Inhaltsverzeichnis
Werbung
6 Security Guide
des Device Managers zu Rate gezogen werden. Das Zertifikat muss auf einem anderen Gerät erstellt werden,
da die microSync nur im Fall, dass kein Zertifikat existiert (bei erstmaliger Inbetriebnahme) ein Zertifikat mit
vordefinierten Werten generiert.
Zur Erstellung eines Zertifikats kann eine gängige PKI-Lösung oder z.B. das quelloffene Werkzeug OpenSSL
genutzt werden. Das Zertifikat mit Schlüssel wird von der microSync akzeptiert, sofern es als X.509-v3-Zertifikat
im pem-Format unverschlüsselt vorliegt. Meinberg rät, ein Zertifikat mit einer Schlüssellänge von mindestens
2048Bit zu verwenden und die Laufzeit so kurz wie möglich auszulegen. Außerdem sollte bei der Erstellung des
Zertifikats darauf geachtet werden, dass der richtige Subject Alternative Name (SAN) (meistens der DNS-Name
des Geräts) und die erweiterte Schlüsselverwendung („Server Authentication") im Zertifikat hinterlegt sind.
Abbildung 6.2: Ein und Ausschalten der microSync Dienste
Nachdem das Zertifikat installiert wurde, sollte über den Browser eine Verbindung hergestellt werden, um zu
überprüfen, ob das Zertifikat erneuert wurde. Die Browserhersteller haben für gewöhnlich Anleitungen, wie
man sich das verwendete Zertifikat anzeigen lassen kann. Anschließend können die nicht benötigten Services
deaktiviert werden. Die Dienste müssen ebenfalls über den Device Manager, wie in Abbildung 6.2 zu sehen,
konfiguriert werden. Das Webinterface, NTP und SNMP können über den Menüpunkt Services gestoppt und
gestartet werden. PTP ist nur aktiv, wenn über den Menüpunkt PTP eine Instanz angelegt wird. Der SSH-
Dienst kann nicht gänzlich deaktiviert werden und es werden immer alle Dienste für alle Schnittstelle an bzw.
ausgeschaltet, mit der Ausnahme von PTP.
microSync
Datum: 11. August 2022
53
Werbung
Inhaltsverzeichnis
