Configuração @ L.V. Expertise X3

HTTPS

Principio

HTTPS (com S para segurança, seja "segurado") é a simples combinação de HTTP com SSL.

permite ao visitante de verificar a identidade do estabelecimeto ao qual acede graças a um certificado de autentificação.

Garante a confidencialidade e integridade dos dados enviados pelo utilizador (nomeadamente as informações entradas nos formulários) e recebidos do servidor.

A autentificação está realizada pela utilização de um certificado numérico X.509 entregue por uma autoridade de certificação.

A numeração está realizada por uma numeração assimétrica, como por exemplo o algoritmo RSA.

Autoridade de certificação (CA)

Em criptografia, a autoridade de certificaação (AC ou CA) tem por missão, após verificação de identidade do requerente do certificado por uma autoridade de registo, de assinar, emitir e manter os certificados.

Verisign
Thawte
Global Sign
...

chave privada RSA (server.key)

Um ficheiro de chave privada RSA é um ficheiro numérico que pode utilizar para descifrar as mensagens que vos enviei.

Tem o seu durante o caracter público que pode distribuir (pelo meio do seu certificado), o que permite aos utilizadores de numerar as mensagens que enviam.

Pedido de Assinatura de Certificado (CSR)

Um pedido de assinatura de certificado (CSR) é um ficheiro numérico que contém a sua chave publica e seu nome.

A CSR deve estar enviada a uma Autoridade de Certificação (CA) que vai converter em verdade em a assinalando.

Certificado (server.crt)

Um certificado contém a sua chave pública RSA, o seu nome, o nome da CA, e está assinada ni«umericamente por esta última.

Os navegadores que reconhecem a CA podem verificar a assinatura do certificado, e assim extrair a sua chave pública RSA.

Isso lhe permite de enviar as mensagems numeradas que poderá decifrar.

Obtenção de um certificado

A Autoridade de certificação comercial vos pede em geral de enviar a CSR pelo intermédio de um formulário web, de regular o montante da assinatura, depois vos enviando um certificado assinado que pode registar num ficheiro servidor .crt.

Configuraçao do servidor Apache

O ficheiro de configuração do protocolo SSL do servidor Apache está gerado no momento de instalação do servidor X3WEB.

Path : WebTools\SOFTS\HTTPD\conf\extra\httpd-ssl.conf
WebTools é o directório "Ferramenta"' definida no momento de instalação do servidor X3WEB

# Servidor Certificado:
SSLCertificateFile "C:/SAGE/WebREFJULIET/WebTools/SOFTS/HTTPD/conf/server.crt"

# Server Private Key:
SSLCertificateKeyFile "C:/SAGE/WebREFJULIET/WebTools/SOFTS/HTTPD/conf/server.key"

Os acondicionamento dos ficheiros certificado (.crt) e chave privada (.key) são os seguintes :

WebTools\SOFTS\HTTPD\conf\server.crt
WebTools\SOFTS\HTTPD\conf\server.key

Os ficheiros server.crt e server.key entregues por defeito dos ficheiros de testes entregues pela fundação Apache.

O ficheiro servidor .crt não está certificado por uma autoridade de certificação não foi reconhecido (validado) pelos navegadores.

Para configurar correctamente o protocolo SSL falta gerar um ficheiro de chave prvada server.key e efetuar um pedido de certificado (servidor .crt) junto de uma autoridade de certificação depois substituir os ficheiros existentes em conservando o mesmo nome.

Quando um patch de um servidor X3WEB falta salvaguardar os ficheiros server.crt e server.key e o recopiar após instalação do patch.

Criação de um certificado de teste Verisign

A autoridade de certificação Verign (http://www.verisign.fr) propõe um certificado SSL, de ensaio gratuito de uma duração limitada.

Nós indicamos a título de ilustração o método a seguir para :

criar a chave proivada e o pedido de assinatura de certificado (CSR) com a caixa de utilitários OpenSSL
obter o certificado de teste junto de "Verisign".

Este documento completa as instruções fornecidas por "Verisign.
http://www.verisign.fr/support/ssl-certificate-support/page_fr_fr_dev019500.html

Etapa 1 - Instalar OpenSSL

O utilitário "openssl" (http://www.openssl.org) serve a gerar a chave e o pedido de assinatura de certificado (CSR).

