Um die Client-Server Kommunikation zu verschlüsseln, gibt es die Möglichkeit, die DSM Webservices (Client Webservice / Admin Webservice) über HTTPs laufen zu lassen.

Um die HTTP/HTTPs Funktionalität nutzen zu können, benötigen Sie zwingend die „DMZ Management Pack“ Lizenz.

Zusätzlich wird ein SSL Zertifikat benötigt. Dieses können Sie durch eine eigene CA erstellen lassen oder von einer der bekannten Zertifizierungsstellen kaufen.

Das SSL Zertifikat muss als erstes im IIS eingebunden werden:

IIS_Serverzertzifikat_small

Per Default läuft die DSM Website auf Port 8080. Damit die Webseiten auch über HTTPs erreichbar sind, muss eine zweite Bindung hinzugefügt werden. Den Port für HTTPs können Sie hierbei frei wählen. In der Regel wird für SSL-Verbindungen der Port 443 verwendet.

IIS_Binding_small

Damit nicht jeder Client ein eigenes Zertifikat benötigt, ist noch eine weitere Konfigurationsänderung am IIS notwendig. Ansonsten würde der Clientsync nicht mehr funktionieren, was einen Umgebungsstillstand bedeuten würde. Deshalb muss die Verwendung eines Clientzertifikats ignoriert werden.

IIS_IgnoreCertificate_small

Damit sind alle Einstellungen am IIS erledigt. Jetzt muss die DSM Umgebung noch angepasst werden, damit die Webservices auch über HTTPs sprechen.

Hierzu wechseln Sie in der Infrastruktur (ICDB) auf den BLS und lassen sich den Punkt „Management Point Server“ anzeigen. Hier stellen Sie „HTTPs für Webservices verwenden“ auf „Ja“ und setzen den Port, den Sie auch im IIS für HTTPs vergeben haben.

iis1_small

Nachdem Sie die Einstellungen gespeichert haben muss der „Core Service“ einmal durchgestartet werden, damit die Änderungen aktiv werden.

Zur Kontrolle können Sie einen Blick ins PerformSync.log werfen. Dort sollten Sie dann folgenden Eintrag finden:

https://:443/blsClientManagement/ClientManagementService.asmx

Auch in den IIS Logs sieht man, dass jetzt Port 443 anstatt 8080 verwendet wird.

Für das Staging der Installationssourcen über HTTPs muss für die Website, welche für den Depotzugriff verwendet werden soll, auch eine HTTPs Bindung eingerichtet werden. Hier kann jedoch der Port 443 nicht mehr verwendet werden. Für diese Site sollten Clientzertifikate ebenfalls ignoriert werden.

Nachdem die Bindung eingerichtet wurde, muss der Zugriff auf das Depot von HTTP auf HTTPs umkonfiguriert werden. Hierzu wird in der ICDB auf dem entsprechenden Depot der Wert von http://%CurrentServer%:8080 auf https://%CurrentServer%:8443 geändert.

https_depot_small

Sobald sich jetzt ein Client die neuen NCPs holt, wird auch HTTPs für das Staging von Massendaten verwendet.