Einführung / Konfiguration des FirstSpirit-Servers / Zusätzliche Sicherheitsmechanismen / Parametrisierung der Verschlüsselung

Parametrisierung der Verschlüsselung

Parametrisierung der Verschlüsselung

Ein weiterer Baustein im FirstSpirit-Sicherheitskonzept ist die Verschlüsselung der internen Kommunikation. Über einen Parameter innerhalb der Datei fs-server.conf kann der FirstSpirit-Server angewiesen werden, nur noch Verbindungen mit einem zuvor definierten Verschlüsselungstyp (z. B. TLS) zu akzeptieren (ALLOWED_ENCRYPTIONS=1, vgl. FirstSpirit-Server / Communication).

Diese optionale Verschlüsselung kann für die gesamte, interne Kommunikation zwischen FirstSpirit-Server, FirstSpirit-Clusterknoten, dem FirstSpirit-SiteArchitect und den FirstSpirit-Webanwendungen konfiguriert werden, also primär:

  • Server-Server-Kommunikation
    (also beispielsweise Frontend-Server – FirstSpirit-Server, Generierungs-Server – FirstSpirit-Server)
  • Client-Server-Kommunikation
    (also beispielsweise SiteArchitect – Frontend-Server (HTTPs) / FirstSpirit-Server (Socket), Webbrowser –Frontend-Server)

Verfügbar ab FirstSpirit-Version 5.1R4 Erweiterte Konfigurationsmöglichkeiten für die Verschlüsselung sind verfügbar. Es kann nun genau definiert werden, welche Protokollversion und welche Algorithmen zur Verschlüsselung verwendet werden sollen. Zudem werden Zertifikate für die Server- und die Client-Authentifizierung (Zwei-Wege-Authentifizierung) unterstützt. Clientseitig müssen dabei neben den FirstSpirit-Webanwendungen auch eventuell vorhandene Cluster-Knoten berücksichtigt werden.

Die Konfiguration erfolgt serverseitig über die Datei fs-server.conf (auch für Cluster-Knoten) und clientseitig über Java- oder Systemparameter auf dem Application-Server oder über die web.xml der Webanwendungen.

Für FirstSpirit Desktop Anwendungen wird die Verschlüsselung über -D-Parameter konfiguriert, beispielsweise beim SiteArchitect in den Verbindungseinstellungen oder bei fs-cli in der Startdatei.

-Dfirstspirit.encryption=#
-Dfirstspirit.compression=#

Da nicht sichergestellt werden kann, dass alle FirstSpirit-Installationen über einen Zertifikatspeicher verfügen, berücksichtigen die Standard-Konfigurationseinstellungen nur die herkömmliche Verschlüsselung (ohne Authentifizierung und Zertifikate). Diese Sicherheitseinstellungen müssen gesondert vom Serveradministrator konfiguriert werden:

Eine vollständige Beschreibung der Konfigurationsparameter befindet sich unter FirstSpirit-Server / SSL Parameters. Die Schreibweise der Parameter unterscheidet sich, abhängig davon, ob sie innerhalb der Datei fs-server.conf oder z. B. als System-Parameter auf dem Application-Server hinterlegt werden. Die funktionale Beschreibung ist aber identisch.

Sollen Zertifikate zur Authentifizierung verwendet werden, müssen zuvor gültige Zertifikate für den Server und optional auch für die Clients erstellt werden. Die dazu notwendigen Schritte sind unter Vertrauenswürdiges Sicherheitszertifikat beschrieben.

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.13 | Datenschutz