Telecarregar OpenSSL (sob windows).
http://www.openssl.org/related/binaries.html

1. Instalar "Visual C ++ 2008 Redistribuivel"

2. Instalar 'Win32 OpenSSL v0.9.8j Light' ou 'Win64 OpenSSL v0.9.8j Light'

3. Utilizar o comando \OpenSSL\Bin\openssl.exe

Etapa 2 - Gerar uma cave privada

openssl genrsa -des3 1024 > verisign.key

Documentação genrsa.
http://www.openssl.org//docs/apps/genrsa.html

Etapa 3 - Gerar um pedido de assinatura de certificado

openssl req -new -key verisign.key verisign.csr

Documentação req.
http://www.openssl.org//docs/apps/req.html

1. Registar a palavra chave da chave privada

2. Registar as informações sobre o certificado

Registar o nome de Domínio planamente qualificado ("Fully Qualified Domain Name" ou FQDN) do ser servidor quando OpenSSL vos pede oCommon Name (eg, YOUR name).

Se você gera uma CSR para um estabelecimento web ao qual se acederá por URL https://www.mysite.com/, le FQDN sera www.mysite.com

Geralmente compra-se um certificado por Nóme de Domínio Plenamente Qualificado.

Para gerar um certificado auto-assinado

Este certificado não tem necessidade de ser assinado por uma autoridade de certificação mas não é reconhecido pelo navegador. Utilizar a encomenda seguinte :

openssl req -x509 -key verisign.key -in verisign.csr > verisign.crt

Etapa 4 -Pedido de certificado

Abroir o URL http://www.verisign.fr/ssl/index.html e clicar sobre "Ensaio gratuito".

1. Preencher o formulário de pedido

2. Preneher o formulário do contacto técnico

3. Preencher o formulário do certificado

Selecionar "Servidor Apache".
Abrir o ficheiro CSR verisign.csr com um editor de texto e copiar o conteúdo
Colar o conteudo texto na zona de registo
Selecinar a utilização Server WEB e validar.
Registar a palavra chave do certificado e validar

5. O certificado é enviado por email

6. A recepção do certificado

Copiar o certificado
texto entre ----INÍCIO CERTIFICADO-----e------FIM CERTIFICADO------
Abrir NotePad(++) e colar o certificado
Registar o certificado com a extenção .crt (verisign.crt)

Fazer uma cópia dos ficheiros "verisign.key" e "verisign.crt" e conservar as palavras chave.

Etapa 5 - Instalação do certificado

Copiar/Substituir os ficheiros verisign.key e verisign.crt sob server.key e server.crt no diretório WebTools\SOFTS\HTTPD\conf\

Parâmetros de configuração

X3Web

As aplicações XTEND utilizam a porta HTTPS

Verificar que os parâmetros consola ALL.Apache.APACHESSL que activa o modo de SSL do servidor Apache tem por valor yes

As portas HTTP e HTTPS para aceder às aplicações XTEND são dados pelos parâmetros xtend.server.gensetup.http.defhttpport e xtend.server.gensetup.http.defhttpsport.

Estes parâmetros devem obrigatóriamente ser registados.

XTEND

O quadro apresenta os parâmetros de confiuguração do servidor XTEND acessível via a consola (parâmetros avançado).

