Sichere Verbindung (TLS/HTTPS)
Für einen sicheren Betrieb des BPC sollten möglichst nur gesicherte Verbindungen genutzt werden.
Eigenes Zertifikat hinterlegen
Voraussetzung: Die p12 Datei enthält die komplette CertKette inklusive privatem Schlüssel
In /INSTALLATIONSVERZEICHNIS/karaf/etc/org.ops4j.pax.web.cfg
folgende Konfiguration eintragen bzw. die bestehende Konfiguration anpassen.
org.ops4j.pax.web.ssl.keystore = /PATH/TO/KEYSTORE org.ops4j.pax.web.ssl.keystore.password = PASSWORD_FOR_KEYSTORE org.ops4j.pax.web.ssl.key.password = PASSWORD_FOR_PRIVATE_KEY org.osgi.service.http.enabled = false
Für den Umgang mit Zertifikaten und Keystores siehe auch https://www.eclipse.org/jetty/documentation/jetty-9/index.html#loading-keys-and-certificates
Passwörter Maskieren
Sie können die Passwörter für org.ops4j.pax.web.ssl.keystore.password
und auch org.ops4j.pax.web.ssl.key.password
auch als "obfuscated" Zeichenkette angeben.
Dies hat den Vorteil, dass das Passwort nicht im Klartext vorliegt.
Um eine maskierte Form eines Passwortes zu erhalten, können Sie folgendes ausführen:
password
> java -cp INSTALLATIONSVERZEICHNIS/karaf/system/org/eclipse/jetty/jetty-util/9.4.22.v20191022/jetty-util-9.4.22.v20191022.jar org.eclipse.jetty.util.security.Password "password" password OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v MD5:5f4dcc3b5aa765d61d8327deb882cf99
In dem Beispiel kann OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v
synonym für password
in die Konfiguration eingesetzt werden.
Es kann sein, dass die Jetty Versionsnummer in Ihrer Installation abweicht. Diese können Sie auf der Karaf-Konsole wie folgt in Erfahrung bringen: feature:list | grep jetty |
Es handelt sich nur um eine Verschleierung/Maskierung des Passworts, es handelt sich nicht um eine Verschlüsselung. |
Secure Flag für Cookies aktivieren
Für den BPC Session Cookie kann das Secure Flag gesetzt werden.
Wenn dies aktiv ist, schickt der Browser den Session-Cookie nur über gesicherte Verbindungen zum Server.
Dies erhöht die Sicherheit und verhindert das mitlesen des Session-Cookies im Netzwerk.
Zum Aktivieren des Secure Flags setzen Sie in der Datei karaf/etc/de.virtimo.bpc.core.cfg
bitte folgenden Wert:
de.virtimo.bpc.core.cookieSecure = true
Sollte das BPC nicht über eine gesicherte Verbindung bereitgestellt werden, dann darf diese Option nicht aktiviert werden. Ansonsten kann sich der Client nach der Anmeldung nicht authentifizieren. |