sie (je nach Zertifikat und Angebot) zwischen 4% und 60% sparen. (Bitte um Feedback, obs wirklich klappt, ich kann das nicht testen.)
Auf der Checkout Seite können Sie im Prinzip eingeben was Sie wollen, das hat nur mit der Rechnung für ssls.com zu tun, nichts mit den Werten im Zertifikat. (zB erstelle ich das Zertifikat für die Kundenname GmbH und die Rechnung bezahlt die schubec GmbH. Das ist kein Problem.)
Nachdem per Kreditkarte bezahlt wurde, muss das Zertifikat aktiviert werden. Tun Sie das jetzt.
Geben Sie wieder den FQDN ein, also fmserver.kundenname.schubec-hosting.com
Wählen Sie nun die Option “I have a CSR”. Den haben wir ja gerade oben in der FileMaker Admin Console erzeugt. Per Copy & Paste wird die “Textwurst” hier eingesetzt.
Nun müssen Sie noch irgendwie bestätigen, dass Sie wirklich der sind, für den Sie sich ausgeben. In meinem Fall bedeutet das, dass ich bestätigen muss, dass ich die Domain schubec-hosting.com “verwalte”. Am einfachsten funktioniert das, indem ich mir ein Email auf die webmaster@schubec-hosting.com senden lasse. Sie können hier natürlich auch andere Variante auswählen.
Per Email an die oben gewählte Adresse bekomme ich nun einen Code zugeschickt.
Diesen gebe ich ins Webformular ein.
Und fertig.
In einem weiteren Email bekomme ich nun das SSL Zertifikat in einem ZIP File.
Legen Sie das ZIP File auf Ihren Schreibtisch und extrahieren Sie es. Darin finden Sie 2 Dateien.
- fmserver_kundenname_schubec-hosting_com.crt (Das ist die signierte Zertifikatsdatei)
- fmserver_kundenname_schubec-hosting_com.ca-bundle (Das ist die Zertifikatzwischendatei)
Zurück in der FileMaker Admin Console wähle ich nun “Eigenes Zertifikat importieren”.
Sie benötigen nun 3 Dateien und 1 Passwort:
- Signierte Zertifikatsdatei
- Private Schlüsseldatei
- Zertifikatzwischendatei
- Privates Schlüsselpasswort
Datei 1. und 3. haben Sie per Email bekommen. Das Passwort 4. haben Sie oben selbst beim Erstellen des CSR vergeben und können sich hoffentlich noch erinnern.
“Problematisch” ist die Datei 2., weil die liegt am FileMaker Server. Wir kommen da nicht per Weboberfläche ran.
Unter Windows finden Sie die Datei unter C:\Programmer\FileMaker\FileMaker Server\CStore\serverKey.pem
Unter Mac finden Sie die Datei unter /Library/FileMaker Server/CStore/serverKey.pem
Unter Linux finden Sie die Datei unter /opt/FileMaker Server/CStore/serverKey.pem
Kopieren Sie diese Datei serverKey.pem am besten auf Ihren Schreibtisch dort hin, wo Sie bereits die anderen beiden Zertifikatsdateien liegen.
Nun können Sie alle 3 Dateien ins Webformular eintrage, das Passwort angeben und speichern.
Nun rebooten Sie am besten den ganzen Server!
Nach dem Neustart können Sie die FileMaker Admin Console öffnen, wechseln Sie wieder zum Reiter “Konfiguration” > “SSL-Zertifikat”.
Sie sehen nun, dass das Zertifikat aktiv ist.
Wenn Sie im Browser das Zertifikat prüfen, dann ist es auch dort natürlich aktiv und gültig.
Wenn Sie nun mit FileMaker Pro Client die FM Server Sample Datei öffnen und für die Verbindung nicht die IP Adresse sondern den FQDN verwenden, dann sehen Sie oben das grüne Schloss. Ein Klick darauf bestätigt die Verschlüsselung.
Auch FileMaker Go unterstützt dieses SSL Zertifikat und zeigt ein grünes Schloss.
Alles ist gut!
In der Praxis bleibt jetzt “nur noch” Backups einrichten, Firewall konfigurieren, Server überwachen etc. etc. :-
16. Juni 2023 at 21:13 |
Moin, Bernhard, auf Deine ausführliche Beschreibung für Linux, Windows, macOS komme ich über eine Google-Suche mit den Suchwörtern: “Eigenes Zertifikat” FileMaker macOS.
Ich brauche für das Test-Cert von FM für FMS17 eine Verlängerung, das lief im Januar 2022 ab. Mein FMS ist zu Hause in einer VM. Die Fritzbox hat keine feste IPv4-Anschrift, sondern wird über dynDNS Marke Eigenbau gefunden. Mit FMS10 in VM und FMS15 läuft das seit 2015 störungsfrei mit damaligen Test-Zertifikaten, allerdings mit https für das dynDNS.
Bin mir nicht sicher, ob ich für meine werkwelt.de-Domain bei Hetzner Subdomains einrichten kann. Bisher habe ich mehrere php-Seiten, die gezielt unterschiedliche FM-Datenbanken öffnen.
Zertifikats-Erstellung über Let’s encrypt halte ich für möglich, wenn die feste IP nicht Voraussetzung ist.
Lizenz für FMS20/2023 liegt vor, dennoch verbleibe ich bei FMS17, weil zu viele ältere Hardware berücksichtigt werden muß. Außerdem gibt es bei Anwendern viele ältere Datenbankprojekte, die nicht einfach liegengelassen werden können. Die Einstiegshürde für junge Einsteiger muß möglichst doch noch niedrig gehalten sein. Nachwuchs ist sowieso wenig.
Freundlicher Gruß, Norbert Lindenthal
3. August 2023 at 8:53 |
Hallo Bernhard,
ich habe einen FileMaker 19 Server auf einem Mac Mini macOS Big Sur.
Dort habe ich ein wildcard SSL Zertifikat über die Admin-Konsole aktualisiert.
Wenn ich nun im FileMaker pro Client eine Datenbank von dort öffnen, dann wird mir das aktuelle Zertifkat mit dem aktuellen Ablaufdatum angezeigt.
Wenn ich nun aber eine Datenbank über webdirect im Webbrowser öffen, dann wird dort immer noch das alte Ablaufdatum angezeigt.
Muss hier bei einem FilerMaker Server auf macOS noch etwas berücksichtigt werden, wenn man das SSL Zertifkat aktualisiert?
(auf einem Windows Server reicht es aus das SSL Zertifikat nur über die Admin-Konsole neu einzuspielen um es zu aktualisieren. Für web und FileMaker pro Client)
Schöner Gruss Richard
3. August 2023 at 9:26 |
Normalerweise sollte eine Neustart des Servers reichen…
Kann ich jetzt so per Ferndiagnose auch nicht genau sagen, was da das Problem sein könnte…