Konfiguration 

HTTPS

Funktionsweise

HTTPS ist die Kombination von HTTP mit SSL

und ermöglicht es dem Besucher, mithilfe eines Authentifizierungszertifikats die Identität der geöffneten Website zu prüfen.

Garantiert die Vertraulichkeit und Integrität der vom Benutzer gesendeten und vom Server empfangenden Daten (insbesondere Formulardaten).

Die Authentifizierung wird mithilfe eines von einer Zertifizierungsstelle ausgestellten numerischen X.509-Zertifikats geprüft.

Die Verschlüsselung erfolgt, ähnlich wie beispielsweise beim RSA-Algorithmus, asymmetrisch.

Authentifizierungsstelle (CA)

In der Kryptographie ist es die Aufgabe der Authentifizierungsstelle, die Zertifikate nach Identitätsprüfung des Antragstellers durch eine entsprechende Speicherstelle zu unterzeichnen, auszugeben und zu pflegen.

  • Verisign
  • Thawte
  • Global Sign
  • ...
Privater RSA-Schlüssel (server.key)

Eine RSA-Schlüsseldatei ist eine numerische Datei zur Entschlüsselung von empfangenen Nachrichten.

Das Pendant zu diesem Schlüssel ist der öffentliche Schlüssel, der verteilt wird (über das Zertifikat). Mit ihm können die Benutzer ihre Nachrichten verschlüsseln.

Signaturanforderung (CSR)

Eine Signaturanforderung (CSR) ist eine Datei, die Ihren öffentlichen Schlüssel und Ihren Namen enthält.

Die Signaturanforderung muss an eine Authentifizierungsstelle (CA) gesendet werden, die sie in ein echtes Zertifikat umwandelt wird und die Signatur erteilt.

Zertifikat (server.crt)

Das Zertifikat enthält Ihren öffentlichen RSA-Schlüssel und den Namen der Zertifizierungsstelle und ist numerisch von dieser signiert.

Browser, die die Authentifizierungsstelle erkennen, können die Signatur des Zertifikats prüfen und sich daraus Ihren öffentlichen RSA-Schlüssel ableiten.

Es können Ihnen dann verschlüsselte Nachrichten zugesendet werden, die nur von Ihnen entschlüsselt werden können.

Erhalt eines Zertifikats

Die auf dem Markt erhältlichen Zertifizierungsstellen verlangen in der Regel den Versand der CSR über ein Webformular und die Begleichung des Signaturbetrags. Im Anschluss daran wird Ihnen ein signiertes Zertifikat gesendet, das Sie in der Datei server.crt speichern können.

Konfiguration des Apache-Servers

Die Konfigurationsdatei des SSL-Protokolls des Apache-Servers wird bei Installation des X3WEB-Servers generiert.

  • Pfad: WebTools\SOFTS\HTTPD\conf\extra\httpd-ssl.conf
  • WebTools ist das bei Installation des X3WEB-Servers definierte 'Tool-Verzeichnis'.

# Zertifikatserver:
SSLCertificateFile "C:/SAGE/WebREFJULIET/WebTools/SOFTS/HTTPD/conf/server.crt"

# Private-Key-Server:
SSLCertificateKeyFile "C:/SAGE/WebREFJULIET/WebTools/SOFTS/HTTPD/conf/server.key"

Zertifikatdateien (.crt) und Private-Key-Dateien (.key):

  • WebTools\SOFTS\HTTPD\conf\server.crt
  • WebTools\SOFTS\HTTPD\conf\server.key

Bei den standardmäßig gelieferten Dateien server.crt und server.key handelt es sich um die Testdateien der Apache-Stiftung.

Die Datei server.crt ist nicht von einer Authentifizierungsstelle zertifiziert und wird daher von den Browsern nicht anerkannt.

Zur korrekten Konfiguration des SSL-Protokolls muss eine Private-Key-Datei server.key generiert und ein Zertifikat bei der Authentifizierungsstelle beantragt werden (server.crt). Damit müssen die vorhandenen Dateien unter Beibehaltung ihres Namens ersetzt werden.

Beim Patchen eines X3WEB-Servers müssen die Dateien server.crt und server.key gespeichert und nach der Installation des Patches zurückkopiert werden.

Anlage Testzertifikat Verisign

Authentifizierungsstelle Verisign (http://www.verisign.fr) bietet für einen begrenzten Zeitraum ein kostenloses SSL-Zertifikat an.

Wir geben beispielhaft folgende Vorgehensweisen an:

  • Anlage des Private Key und Signaturanforderung (CSR) mit den OpenSSL-Werkzeugen
  • Erhalt eines Verisign-Testzertifikats

Das vorliegende Dokument ergänzt die von Verisign gelieferten Anweisungen.
http://www.verisign.fr/support/ssl-certificate-support/page_fr_fr_dev019500.html

Schritt 1 - OpenSSL-Installation

Mit dem Tool openssl (http://www.openssl.org) werden Schlüssel und Signaturanforderung (CSR) generiert.

