Sichere Verbindung (TLS/HTTPS)

Für einen sicheren Betrieb des BPC sollten möglichst nur gesicherte Verbindungen genutzt werden.

Eigenes Zertifikat hinterlegen

Voraussetzung: Die p12 Datei enthält die komplette CertKette inklusive privatem Schlüssel

In /INSTALLATIONSVERZEICHNIS/karaf/etc/org.ops4j.pax.web.cfg folgende Konfiguration eintragen bzw. die bestehende Konfiguration anpassen.

org.ops4j.pax.web.ssl.keystore = /PATH/TO/KEYSTORE
org.ops4j.pax.web.ssl.keystore.password = PASSWORD_FOR_KEYSTORE
org.ops4j.pax.web.ssl.key.password = PASSWORD_FOR_PRIVATE_KEY

org.osgi.service.http.enabled = false

Für den Umgang mit Zertifikaten und Keystores siehe auch https://www.eclipse.org/jetty/documentation/jetty-9/index.html#loading-keys-and-certificates

Passwörter Maskieren

Sie können die Passwörter für org.ops4j.pax.web.ssl.keystore.password und auch org.ops4j.pax.web.ssl.key.password auch als "obfuscated" Zeichenkette angeben. Dies hat den Vorteil, dass das Passwort nicht im Klartext vorliegt.

Um eine maskierte Form eines Passwortes zu erhalten, können Sie folgendes ausführen:

Beispiel: Verschleierung des Passwortes password

> java -cp INSTALLATIONSVERZEICHNIS/karaf/system/org/eclipse/jetty/jetty-util/9.4.22.v20191022/jetty-util-9.4.22.v20191022.jar org.eclipse.jetty.util.security.Password "password"

password
OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v
MD5:5f4dcc3b5aa765d61d8327deb882cf99

In dem Beispiel kann OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v synonym für password in die Konfiguration eingesetzt werden.

Es kann sein, dass die Jetty Versionsnummer in Ihrer Installation abweicht. Diese können Sie auf der Karaf-Konsole wie folgt in Erfahrung bringen:

feature:list | grep jetty

Es handelt sich nur um eine Verschleierung/Maskierung des Passworts, es handelt sich nicht um eine Verschlüsselung.

Secure Flag für Cookies aktivieren

Für den BPC Session Cookie kann das Secure Flag gesetzt werden. Wenn dies aktiv ist, schickt der Browser den Session-Cookie nur über gesicherte Verbindungen zum Server. Dies erhöht die Sicherheit und verhindert das mitlesen des Session-Cookies im Netzwerk. Zum Aktivieren des Secure Flags setzen Sie in der Datei karaf/etc/de.virtimo.bpc.core.cfg bitte folgenden Wert:

de.virtimo.bpc.core.cookieSecure = true

Sollte das BPC nicht über eine gesicherte Verbindung bereitgestellt werden, dann darf diese Option nicht aktiviert werden. Ansonsten kann sich der Client nach der Anmeldung nicht authentifizieren.

Keywords: