powered by CADENAS

Manual

Manual

4.5.7.3. SSL-Verschlüsselung

Sie können für alle Anfragen an den PARTapplicationServer auch SSL-Verschlüsselung[69] einsetzen.

  1. Dateisystem-Service (Zugriff per HTTPS-Port)

  2. Mzcom Service Aufrufe (Index, DB, Suche) (Zugriff per SSL-Service-Port)

Es können selbstsignierte und offizielle[70] Zertifikate verwendet werden.

Im Folgenden ist die Erstellung und der Import eines selbstsignierten Zertifikates beschrieben:

Zertifikat auf AppServer erzeugen

  1. Wählen Sie in PARTadmin die Kategorie AppServer Service.

  2. Aktivieren Sie die Auswahlkästchen für HTTPS-Port und/oder SSL-Service-Port. In der Regel sind die beiden anderen deaktiviert; das heißt, unverschlüsselter Zugriff auf den Server ist nicht mehr möglich.

    -> Der Dialogbereich SSL wird aktiviert.

  3. Dialogbereich SLL

    • Verbotene Algorithmen: Hier haben Sie die Möglichkeit, für die Übertragung unerwünschte Algorithmen auszuschließen.

      Klicken Sie auf Ändern.... -> Das Dialogfenster Verschlüsselungsalgorithmen wird geöffnet.

      Mittels Zurücksetzen leeren Sie das Eingabefeld Entferne Algorithmen. Mit Doppelklick auf einen Listeneintrag übernehmen Sie diesen in das Eingabefeld.

    • Ablagepfad Zertifikat: Nach Klick auf Anzeigen... können Sie sich das Zertifikat ansehen (nach Erstellung).

    • Ablagepfad Schlüssel: Nach Klick auf Anzeigen... können Sie sich die Schlüsselattribute und -werte ansehen (nach Erstellung).

    • Schlüssel-Typ: Belassen Sie die Einstellung auf RSA. Für selbstsignierte Zertifikate ist nur RSA möglich.

  4. Klicken Sie auf Erzeuge selbstsigniertes Zertifikat....

    Das Dialogfenster Zertifikat generieren... wird geöffnet.

    • Gültig bis: Spezifizieren Sie ein Ablaufdatum für das Zertifikat.

    • Alternate Names: Es können sowohl DNS-Namen als auch IP-Adressen erlaubt werden. Aktivieren Sie bei den gewünschten alternativen Namen das Auswahlkästchen.

      Standardmäßig wird ein Zertifikat auf den CommonName ausgestellt. Werden z.B. mehrere Webseiten gehostet, können Sie mit Angabe der Alternate Names mit nur einem Zertifikat auskommen. Der Client prüft, ob der verwendete Hostname auf einen der alternativen Namen passt.

    • Schlüssel mit Standard-Passwort schützen:

      [Hinweis] Hinweis

      Im Falle von selbst erstellten Zertifikaten darf die Schlüssel-Datei kein Passwort enthalten, weil sonst der Server beim Starten fragen würde. Die Schlüssel-Datei kann aber an einem Ort abgelegt werden, wo man sie nur auf dem Server einsehen kann (evtl. $CADENAS_USER). Sie finden die Einstellung als Option im Listenfeld.

      Beachten Sie aber: Das $CADENAS_USER, welches der Dienst sieht, ist relevant!

    • Zertifikat ablegen in:

    • Schlüssel ablegen in:

Zertifikat auf Client importieren

  1. Wählen Sie in PARTadmin die Kategorie AppServer Client.

  2. Aktivieren Sie das Auswahlkästchen SSL verwenden.

    -> HTTP-Port und Service-Port werden deaktiviert und HTTPS-Port und SSL-Service-Port werden aktiviert.

    Services über Websockets tunneln (optional):

    Sie können diese Option verwenden, wenn Sie nur einen Port binden möchten oder Sie per HTTP-Proxy verbinden möchten (falls Websockets möglich sind).

    Bei Verwendung der Option wird das Eingabefeld für SSL-Service-Port ausgegraut.

  3. Klicken Sie auf Zertifikate vom Server importieren.

    -> Zur Bestätigung wird eine entsprechende Meldung angezeigt.

Ein kleiner Test, ob alles ordnungsgemäß funktioniert: Stellen Sie sicher, dass SSL verwenden aktiviert ist. Klicken Sie auf Serverstatus anzeigen. Ist das Zertifikat ordnungsgemäß auf dem Client eingetragen, wird der Serverstatus angezeigt, wenn nicht, erscheint eine Fehlermeldung.



[69] SSL (Secure Sockets Layer ) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

[70] nicht Teil der Dokumentation