Verwenden des CLI-Befehls „certificate“

Verwenden Sie den CLI-Befehl certificate, um ein signiertes Zertifikat passend für den Servernamen oder einen Domain Name System- (DNS-) Namen für eine vollständig sichere SSL-Verbindung mit FileMaker Server zu erstellen.

FileMaker Server wird mit einem Standardzertifikat geliefert, das auf dem Datenbank-Server installiert ist, und einem Stammzertifikat, das mit der FileMaker Pro- und FileMaker Go-Software geliefert wird. Stellen Sie bei Verwendung dieses Zertifikats sicher, dass das Server-Zertifikat auf dem Rechner installiert ist, auf dem der Datenbank-Server ausgeführt wird, und das Client-Zertifikat auf den FileMaker Pro- und FileMaker Go-Clientcomputern installiert ist.

Sie können den Befehl certificate verwenden und ein signiertes Zertifikat von einer Zertifizierungsstelle anfordern, das zu Ihrem speziellen Servernamen bzw. DNS-Namen passt. Eine Zertifizierungsstelle erteilt digitale Zertifikate, die einen öffentlichen Schlüssel und die Identität des Eigentümers enthalten. Wenn Sie die Zertifikatanforderung erstellen, wird für den öffentlichen Schlüssel ein entsprechender privater Schlüssel generiert.

  • Verwenden Sie den Befehl certificate create, um eine Zertifikatanforderungsdatei zu erstellen, die Sie der Zertifizierungsstelle senden (serverRequest.pem), sowie eine verschlüsselte private Schlüsseldatei, die vom Befehl certificate import verwendet wird (serverKey.pem).

  • Diagramm mit Befehl „certificate create“, der die Dateien serverRequest.pem und serverKey.pem erstellt

    Der Befehl certificate create erstellt zwei Ausgabedateien:

    • die verschlüsselte private Schlüsseldatei: serverRequest.pem

      Reichen Sie die serverRequest.pem-Datei an die Zertifizierungsstelle über den von der Zertifizierungsstelle angegebenen Prozess ein.

    • die verschlüsselte private Schlüsseldatei: serverKey.pem

      Der Befehl certificate import kombiniert diese Datei mit der von der Zertifizierungsstelle an Sie zurückgesendeten Zertifikatdatei.

    Hinweis  Verwenden Sie bei der Erstellung einer Serveranfrage ein Verschlüsselungspasswort für einen privaten Schlüssel. Zum Beispiel: certificate create --keyfilepass beispielGeheimesPasswort

  • Verwenden Sie den Befehl certificate import, um eine eigene Server-.pem-Datei zu erstellen. Diese eigene Server-.pem-Datei kombiniert die Zertifikatdatei, die Sie von der Zertifizierungsstelle zurückbekommen, mit der verschlüsselten privaten Schlüsseldatei, die durch den Befehl certificate create erstellt wurde.

  • Diagramm mit Befehl „certificate import“, der eine serverCustom.pem aus Zertifikat- und serverKey.pem-Dateien erstellt

Hinweis  Um Informationen in die Datei serverkey.pem zu schreiben, müssen Sie über Administratorrechte verfügen. Wenn Sie nicht über Administratorrechte verfügen, erzeugt Windows, macOS bzw. Linux einen Fehler. So verhindern Sie diesen Fehler:

  • Windows: Öffnen Sie das Befehlszeilenfenster über Als Administrator ausführen.

  • macOS oder Linux: Authentifizieren Sie sich als sudo, um Befehle als Superuser auszuführen.

Format

fmsadmin certificate create Servername

fmsadmin certificate create Betreff

fmsadmin certificate import Zertifikatdatei

Optionen

Servername | Betreff

Servername oder Betreff ist für den Befehl certificate create erforderlich.

Servername ist der Wert, den Clients verwenden, um bereitgestellte Dateien mithilfe des FileMaker-Netzwerkprotokolls fmnet zu öffnen.

Wenn FileMaker Pro-Clients zum Beispiel fmnet:/salesdbs.mycompany.com/vertrieb verwenden, um die bereitgestellte Datenbank „Vertrieb“ zu öffnen, verwenden Sie folgenden Befehl zusammen mit salesdbs.mycompany.com als Servername:

fmsadmin certificate create salesdbs.mycompany.com --keyfilepass beispielGeheimesPasswort

Betreff kann verwendet werden, um weitere Informationen als nur den Servernamen mit einzuschließen. (Einige Zertifizierungsstellen erfordern zusätzliche Informationen.) Betreff verwendet die gleiche Syntax wie das Argument im Befehl openssl req [-subj arg]:

  • Bei Betreff wird nicht zwischen Groß-/Kleinschreibung unterschieden.

  • Betreff muss als /typ0=wert0/typ1=wert1/typ2=... formatiert sein, wobei jedes typ=wert-Paar ein Attributtyp und Wert für einen relativen eindeutigen Namen ist.

  • Verwenden Sie den umgekehrten Schrägstrich (\), um Sonderzeichen einzuleiten.

  • Verwenden Sie doppelte Anführungszeichen, um die Betreff-Zeichenfolge zu umschließen, falls sie Leerzeichen enthält.

Um zum Beispiel den allgemeinen DNS-Namen „salesdbs.mycompany.com“ und den Länderwert „US“ zu verwenden, verwenden Sie den folgenden Befehl:

fmsadmin certificate create /CN=salesdbs.mycompany.com/C=US --keyfilepass beispielGeheimesPasswort

Das folgende Beispiel zeigt zusätzliche Attribute, die über die Option „Betreff“ angegeben werden können:

fmsadmin certificate create "/CN=ets-srvr.filemaker.com/O=FileMaker DBS Test/C=US/ST=California/L=Santa Clara" --keyfilepass beispielGeheimesPasswort

Optionen

Zertifikatdatei

Zertifikatdatei ist erforderlich für den Befehl certificate import.

Zertifikatdatei ist der vollständige Pfadname für die eigene SSL-Zertifikatdatei, die Sie von der Zertifizierungsstelle erhalten haben. Sie können einen absoluten oder einen relativen Pfadnamen verwenden.

Wenn die Zertifikatdatei zum Beispiel unter c:\Dokumente\signedCertificate.crt gespeichert ist, verwenden Sie folgenden Befehl:

fmsadmin certificate import c:\Documents\signedCertificate.crt

Der Befehl certificate import kombiniert die signierte Zertifikatdatei mit der Datei serverKey.pem und erstellt eine Datei serverCustom.pem. Die Datei serverCustom.pem wird im CStore-Ordner erstellt:

  • Windows: [Laufwerk]:\Programme\FileMaker\FileMaker Server\CStore\serverCustom.pem

  • macOS: /Library/FileMaker Server/CStore/serverCustom.pem

  • Linux: /opt/FileMaker/FileMaker Server/CStore/serverCustom.pem

So verwenden Sie den Befehl certificate import:

  • Windows: Sie benötigen Administratorrechte für den Ordner CStore.

  • macOS und Linux: Sie benötigen Lese- und Schreibberechtigung für den Ordner CStore.

Nachdem Sie den Befehl certificate import verwendet haben, müssen Sie den Datenbank-Server neu starten. Wenn nach einem Neustart der Datenbank-Server serverCustom.pem nicht findet, verwendet er die server.pem-Standarddatei.