GSB 7.0 Standardlösung

Springe direkt zu:

Zielgruppe BetriebVersion: GSB10.1Konfiguration

Der https-Customer enthält ein generisches SSL-Zertifikat (Datei: conf/vhosts/https/certificates/ca-cert.pem).

Dieses Zertifikat ist mit folgenden

  • Domain: *.example.com
  • Schlüssellänge: 4096 Bit
  • Gültigkeit: 5 Jahre

Das Zertifikat kann durch ein plattformspezifischen Zertifikat ausgetauscht werden. Die Erstellung eines individuellen, selbstsignierten Zertifikats kann mit Hilfe des Tools openssl durchgeführt werden. Der folgende Aufruf erzeugt ein entsprechendes Zertifikat:

openssl req -x509 -nodes -days 730 -newkey rsa:4096 -keyout ca-cert.pem -out ca-cert.pem -config <CONFIG-FILE> -extensions 'v3_req'

Das Token <CONFIG_FILE> enthält die Definitionen für die Generierung des Zertifikats. Eine Vorlage findet sich in der Datei httpd/conf/vhosts/https/certificates/ca-cert.conf. Diese Datei ist für die Erstellung des exemplarischen Zertifikats ca-cert.pem verwendet worden und kann als Grundlage für die Erstellung eines individuellen Zertifikats verwendet werden.

Die durch den openssl-Aufruf generierte Datei ca-cert.pem muss anstelle der ausgelieferten PEM-Datei im https-Customer abgelegt werden (Datei: conf/vhosts/https/certificates/ca-cert.pem).

Laufzeitkonfiguration

Die https-vHost Definition nutzt eine Reihe von Properties deren Standardkonfiguration wie folgt definiert ist:

https_variables.conf

Define SSLProtocol "all -SSLv2 -SSLv3"

Define SSLCipherSuite ALL:!ADH:!EXP:!LOW:!RC2:!SEED:!RC4:!EDH-RSA-DES-CBC3-SHA:!ECDHE-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:!ECDHE-RSA-AES256-SHA:!TLSv1:!Kx=ECDH:!Au=RSA:!Enc=AES-CBC(256):!AES256-GCM-SHA384:!AES256-SHA256:!AES128-GCM-SHA256:!AES128-SHA256:!Mac=SHA1:+HIGH:+MEDIUM

Define SSLCertificateFile ${GsbosHttpdBaseDir}/conf/vhosts/https/certificates/ca-cert.pem

Define SSLCertificateKeyFile ${GsbosHttpdBaseDir}/conf/vhosts/https/certificates/ca-cert.pem

  • SSLProtocol definiert die unterstützten SSL-Protokollversionen (s.a. https://httpd.apache.org/docs/2.4/mod/mod_ssl .html#sslprotocol[mod_ssl Abschnitt SSLProtcol])
  • SSLCipherSuite enthält die Liste der unterstützten SSL-Cipher-Suites (s.a. https://httpd.apache.org/docs/2.4/mod/mod_ssl .html#sslciphersuite[mod_ssl Abschnitt SSLCipherSuite])
  • SSLCertificateFile definiert die SSL Zertifikatdaten im PEM-Format (s.a. https://httpd.apache.org/docs/2.4/mod/mod_ssl .html#sslcertificatefile[mod_ssl Abschnitt SSLCertificateFile])
  • SSLCertificateKeyFile definiert den privaten Schlüssel des SSL-Zertifikats (s.a. https://httpd.apache.org/docs/2.4/mod/mod_ssl .html#sslcertificatekeyfile[mod_ssl Abschnitt SSLCertificateKeyFile])
Hinweis:

Die httpd-Variable GsbosHttpdBaseDir ist eine globale Variable, die durch den Applikationsbetrieb gesetzt wird und den Ordner definiert, in dem der GSB httpd installiert wird. Dies muss bei der Definition der Variablen SSLCertificateFile und SSLCertificateKeyFile berücksichtigt werden.

Wenn die Variablen auf einer Hostingplattform überschrieben werden sollen, dann können diese in der httpd-Runtime-Konfiguration durch den Applikationsbetrieb individuell für die Plattform angepasst werden.