SSL Zertifikat für FileMaker 19 Server erstellen (Linux, Mac, Windows)
Nachdem wir im vorherigen Blogbeitrag FileMaker Server 19.4 unter Linux installiert haben, müssen wie die Installation nun mit einem SSL Zertifikat sichern.
Die Schritte, um FileMaker per SSL abzusichern, sind unter allen drei unterstützten Serverplattformen, also Windows, macOS und Linux, gleich. Sie dürfen das also auch lesen, wenn Sie keinen Linux Server betreiben 🙂
Unser Server hat eine öffentliche IP Adresse, zum Beispiel 116.203.1.2.
Dafür bekommen Sie kein SSL Zertifikat.
Im ersten Schritt muss der Server einmal mit einem korrekten FQDN-Namen (Full qualified domain name) ausgestattet werden.
Mein Server wird fmserver.kundenname.schubec-hosting.com heißen.
Die Domain schubec-hosting.com wird vom Registrar DomainFactory betreut, daher konfiguriere ich den Bereich DNS im Admin Panel von DomainFactory.
Sie müssen sich ebenfalls in Ihre Domainverwaltung einloggen und dort einen sogenannten A-Record für die Domain fmserver.kundenname.schubec-hosting.com und Ihrer IP 116.203.1.2 anlegen, um beim oben genannten Beispiel zu bleiben.
(Zur Klarstellung: Sie verwenden natürlich ihre eigene Domain und konfigurieren diese bei Ihrem Anbieter!)

Je nach Anbieter dauert das jetzt 10 Sekunden oder 2 Stunden, bis der neue Eintrag aktiv ist.
Öffnen Sie die FileMaker Admin Console über den neuen DNS Namen. Die URL lautet nun https://fmserver.kundenname.schubec-hosting.com/admin-console
(Ab FileMaker Server 19.4, frühere Versionen verwenden andere Ports.)
Es erscheint eine Zertifikatswarnung, die wir “wegbestätigen” können. Das SSL Zertifikat ist ja noch nicht installiert. Das bedeutet auch, dass das DNS korrekt funktioniert.


Nun erscheint das Loginfenster der FileMaker Admin Console.

Nach dem Login fragt FileMaker Server, welches Zertifikat wir verwenden wollen.

Vorerst verwenden wir das FileMaker Standard Zertifikat.

…und akzeptieren das damit verbundene Risiko. Wir werden das ja im Anschluss sofort ändern!

Wir wechseln nun auf “Konfiguration” und “SSL-Zertifikat”.

Hier erstellen wir ein CSR (Certificate Signing Request).

Füllen Sie das Formular aus und passen Sie die Werte Ihren Gegebenheiten an. Achten Sie auf den Punkt Domänname. Hier ist der “DNS Name” oder FQND (Full qualified domain name) gemeint, also zB fmserver.kundenname.schubec-hosting.com
Vergeben Sie außerdem ein SSL Zertifikat Passwort. Merken Sie sich das, Sie brauchen das später und dann jedes Jahr für die Verlängerung.
Vertippen Sie sich nicht, sonst bekommen Sie später ein Problem. Lieber 2 mal prüfen!
Der CSR ist eine lange “Buchstabenwurst”. Das Ding ist aber wichtig! Heben Sie den CSR gut auf. Sie werden ihn dann jedes Jahr (für die Verlängerung des Zertifikates) benötigen!

Nun brauchen wir eine offizielle Stelle, die unseren “Certificate Request” auch bestätigt. Ich nutze dafür www.ssls.com
Kaufen Sie hier ein PositiveSSL für 1 Jahr oder nutzen Sie die 30 Tage kostenlose Trial Version. (Besser Sie kaufen es gleich, sonst haben Sie in 30 Tagen wieder einen Haufen Arbeit und so teuer sind die Zertifikate nicht).
Wenn Sie den Promocode sslscomrocks mit diesem Link nutzen, dann können Sie (je nach Zertifikat und Angebot) zwischen 4% und 60% sparen. (Bitte um Feedback, obs wirklich klappt, ich kann das nicht testen.)