OpenSSL herunterladen (Windows).
http://www.openssl.org/related/binaries.html

1. Installation der Visual C++ 2008 Redistributables

2. Installation von 'Win32 OpenSSL v0.9.8j Light' oder 'Win64 OpenSSL v0.9.8j Light'

3. Kommando \OpenSSL\Bin\openssl.exe

Schritt 2 - Generierung eines Private Keys

openssl genrsa -des3 1024 > verisign.key

gensra-Dokumentation.
http://www.openssl.org//docs/apps/genrsa.html

Schritt 3 - Generierung einer Signaturanforderung

openssl req -new -key verisign.key verisign.csr

req-Dokumentation
http://www.openssl.org//docs/apps/req.html

1. Erfassung des Passworts und des Private Keys

2. Erfassung der Zertifikatdaten

Erfassung des Namens von "Fully Qualified Domain Name" bzw. FQDN Ihres Servers, wenn Sie von OpenSSL nach dem Common Name (d. h., YOUR name)gefragt werden.

Bei Generierung einer CSR für eine Website, auf die mit der URL https://www.mysite.com/zugegriffen wird, lautet der FQDN www.mysite.com

In der Regel wird über den Fully Qualified Domain Name ein Zertifikat erworben.

Generierung eines selbst signierten Zertifikats

Hierfür ist keine Signatur durch eine Authentifizierungsstelle nötig, weswegen solche Zertifikate von den Browsern nicht anerkannt werden. Kommando:

openssl req -x509 -key verisign.key -in verisign.csr > verisign.crt

Schritt 4 - Zertifikatanforderung

URL http://www.verisign.fr/ssl/index.html öffnen und auf "kostenlosen Test" klicken.

1. Antragsformular ausfüllen

2. Kontaktformular ausfüllen

3. Zertifikatformular ausfüllen

      • 'Apache-Server' auswählen
      • Die CSR-Datei verisign.csr mit einem Texteditor öffnen und den Inhalt kopieren
      • Den Text in das Erfassungsfeld einfügen
      • Verwendung des Webservers auswählen und bestätigen
      • Passwort des Zertifikats erfassen und bestätigen

5. Das Zertifikat wird per E-Mail gesendet

6. Bei Eingang des Zertifikats

      • Den Zertifikattext
        zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- kopieren
      • NotePad(++) öffnen und das Zertifikat einfügen
      • Das Zertifikat mit Erweiterung .crt (verisign.crt) speichern

Die Dateien verisign.key und verisign.crt kopieren und die Passwörter behalten

Schritt 5 - Installation des Zertifikats

Die Dateien verisign.key und verisign.crt unter server.key und server.crt kopieren / ersetzen. Das Verzeichnis hierfür lautet WebTools\SOFTS\HTTPD\conf\

Konfigurationsparameter

X3Web

Die XTEND-Anwendungen verwenden den HTTPS-Port.

Es ist zu prüfen, ob der Konsolenparameter ALL.Apache.APACHESSL zur Aktivierung des SSL-Modus des Apache-Servers auf Jasteht.

Der HTTP- bzw. HTTPS-Port für den Zugriff auf die XTEND-Anwendungen sind durch die Parameter xtend.server.gensetup.http.defhttpport und xtend.server.gensetup.http.defhttpsportdefiniert.

Diese Parameter müssen zwingend angegeben werden.

XTEND

In der Tabelle sind die Konfigurationsparameter des über die Konsole (erweiterte Einstellungen) erreichbaren XTEND-Servers angegeben.

Parameter

Standardwert

Beschreibung

xtend.session.trace.xtend

off

Protokolldatei XTEND-Sitzung

xtend.session.trace.httpreq

off

Protokolldatei der HTTP-Abfragen

xtend.session.trace.wsvc

off

Protokolldatei der Webservices

xtend.session.wait.timeout

1 500

Time-out von XTEND-Abfragen in Millisekunden, wenn die Sitzung belegt ist (Verarbeitung einer anderen Abfrage)

xtend.server.data.localpath

/data/local

HTTP-Alias für den Zugriff auf die lokalen Ressourcen des X3WEB-Servers (siehe httpd.conf)

xtend.server.data.protectdir

x_protect

Id der geschützten XTEND-Ordner

xtend.server.reposit.local

off

Standort des XTEND-Dictionarys und der sonstigen von XTEND veröffentlichten XML-Daten
On: lokal auf dem X3WEB-Server
Off: remote auf dem X3-Server

xtend.server.menux3.local

off

Standort der X3-Menüs (siehe xtend.server.reposit.local)

xtend.server.x3httpsrv.secured

off

Protokoll http/https für den Zugriff auf den HTTP-Lösungsserver
On: Der SSL-Modus des HTTP-Servers der Lösung muss manuell aktiviert werden

xtend.server.x3httpsrv.readtimeout

30 000

Time-out (in Millisekunden) beim Lesen einer Quelle auf dem HTTP-Server der Lösung