Parâmetro	Valores por defeito :	Descrição
xtend.session.trace.xtend	off	Rasto sessão XTEND
xtend.session.trace.httpreq	off	Rasto dos pedidos http
xtend.session.trace.wsvc	off	Rasto web services
xtend.session.wait.timeout	1500	"Timeout" de espera em ms de umpedido XTEND se a sessão está ocupada (tratamemto de um outro pedido)
xtend.server.data.localpath	/data/local	Http alias para aceder aos recurso locais ao servidor X3WEB (ver httpd.conf)
xtend.server.data.protectdir	x_protect	Identificação dos dossiers XTEND que estão protegidos
xtend.server.reposit.local	off	Localização do dicionário XTEND e de outros dados xml publicados por XTEND On: em local do servidor X3WEB Off: em remoto sobre o servidor X3
xtend.server.menux3.local	off	Localização dos menus X3 (ver xtend.server.reposit.local)
xtend.server.x3httpsrv.secured	off	Protocolo http/https para acesso ao servisor Http das spluções On : necessota de ativar manualmente o modo ssl do servidor Http da solução
xtend.server.x3httpsrv.readtimeout	30000	"Timeout (ms)" no momento da leitura de um recurso sobre o servidor Http da solução
xtend.server.x3httpsrv.cnxtimeout	30000	"Timeout (ms)" no momento da conexão ao servidor Http da solução.
xtend.server.activitylog.level	1	Seguimento da actividade - Nível de rasto - 0 : off - 1 : Normal - 2 : "Verbose"
xtend.server.activitylog.filenumber	10	Seguimento da atividade - Número de ficheiros log
xtend.server.activitylog.filesize	10000000	Seguimento da atiivdade - Tamanho em bytes de um ficheiro log
xtend.server.virtualpath.context	/xtend	Path da web application XTEND
xtend.cxtdtracesvc.trace.server.host		Nome do anfitrião do servidor de rasto
xtend.cxtdtracesvc.trace.server.port	1515	Porta TCP do servidor de rasto
xtend.cxtdtracesvc.tracesvc.canal.level	9	Nível do servidor de rasto.
xtend.cxtdtracesvc.tracesvc.canal.name	SXTD	Prompt do servidor de rasto
xtend.cxtdtracesvc.tracesvc.canal.on	off	Rasto ativo
xtend.cxtdtracesvc.tracesvc.on	off	Rasto ativo
xtend.server.gensetup.defsite.x3sol		Código solução X3 por defeito se não especificado na URL
xtend.server.gensetup.defsite.x3fldr		Código dossier X3 por defeito se não especificado na URL
xtend.server.gensetup.defsite.xtdsite		Código estabelecimento XTEND por defeito se não especificado na URL.
xtend.server.gensetup.deflang		Código língua XTEND por defeito se não especificado na URL.
xtend.server.gensetup.http.defhttpport	28880	Porta HTTP do servidor XTEND
xtend.server.gensetup.http.defhttpsport	28443	Porta HTTPS do servidor XTEND
xtend.server.gensetup.http.cookie.sess.persist	on	Persistência dos cookies sobre o posto utilizador (on/off)
xtend.server.gensetup.http.cookie.disabled	off	Indique se XTEND deve funcionar sem os cookies No caso de sessão id está propagado em todas as URLs A ação utilizador ASESSSWITCHCOOKIES permet de surcharger ce paramètre
xtend.server.gensetup.http.session.timeout	60	Duração máxima de inactividade da sessão TOMCAT em minutos Passado este atraso a sessão está destruida e todos os dados serão perdidos Não confundir com TimeOut da sessão XTEND registada na ficha "estabelecimento web que desconecta o utilizador para forçar o log on à próxina conexão.
xtend.server.gensetup.http.askreferer	on	Pedido do http referir se não presente nos cabeçalhos HTTP Permite gerar o acesso a XTEND via os "reversos proxies"
xtend.server.gensetup.proxies.hosts		Hostnames dos reverse proxies que acedem a XTEND separados por "brancos"
xtend.server.gensetup.proxies.portshttp		Portas http dos "reverse proxies" que acedem a XTEND separados por "brancos"
xtend.server.gensetup.proxies.portshttps		Portas https dos "reverse proxies" que acedem a XTEND separados por "brancos"
xtend.server.gensetup.html.req.charset	utf-8	Descodificação da resposta http (utilizada para encodificação dos campos input) Se !=null ->Force request.setCharacterEncoding("CharSet") ->Force attribut "Accept-Charset"="CharSet" du tag form ->Force présence du tag <meta http-equiv="Content-Type" content="text/html; charset=CharSet">
xtend.server.gensetup.html.resp.charset	utf-8	Encodage da resposta http
xtend.server.gensetup.html.chunked	off	on para ativar o modo chunked (paquet) Atenção o modo chunk não permite sempre de afixar as páginas de erro.
xtend.server.gensetup.html.buffersize	0	Tamanho do buffer para a resposta http
xtend.server.gensetup.misc.rtnstacksize	20	Número máximo de elememntos na pilha das páginas para a gestão de ação da devolução (ADLKRETURN)
xtend.server.gensetup.defcharset	CP1252	"Charset" por defeito para a leitura dos recursos texto (defeito Charset da plataforma) Frequente o projeto HTML está criado sob Windows e "uploaded" sobre X3 Se os ficheiros html não têm BOM (byte order mark) pretende-se forçar o "charset" para descodificar os conteúdos dos ficheiros independentemente da OS sob o qual gira X3WEB.