Hoe is de melding over een onveilige verbinding bij het aanloggen aan een FMServer 16/17 te onderdrukken?

[Banach]

Situatie: Klant heeft een FMServer 16 beschikbaar alleen op het intranet. Clients FM16/17 onder Windows 10. Telkens wanneer een client computer wordt opgestart wordt een schone Windows 10 Installatie gebruikt. Wanneer nu een client wil aanloggen op de FMServer krijgt deze het waarschuwingsvenster dat het een onveilige verbinding is.

MIjn vraag is of, en zo ja, hoe deze melding in deze situatie is te onderdrukken.

[menno]

Het beste kan je gewoon een certificaat installeren en de interne dns naar de fqdn van het certificaat van deze server laten verwijzen. Het certificatie kost je 8 euro per jaar bij xolphin.nl en je hoeft alleen maar een externe dns-entry (mag een wildcard zijn) te hebben naar een bestaand ip-adres met een willekeurige webserver.

BTW ik zou zelf een key en een csr genereren mbv openssl op je eigen werkstation/mac Als je de tools van IIS gebruikt, maak je het jezelf erg lastig  

[Banach]

Moet dan niet poort 5003 via internet bereikbaar zijn? Ooit eens met FMS16 het probleem gehad dat wanneer deze dicht stond en de server opnieuw opstart het certificaat niet als valide werd herkent. Zodra ik dan poort 5003 naar buiten openzette was dit probleem verholpen. Het ging toen om een certificaat van Lets Encrypt.

Edited November 20, 2018 by Banach

[menno]

Lets Encrypt certificaten zijn per definitie slechts 3 maanden geldig en dan heb je een scriptje nodig dat de vernieuwing voor zijn rekening. Om dat scriptje te laten werken moet poort 443 open zijn, niet 5003, die is alleen voor de filemaker-bestanden die door fms worden geshared. Dus nee je hoeft geen enkele poort open te laten staan, ook niet tijdens de aanvraag en ook niet bij installatie van het certificaat.

De eenvoudigste methode met openssl op je mac:

Genereer met openssl een key met:

 openssl genrsa -aes256 -out fmskey.pem 2048

geef een password op bij het genereren van dit bestand en bewaar dat goed, je hebt het nodig bij het importeren van dit bestand in FmServer.

Maak je csr met:

 openssl req -new -key fmskey.pem -out fms.csr

de laatste 2 vragen "A challenge password" en "An optional company name", moet je het antwoord blanco laten, de rest moet je wél beantwoorden. De Common Name is de belangrijkste, die moet de naam bevatten waarmee je de fmserver gaat benaderen ipv zijn ip-adres. 

Gebruik aléén de csr om het certificaat aan te vragen van bijvoorbeeld comodo, nooit de key, die moet je privé houden.

Je krijg in korte tijd een download met het certificaat. Het certificaat kan je in FMS installeren, samen met de key (en het wachtwoord daarvoor) Tenslotte moet je ookk nog het intermediate certificate installeren. Dat zit voor comodo in de submap "Rootcertificates" en het bestand heet "COMODORSAExtendedValidationSecureServerCA.crt"

3 bestanden moet je dus uploaden, anders werkt het niet zoals het hoort

[Banach]

Menno, zeer bedankt voor dit uitgebreide en duidelijke antwoord. Ik ga hiermee aan de slag.