Einführung / Konfiguration des FirstSpirit-Servers / Zusätzliche Sicherheitsmechanismen / Parametrisierung der Verschlüsselung
Parametrisierung der Verschlüsselung
Parametrisierung der Verschlüsselung
Ein weiterer Baustein im FirstSpirit-Sicherheitskonzept ist die Verschlüsselung der internen Kommunikation. Über einen Parameter innerhalb der Datei fs-server.conf kann der FirstSpirit-Server angewiesen werden, nur noch Verbindungen mit einem zuvor definierten Verschlüsselungstyp (z. B. TLS) zu akzeptieren (ALLOWED_ENCRYPTIONS=1, vgl. FirstSpirit-Server / Communication).
Diese optionale Verschlüsselung kann für die gesamte, interne Kommunikation zwischen FirstSpirit-Server, FirstSpirit-Clusterknoten, dem FirstSpirit-SiteArchitect und den FirstSpirit-Webanwendungen konfiguriert werden, also primär:
- Server-Server-Kommunikation
(also beispielsweise Frontend-Server – FirstSpirit-Server, Generierungs-Server – FirstSpirit-Server) - Client-Server-Kommunikation
(also beispielsweise SiteArchitect – Frontend-Server (HTTPs) / FirstSpirit-Server (Socket), Webbrowser –Frontend-Server)
Erweiterte Konfigurationsmöglichkeiten für die Verschlüsselung sind verfügbar. Es kann nun genau definiert werden, welche Protokollversion und welche Algorithmen zur Verschlüsselung verwendet werden sollen. Zudem werden Zertifikate für die Server- und die Client-Authentifizierung (Zwei-Wege-Authentifizierung) unterstützt. Clientseitig müssen dabei neben den FirstSpirit-Webanwendungen auch eventuell vorhandene Cluster-Knoten berücksichtigt werden.
Die Konfiguration erfolgt serverseitig über die Datei fs-server.conf (auch für Cluster-Knoten) und clientseitig über Java- oder Systemparameter auf dem Application-Server oder über die web.xml der Webanwendungen. Für den FirstSpirit-SiteArchitect wird die Verschlüsselung über -D-Parameter in den Verbindungseinstellungen konfiguriert.
Da nicht sichergestellt werden kann, dass alle FirstSpirit-Installationen über einen Zertifikatspeicher verfügen, berücksichtigen die Standard-Konfigurationseinstellungen nur die herkömmliche Verschlüsselung (ohne Authentifizierung und Zertifikate). Diese Sicherheitseinstellungen müssen gesondert vom Serveradministrator konfiguriert werden:
- Konfiguration des FirstSpirit Servers
- Konfiguration der Webanwendungen und Servlets
- Konfiguration der Cluster-Knoten
- Konfiguration des FirstSpirit SiteArchitect
Eine vollständige Beschreibung der Konfigurationsparameter befindet sich unter FirstSpirit-Server / SSL Parameters. Die Schreibweise der Parameter unterscheidet sich, abhängig davon, ob sie innerhalb der Datei fs-server.conf oder z. B. als System-Parameter auf dem Application-Server hinterlegt werden. Die funktionale Beschreibung ist aber identisch.
Sollen Zertifikate zur Authentifizierung verwendet werden, müssen zuvor gültige Zertifikate für den Server und optional auch für die Clients erstellt werden. Die dazu notwendigen Schritte sind unter Vertrauenswürdiges Sicherheitszertifikat beschrieben.