Die Prozedur funktionierte einwandfrei; glücklicherweise hatte ich ein bis zwei Wochen Zeit, die neue Konfiguration auf den Clients bereitzustellen. Andernfalls wäre es mit Certificate Pinning und dem Wechsel der Zertifizierungsstelle unweigerlich zu einem Verbindungsverlust bei allen Clients gekommen.


Seien Sie vorsichtig mit dem Zertifikatspaket…

Schade, keine Antwort.
Deshalb beantworte ich die Frage selbst (vielleicht hilft es ja jemandem).

Mein Plan:

Ich werde versuchen, ein Paket bereitzustellen, das das Pinning (verify_cert = 1) auf Clientseite deaktiviert.
Da die Zertifikate nicht selbstsigniert sind, bleibt die SSL-Verschlüsselung gültig.

Mit Clientzertifikaten ist es definitiv sicherer.

In einer Community-Umgebung können Sie die Sicherheit zusätzlich erhöhen, indem Sie die Kommunikation anhand der IP-Adressen der Websites filtern (sofern diese statisch sind) und bei der Erstinstallation des WAPT-Clients ein Passwort verlangen.

Das wollte ich nur mal anmerken…

Hallo,

diese Konfiguration nutzen wir in der Community Edition und sie funktioniert einwandfrei.

Wir haben mehrere Arbeitsstationen an dreizehn Standorten, die über das Internet mit einem Server kommunizieren. Die Verbindung wird von der Arbeitsstation zum Server hergestellt.
Der Datenfluss zwischen den Arbeitsstationen und dem Server ist verschlüsselt.

Hallo,

mein SSL-Zertifikat auf meinem WAPT-Server läuft demnächst ab.
Aufgrund eines Providerwechsels wurde das neue Zertifikat nicht von derselben Zertifizierungsstelle ausgestellt wie das erste (das vor zwei Jahren ausgestellt wurde).

Wie kann ich dieses neue Zertifikat einsetzen?