xtend.server.x3httpsrv.cnxtimeout

30 000

Time-out (in Millisekunden) beim Verbinden an den HTTP-Server der Lösung

xtend.server.activitylog.level

1

Aktivitätsprotokoll - Loglevel - 0 0: off -1: Normal - 2: Verbose

xtend.server.activitylog.filenumber

10

Aktivitätsprotokoll - Anzahl Protokolldateien

xtend.server.activitylog.filesize

10000000

Aktivitätsprotokoll - Protokolldateigröße in Bytes

xtend.server.virtualpath.context

/xtend

Pfad der XTEND-Webanwendung

xtend.cxtdtracesvc.trace.server.host

Hostname der Protokolldatei

xtend.cxtdtracesvc.trace.server.port

1515

TCP-Port des Protokollservers

xtend.cxtdtracesvc.tracesvc.canal.level

9  

Protokollserver-Level

xtend.cxtdtracesvc.tracesvc.canal.name

SXTD  

Protokollserver-Prompt

xtend.cxtdtracesvc.tracesvc.canal.on

off  

Protokolldatei aktiviert

xtend.cxtdtracesvc.tracesvc.on

off  

Protokolldatei aktiviert

xtend.server.gensetup.defsite.x3sol

 

Code der Standard-X3-Lösung, sofern nicht in der URL angegeben

xtend.server.gensetup.defsite.x3fldr

 

Code des Standard-X3-Ordners, sofern nicht in der URL angegeben

xtend.server.gensetup.defsite.xtdsite

 

Code der Standard-XTEND-Website, sofern nicht in der URL angegeben

xtend.server.gensetup.deflang

 

XTEND-Sprachcode, sofern nicht in der URL angegeben

xtend.server.gensetup.http.defhttpport

28880   

HTTP-Port des XTEND-Servers

xtend.server.gensetup.http.defhttpsport

28443  

HTTPS-Port des XTEND-Servers

xtend.server.gensetup.http.cookie.sess.persist

on  

Aktivierung von Cookies am Benutzerarbeitsplatz (on / off)

xtend.server.gensetup.http.cookie.disabled

  

off

Gibt an, ob XTEND ohne Cookies funktionieren soll
In diesem Fall wird die Sitzungs-Id an sämtliche URLs weitergegeben
Mit der Benutzeraktion ASESSSWITCHCOOKIES kann dieser Parameter überladen werden

xtend.server.gensetup.http.session.timeout


60


Maximale Inaktivität des TOMCAT-Servers in Minuten
Nach Ablauf dieser Zeit wird die Sitzung abgebrochen, und die Daten gehen verloren
Nicht zu verwechseln mit dem Time-out der XTEND-Sitzung, die in der Datei 'site web' erfasst wurde und mit der der Benutzer abgemeldet wird, um seine Anmeldung an die nächste Verbindung zu erzwingen.

xtend.server.gensetup.http.askreferer

 on

Anforderung des HTTP-Referers, sofern nicht in den HTTP-Headern vorhanden
Verwaltung des XTEND-Zugriffs über 'Reverse Proxies'

xtend.server.gensetup.proxies.hosts

Hostname der für den Zugriff auf XTEND zuständigen Reverse Proxies, per Leerzeichen getrennt

xtend.server.gensetup.proxies.portshttp

HTTP-Ports der für den Zugriff auf XTEND zuständigen Reverse Proxies, per Leerzeichen getrennt

xtend.server.gensetup.proxies.portshttps

HTTPS-Ports der für den Zugriff auf XTEND zuständigen Reverse Proxies, per Leerzeichen getrennt

xtend.server.gensetup.html.req.charset



UTF-8



Entschlüsselung der HTTP-Antwort (zum Verschlüsseln der Eingabefelder verwendet)
If !=null
-> Erzwinge request.setCharacterEncoding("CharSet")
-> Erzwinge Attribut "Accept-Charset"="CharSet" des Tag-Formulars
-> Erzwinge Präsenz des Tags <meta http-equiv="Content-Type" content="text/html; charset=CharSet">

xtend.server.gensetup.html.resp.charset  

UTF-8 

Verschlüsselung der HTTP-Antwort

xtend.server.gensetup.html.chunked  

off  

on: für die Aktivierung des Chunked-Modus (Paket)
Achtung, mit dem Chunked-Modus können die Fehlerseiten nicht immer angezeigt werden

xtend.server.gensetup.html.buffersize  

 0

Buffergröße für die HTTP-Antwort

xtend.server.gensetup.misc.rtnstacksize  

 20

Maximale Anzahl von Elementen auf dem Seitenstapel für die Verwaltung der Rückgabeaktion (ADLKRETURN)

xtend.server.gensetup.defcharset


 CP1252


Standardzeichensatz zum Lesen von Text-Ressourcen (Standardmäßig Zeichensatz der Plattform)
Häufig wird das HTML-Projekt unter Windows angelegt und in X3 geladen
Wenn die HTML-Dateien keine BOM (byte order mark) enthalten, muss es möglich sein, den Zeichensatz für die Entschlüsselung von Dateiinhalten zu erzwingen,
unabhängig vom Betriebssystem, unter dem X3WEB läuft.