Frischfisch

fish life reporting

Error 1312 wenn du versuchst MS Navision Instanzen mit SSL abzusichern

Hinterlasse einen Kommentar

SSL Certificate add failed, Error: 1312
A specified logon session does not exist. It may already have been terminated.

Im ERP Umfeld ist Datensicherheit das höchste Gebot. Daher sichert man Schnittstellen am einfachsten mit Zertifikaten ab. Hier in dem Fall ein MS Navision2018 Server der öffentlich seine OData Schnittstelle nach außen öffnen soll. OData wird gerne verwendet  um Business Intelligence System zu verknüpfen. Daher oderten wir bei Comodo ein SSL Wildcard Zertifikat und wollten dies mal schnell in unseren Navision Server importieren. Man erhält eine .cer Datei als Zertifikat, der Cert-Bundle mit der Zertifikatskette Richtung RootCA und die Key Datei.

Am besten erstellt man daraus eine pfx Datei die den privaten Schlüssel enthält um das dann anschließend per MMC zu importieren. Dabei kann man diverse Fehler machen so das man Ende nur Fehlermeldungen erhält.

Um nicht ins Chaos zu rennen hier ein paar Hinweise:

PFX DATEI: Ich hatte diese mit dem Keystore Explorer erstellt. Diese funktionierte jedoch nie so richtig beim Import und ich erstellte eine neue PFX Datei mit OpenSSL auf einem Debian Linux.

MMC: Snapin – Zertifikate – lokaler Computer. Die MMC muss immer mit „als Administrator“ ausführen ausgeführt werden, sonst rennt man schon in Berechtigungsprobleme den privaten Schlüssel zu lesen.

Beachtet man das nicht erhält man später in der NAV Administration Konsole nur komische Fehlermeldungen und es kann vorkommen das die OData Schnittstelle dicht macht!

Reihenfolge:

  1. SSL Zertifikat in PFX Datei umwandeln                                     Anleitung
  2. MMC als Administrator auf dem NAV Server öffnen
  3. SnapIn Zertifikate hinzufügen – lokaler Computer -> navigiere zur „Personal“ -“ Certificates“ -> rechte Maustaste -> „alle Tasks“ -> Importuntitled2
  4. Der Import Assistent erscheint, ich kann die PFX Datei auswählen und importieren (Man findet im Internet den Hinweis das der Export zugelassen sein sollte – bloss nicht aktivieren bitte sonst untergräbt man die Sicherheit enorm!)
  1. Zertifikat öffnen und den Thumbprint von den Zertifikatsdetails notieren! copy& paste geht nicht in der NAV Admin Konsole später, daher aufschreiben!  (ohne Leerzeichen)

clip_image002_thumb_28FF3268

6.  Dann in der MMC unter Personal – Certificates das SSL markieren, mit rechter Maustaste “ Alle Aktionen“ -> „manage private key“ wählen. Hier öffnen sich die Sicherheitseinstellungen des Zertifikates und hier müssen jetzt die Serviceaccounts von dem Navision Server berechtigt werden zum Lesen. Ansonsten kann man den privaten Schlüssel nicht lesen, ein Einbinden in Navision führt zu Fehlermeldungen ähnlich error 1312.

Erscheint hier „no private keys to manage“ stimmen die Berechtigungen nicht oder die MMC läuft nicht explizit mit Adminrechten.

7. Die NAV Admin Konsole öffnen, die Eigenschaften der Instanz aufrufen -> auf „edit“ klicken (unten rechts) und dann den Thumbprint in die NAV Instanz eintragen. Hier geht kein Copy & Paste! Dann erscheinen beim Speichern Fehlermeldungen. Einfach manuell eintragen beim der ersten Instanz. Man kann dann den Wert kopieren und in die Zwischenablage speichern. Beim Eintragen des Thumbprint auf weitere Instanzen geht copy & paste dann plötzlich doch wieder. Aber nur dann.

17395_3b663d999603559d1c6c5c79a7dbf039 (1)

8. Dann die Schnittstelle OData weiter unter öffnen und dort „enable SSL“ aktivieren.
Die Instanz muss dann einmal neu gestartet werden und SSL ist dann auf diesem IP Port aktiv.

Erhält man an der Stelle Fehlermeldungen hat der NAV Serviceaccount kein Leserecht auf den privaten Schlüssel im Zertifikatsspeicher!

Weitere Probleme kann man bekommen wenn man den Zertifikatsimport nicht 100% durchführen konnte. Navision nimmt an das die Schnittstelle schon abgesichert sei obwohl SSL auf dem Port nicht funktioniert. Der Port ist dann dicht. Das konnte nur behoben werden indem man den Zertifikatsrollout ohne Fehler wiederholt bis die Implementierung fehlerfrei läuft. Dann erst komm ich wieder an die OData Schnittstelle ran.

Viel Erfolg. Ich hab einige Zeit gebraucht dafür. Hoffe mit der Anleitung hier gehts bei anderen schneller.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s