Auf der Checkout Seite können Sie im Prinzip eingeben was Sie wollen, das hat nur mit der Rechnung für ssls.com zu tun, nichts mit den Werten im Zertifikat. (zB erstelle ich das Zertifikat für die Kundenname GmbH und die Rechnung bezahlt die schubec GmbH. Das ist kein Problem.)

Nachdem per Kreditkarte bezahlt wurde, muss das Zertifikat aktiviert werden. Tun Sie das jetzt.

Geben Sie wieder den FQDN ein, also fmserver.kundenname.schubec-hosting.com

Wählen Sie nun die Option “I have a CSR”. Den haben wir ja gerade oben in der FileMaker Admin Console erzeugt. Per Copy & Paste wird die “Textwurst” hier eingesetzt.

Nun müssen Sie noch irgendwie bestätigen, dass Sie wirklich der sind, für den Sie sich ausgeben. In meinem Fall bedeutet das, dass ich bestätigen muss, dass ich die Domain schubec-hosting.com “verwalte”. Am einfachsten funktioniert das, indem ich mir ein Email auf die webmaster@schubec-hosting.com senden lasse. Sie können hier natürlich auch andere Variante auswählen.


Per Email an die oben gewählte Adresse bekomme ich nun einen Code zugeschickt.

Diesen gebe ich ins Webformular ein.

Und fertig.

In einem weiteren Email bekomme ich nun das SSL Zertifikat in einem ZIP File.

Legen Sie das ZIP File auf Ihren Schreibtisch und extrahieren Sie es. Darin finden Sie 2 Dateien.

- fmserver_kundenname_schubec-hosting_com.crt (Das ist die signierte Zertifikatsdatei)
- fmserver_kundenname_schubec-hosting_com.ca-bundle (Das ist die Zertifikatzwischendatei)
Zurück in der FileMaker Admin Console wähle ich nun “Eigenes Zertifikat importieren”.

Sie benötigen nun 3 Dateien und 1 Passwort:

- Signierte Zertifikatsdatei
- Private Schlüsseldatei
- Zertifikatzwischendatei
- Privates Schlüsselpasswort
Datei 1. und 3. haben Sie per Email bekommen. Das Passwort 4. haben Sie oben selbst beim Erstellen des CSR vergeben und können sich hoffentlich noch erinnern.
“Problematisch” ist die Datei 2., weil die liegt am FileMaker Server. Wir kommen da nicht per Weboberfläche ran.
Unter Windows finden Sie die Datei unter C:\Programmer\FileMaker\FileMaker Server\CStore\serverKey.pem

Unter Mac finden Sie die Datei unter /Library/FileMaker Server/CStore/serverKey.pem
Unter Linux finden Sie die Datei unter /opt/FileMaker Server/CStore/serverKey.pem

Kopieren Sie diese Datei serverKey.pem am besten auf Ihren Schreibtisch dort hin, wo Sie bereits die anderen beiden Zertifikatsdateien liegen.

Nun können Sie alle 3 Dateien ins Webformular eintrage, das Passwort angeben und speichern.

Nun rebooten Sie am besten den ganzen Server!

Nach dem Neustart können Sie die FileMaker Admin Console öffnen, wechseln Sie wieder zum Reiter “Konfiguration” > “SSL-Zertifikat”.

Sie sehen nun, dass das Zertifikat aktiv ist.
Wenn Sie im Browser das Zertifikat prüfen, dann ist es auch dort natürlich aktiv und gültig.

Wenn Sie nun mit FileMaker Pro Client die FM Server Sample Datei öffnen und für die Verbindung nicht die IP Adresse sondern den FQDN verwenden, dann sehen Sie oben das grüne Schloss. Ein Klick darauf bestätigt die Verschlüsselung.

Auch FileMaker Go unterstützt dieses SSL Zertifikat und zeigt ein grünes Schloss.
Alles ist gut!
In der Praxis bleibt jetzt “nur noch” Backups einrichten, Firewall konfigurieren, Server überwachen etc. etc. :-
Kommentieren und Diskutieren