Verschlüsselte Dateiablage

FirstSpirit setzt zur Versionierung von Projektdaten sogenannte „Repositorys“ ein. Dabei handelt es sich um eine zentrale Stelle, an der die vom Content Management System benötigten Datenstrukturen (Medien, Seiten, Vorlagen usw.) verwaltet werden. Für jedes Projekt existiert ein Repository im Server-Verzeichnis. Bei jeder Aktion, die in FirstSpirit vorgenommen wird, beispielsweise beim Erstellen, Bearbeiten oder Löschen von Elementen, werden Daten in das Repository geschrieben.

Repository-Dateien (Strukturen, Inhalte, Medien) können verschlüsselt abgelegt werden. Dazu müssen folgende Schritte vorgenommen werden:

1. Erstellen einer globalen Key-Datei für den FirstSpirit-Server
2. Konfiguration der Verschlüsselung auf dem Server – Mindestvoraussetzung für die Verschlüsselung ist die Konfiguration des Parameters repository.encryption.keyFilePath  
   (siehe Storage Engine Properties)
3. Konfiguration der projektspezifischen Verschlüsselung                                
   (siehe Repository)
4. Durchführung von Ver- bzw. Entschlüsselung

Die eigentliche Verschlüsselung übernimmt die Java Cryptography Extension (JCE). Unterstützt werden alle symmetrischen Verschlüsselungen und Modi, die die jeweilige Java-Plattform unterstützt. Dies ist abhängig von der eingesetzten Java-Version und davon, ob die „Unlimited Strength Jurisdiction Policy Files“ (siehe http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html) installiert sind.
Siehe dazu auch Seite „Bereich: Storage Engine Properties“, Parameter repository.encryption.algorithm und repository.encryption.keySize.

Erstellen der Key-Datei

Zunächst muss eine Key-Datei mit einem selbst gewählten Schlüssel angelegt werden. Dieser globale Server-Schlüssel muss mindestens 8 Byte lang sein. Der Inhalt der angegebenen Datei muss UTF-8-kodiert sein. Leerzeichen (Whitespaces) am Anfang und Ende der Datei werden ignoriert.

Die Datei muss an einer geeigneten Stelle abgelegt werden.

Der Zugriff auf die globale Server-Key-Datei sollte gut abgesichert sein, um die Repository-Inhalte gegen unbefugten Zugriff zu schützen. Gleichzeitig gilt: Wird diese Key-Datei beschädigt oder geht verloren, ist kein Zugriff mehr auf die Repository-Inhalte möglich!

Der Pfad zur Key-Datei muss in der fs-server.conf hinterlegt werden (Konfiguration siehe Storage Engine Properties). Erst anschließend kann die Verschlüsselung der FirstSpirit-Projekt-Repositorys innerhalb der Projekteinstellungen aktiviert werden.

Durchführung der Ver- bzw. Entschlüsselung

Wurde für ein Projekt die Option „Verschlüsselung aktiv“ aktiviert (siehe Repository) und wird die Auswahl mit OK bestätigt, beginnt die Verschlüsselung der Daten mit den gewünschten Einstellungen. Das betroffene Projekt wird während dieser Zeit deaktiviert. Da die Verschlüsselung einige Zeit in Anspruch nehmen kann, sollte sie nur während eines Wartungsintervalls durchgeführt werden.  

Wird die Option „Verschlüsselung aktiv“ deaktiviert und die Auswahl mit OK bestätigt, wird analog eine Entschlüsselung der Daten für das betroffene Projekt vorgenommen.

Der Ver- bzw. Entschlüsselungsprozess darf nicht unterbrochen werden, da es sonst zu einem undefinierten Projektzustand kommen kann.

Sollten Änderungen notwendig werden (z. B. durch einen Systemausfall während der Verschlüsselung), wenden Sie sich bitte an https://help.e-spirit.com/.